„Unsere Klickrate ist von 28 auf 6 Prozent gesunken“ — der Klassiker im Awareness-Reporting. Klingt nach Erfolg. Sagt aber überraschend wenig darüber aus, ob das Unternehmen tatsächlich sicherer geworden ist. Wer Phishing-Awareness ernsthaft steuern will, braucht ein breiteres Kennzahlen-Set.
Diese fünf KPIs liefern ein vollständiges Bild — und sie sind die Grundlage, auf der Security-Teams gegenüber Geschäftsführung und Aufsichtsbehörden ihre Arbeit darstellen können.
1. Click-through-Rate auf Test-Phishing
Die bewährte Klassiker-Kennzahl. Wichtig: Der Trend ist aussagekräftiger als der Absolutwert. Eine Halbierung in 6 Monaten signalisiert, dass das Programm wirkt; ein konstanter Wert von 5 % über zwei Jahre ist ein Warnzeichen für ein eingefahrenes Programm.
Achtung beim Vergleich: Die Klickrate hängt stark von der Qualität der Test-Mails ab. Wer leicht erkennbare Test-Phishs schickt, hat niedrige Klickraten — und ein falsches Sicherheitsgefühl.
2. Reporting-Quote
Wie viele Mitarbeitende melden eine verdächtige Mail proaktiv? Diese Quote ist oft aussagekräftiger als die Klickrate selbst. Eine Klickrate von 5 % bei gleichzeitig 80 % Reporting-Quote ist deutlich besser als 3 % Klick und 10 % Reporting.
Hintergrund: Eine hohe Reporting-Quote bedeutet, dass die Belegschaft aufmerksam ist und dass die Meldewege niedrigschwellig funktionieren. Beides ist im Ernstfall — also bei einem echten Angriff — wichtiger als eine kleine Klickrate.
3. Time-to-Report
Wie lange dauert es im Schnitt, bis ein verdächtiges Mail-Pattern intern gemeldet wird? Unter 10 Minuten ist das Ziel; alles über einer Stunde ist riskant, weil sich der Angriff in dieser Zeit ausbreitet — etwa durch Weiterleitungen, parallele Klicks oder Nachfolge-Mails.
Diese KPI lässt sich gut operationalisieren: Sie zeigt, wo der Meldekanal funktioniert und wo Mitarbeitende nicht wissen, an wen sie sich wenden sollen.
4. Repeat-Offender-Rate
Welcher Anteil der Mitarbeitenden klickt wiederholt auf Test-Phishs? Diese Gruppe braucht mehr als nur generische E-Learnings. Sinnvolle Antworten sind:
- Eine 1:1-Sitzung mit dem Security-Team oder der Führungskraft
- Rollenspezifische Vertiefung (Buchhaltung benötigt andere Inhalte als Marketing)
- Zusätzliche Browser-Warnungen oder ein strikterer Modus für die betroffene Gruppe
Wichtig: Die Repeat-Offender-Quote ist ein Steuerungsinstrument, kein Sanktionsinstrument. Eine Kultur, in der Mitarbeitende für falsche Klicks bloßgestellt werden, senkt die Reporting-Quote drastisch — was das größere Problem ist.
5. Coverage-Quote
Wie viele Mitarbeitende haben in den letzten 12 Monaten eine dokumentierte Schulung absolviert? Aus DSGVO- und Aufsichtsbehörden-Sicht ist diese Kennzahl entscheidend — sie ist der Nachweis im Audit, der zwischen fahrlässig und angemessene organisatorische Maßnahmen unterscheidet.
100 % Coverage ist das Ziel — und es ist erreichbar, wenn Schulungen mit Onboarding-Prozessen verzahnt sind und es klare jährliche Auffrischungs-Termine gibt.
Wie technische Schutzschichten die KPIs liefern
Awareness-KPIs lassen sich nur dann sauber erheben, wenn sie technisch unterstützt werden. Phishgate liefert für die Kennzahlen 2 und 3 die Live-Daten direkt aus dem Browser:
- Jede Phishing-Meldung über die „Als Phishing melden“-Funktion zählt automatisch in die Reporting-Quote.
- Der Zeitstempel zwischen Warnung und Meldung liefert die Time-to-Report — pro Mitarbeiter, pro Team, pro Domain.
- Wiederholte Warnungen bei einzelnen Mitarbeitenden machen Repeat Offender sichtbar — ohne dass künstliche Test-Phishs nötig sind.
- IT sieht in Echtzeit, wo neue Phishing-Vektoren auftauchen, und kann gezielt darauf reagieren.
Awareness-Schulungen mit messbarer Wirkung
Wir bieten Awareness-Schulungen an, die explizit auf diese KPIs ausgelegt sind: vor Ort in Ihrem Unternehmen, mit aktuellen Phishing-Beispielen, dokumentierter Teilnahme und Lernzielkontrolle. Kombiniert mit Phishgate entsteht ein durchgehend messbares Awareness-Programm.
Fazit
Click-Rate, Reporting-Quote, Time-to-Report, Repeat-Offender-Rate und Coverage — fünf KPIs reichen für ein wirksames Awareness-Steuerboard. Wer ausschließlich auf die Klickrate schaut, optimiert die falsche Zahl. Wer die fünf zusammen betrachtet, kann sein Awareness-Programm gezielt steuern und im Audit oder gegenüber der Geschäftsführung sauber darstellen.