Ausgangslage
Sellrock UG, ein 35-köpfiges SaaS-Unternehmen aus Nürnberg, führte 2025 eine erste interne Phishing-Simulation durch. Das Ergebnis: 27 % Klickrate, 11 % der Mitarbeitenden gaben in einer simulierten Login-Maske sogar Zugangsdaten ein. Die Geschäftsführung entschied, das Awareness-Programm grundlegend neu aufzustellen.
Was umgesetzt wurde
- Phishgate-Browser-Extension via GPO-Rollout in 4 Tagen
- Whitelist-Konfiguration für die 18 wichtigsten internen Tools
- 60-minütige Awareness-Basis-Schulung für alle Teams
- Wöchentlicher Slack-Update-Channel mit echten (anonymisierten) Phishing-Beispielen
Ergebnisse nach 6 Wochen
Die zweite Simulation zeigte:
- Klickrate von 27 % auf 6 %
- Reporting-Quote (proaktive Mitarbeiter-Meldungen) von 14 % auf 71 %
- Time-to-Report im Median von 3 Stunden auf 9 Minuten
- Keine simulierte Credential-Eingabe nach Warnung — Phishgate hatte im Browser sichtbar gewarnt und im FULL Mode blockiert
Was den Unterschied gemacht hat
Die Kombination aus Browser-Warnung, optionaler Blockierung und Awareness war entscheidend. Vorher haben unsere Schulungen alleine nicht gegriffen — Mitarbeitende klicken trotzdem. Jetzt gibt es nicht nur Erkennen, sondern eine spürbare Warnschicht.
Die Geschäftsführung berichtet vor allem über die Veränderung der Kultur: Phishing-Verdachte werden inzwischen offen geteilt, nicht versteckt.