01
Klassisches Spear-Phishing, BEC, Lieferanten-Impersonation, Fake-Vertragsdokumente. Vom einfachen Template bis zur mehrstufigen Konversation über mehrere Tage.
PHISHING KAMPAGNEN
Echte Pretexte.Echte Reaktionen.Keine Templates.
Generische Phishing-Templates trainieren niemanden. Wir recherchieren Ihr Unternehmen wie ein Angreifer – öffentlich verfügbare Informationen, aktuelle Projekte, interne Sprachmuster – und bauen Szenarien, die Ihre Mitarbeitenden in ihrem Alltag wiedererkennen.
01 / ABLAUF
Von der Recherche zum Debrief.
- PHASE · 01
OSINT & Pretext-Entwicklung
Recherche zu Unternehmen, Abteilungen, laufenden Projekten, Lieferanten, Tools, Namenskonventionen. Daraus entstehen zwei bis fünf Szenarien pro Zielgruppe – abgestuft in Schwierigkeitsgrad und Plausibilität.
- PHASE · 02
Infrastruktur & Freigabe
Registrierung passender Domains, Aufbau gehärteter Landing Pages, Mail-Routing mit SPF/DKIM-konformer Zustellung. Abstimmung mit IT, Betriebsrat und Datenschutz – schriftliche Freigabe bevor der erste Versand läuft.
- PHASE · 03
Versand & Monitoring
Gestaffelter Versand über mehrere Tage, Live-Monitoring von Öffnungen, Klicks, Credential-Eingaben und Meldungen. Safe-Harbor-Seite nach Credential-Abgabe mit sofortiger Lernbotschaft – keine Demütigung, keine Prangerwand.
- PHASE · 04
Auswertung & Debrief
Executive Summary für die Leitungsebene, technische Detailanalyse für Security und IT, Gesprächsleitfaden für Führungskräfte. Ein Wrap-up-Webinar für die Belegschaft, in dem wir die Szenarien ehrlich zeigen und erklären.
02 / KANÄLE
Phishing ist nicht nur E-Mail.
Angreifer wählen den Kanal, auf dem Ihre Mitarbeitenden am wenigsten vorbereitet sind. Wir testen dort, wo es weh tut – immer in Abstimmung mit Ihnen.
02
SMS & Messenger
Smishing per SMS, WhatsApp-Business-Pretexte, Teams-Nachrichten von vermeintlichen Kollegen. Besonders wirksam gegen mobile Belegschaft und Außendienst.
03
Vishing
Telefon-Angriffe durch deutschsprachige Operator, oft kombiniert mit vorangegangenem E-Mail-Kontakt. Auf Wunsch mit kontrollierter Voice-Cloning-Variante für Geschäftsführung.
03 / HALTUNG
Kein Pranger. Klare Regeln.
Wer auf einen simulierten Link klickt, wird nicht namentlich an Vorgesetzte gemeldet. Die Safe-Harbor-Seite erklärt ruhig, was gerade passiert ist, warum es relevant ist und wie man beim nächsten Mal reagieren kann. Gemeldet wird auf Gruppen- und Abteilungsebene, nie personenbezogen. Das ist nicht nur ethisch richtig – es ist die einzige Art, eine Meldekultur aufzubauen, in der Menschen tatsächlich früh melden, auch wenn sie selbst unsicher sind.
Vor jeder Kampagne gibt es eine schriftliche Rahmenvereinbarung mit IT, Security, HR und Betriebsrat. DSGVO-konforme Datenhaltung in Deutschland, Löschfristen vertraglich fixiert, keine Übermittlung in Drittländer. Wir liefern die Auswertung, Sie behalten die Rohdaten – oder wir löschen sie auf Wunsch direkt nach dem Debrief.
04 / KPIs
Vier Zahlen, die zählen.
- KPI 01
- Anteil der Empfänger, die auf den Link klicken. Baseline oft 15–30 %, nach zwölf Monaten Programm realistisch 3–6 %.
- KPI 02
- Anteil der Klicker, die auch Credentials eingeben. Der eigentlich gefährliche Wert – hier entsteht der Initial Access.
- KPI 03
- Anteil der Empfänger, die die Mail über den offiziellen Meldeweg weitergeben. Zielwert auf mittlere Sicht: deutlich über der Click Rate.
- KPI 04
- Minuten vom ersten Versand bis zur ersten Meldung. Zeigt, ob Ihr Frühwarnsystem wirklich funktioniert.
Click Rate
Submit Rate
Report Rate
Time-to-First-Report
NÄCHSTER SCHRITT
Eine Kampagne in vier Wochen.
Scoping-Gespräch, OSINT-Runde, abgestimmtes Szenario, kontrollierter Versand, ehrliches Debrief. Inklusive Executive-Report und Material für Ihr nächstes All-Hands.