Social Engineering & Awareness | ITanic
Cybersecurity Social Engineering & Awareness
Mitarbeiter als Angriffsziel

Ihre Mitarbeiter als stärkste Verteidigungslinie.

Über 90% aller erfolgreichen Angriffe beginnen beim Menschen, nicht bei der Technik. Wir simulieren Phishing, CEO Fraud und Voice Phishing unter realen Bedingungen. Sie sehen exakt wo Ihr Team verwundbar ist.

Erstgespräch vereinbaren
Phishing Simulation Q1 2025 ABGESCHLOSSEN
Gesamtergebnis · 247 Mails · 3 Szenarien
Link geklickt
34%
Zugangsdaten eingegeben
18%
Vorfall gemeldet
8%
Klickrate nach Abteilung
Buchhaltung
71%
Vertrieb
52%
Management
38%
IT-Abteilung
14%
247
Mitarbeiter getestet
84
Schulungsbedarf
3
Szenarien
Simulationen Bericht & Training Warum ITanic FAQ
Das Problem

Technische Sicherheit ist wertlos, wenn Menschen sie umgehen.

Firewalls, Antivirus und EDR schützen vor automatisierten Angriffen. Professionelle Angreifer umgehen all das, indem sie einfach einen Mitarbeiter anrufen, eine glaubwürdige E-Mail schicken oder sich als Techniker ausgeben.

Viele Unternehmen schulen einmal im Jahr mit einer PowerPoint-Präsentation. Das reicht nicht. Nur wer unter realen Bedingungen getestet wird, weiß tatsächlich wie sein Team reagiert.

91%
aller Cyberangriffe beginnen mit einer Phishing-Mail
82%
der Datenpannen haben menschliches Versagen als Ursache

Mitarbeiter kennen die reale Gefahr nicht

Theoretisches Wissen schützt nicht. Wer nie eine echte Simulation erlebt hat, erkennt einen gezielten Angriff auf sein Unternehmen nicht rechtzeitig.

Keine Messung, keine Verbesserung

Ohne Simulation wissen Sie nicht wo Ihr Team steht. Klickraten, Meldequoten und Risikogruppen bleiben unsichtbar bis ein echter Angriff sie sichtbar macht.

CEO Fraud kostet Unternehmen Millionen

Gefälschte Zahlungsanweisungen vom vermeintlichen Geschäftsführer sind die teuersten Social-Engineering-Angriffe. Durchschnittlicher Schaden pro Vorfall: über 130.000 Euro.

01 Simulationen

Reale Angriffe. Kontrollierte Bedingungen. Messbare Ergebnisse.

Wir simulieren die Methoden die echte Angreifer verwenden. Jedes Szenario wird individuell auf Ihr Unternehmen, Ihre Branche und aktuelle Angriffstrends abgestimmt.

Phishing
E-Mail · Massenangriff · Credential Harvesting
CEO Fraud & Spear Phishing
Gezielt · Personalisiert · Rechnungsbetrug
Voice Phishing
Vishing · IT-Support Impersonation · Pretexting
Smishing & QR-Phishing
SMS · QR-Codes · Fake-Login · Mobile
Planung
Szenarien individuell auf Ihr Unternehmen abstimmen
Zielgruppen und Abteilungen definieren
Pretext und Angriffsmuster entwickeln
Simulation
Kampagne ohne Vorankündigung durchführen
Klickraten und Reaktionen tracken
Meldeverhalten und Reaktionszeit messen
Bericht
Management Summary für Geschäftsführung
Technischer Bericht mit Kampagnenauswertung
Empfehlungen in 3 Prioritätsstufen
So sieht ein echter Phishing-Angriff aus
Von: it-support@ihr-unternehmen-helpdesk.com 1
An: m.wagner@ihr-unternehmen.at
Betreff: ⚠ Dringlich: Ihr Passwort läuft in 24 Stunden ab 2
Sofortige Aktion erforderlich: Konto-Verifikation

Sehr geehrte/r Frau/Herr Wagner,

unser System hat festgestellt, dass Ihr Unternehmenskonto in 24 Stunden gesperrt wird, sofern Sie Ihre Zugangsdaten nicht umgehend bestätigen.

Bitte klicken Sie auf den folgenden Link um Ihr Konto zu sichern:
→ Konto jetzt verifizieren: ihr-unternehmen-portal.helpdesk-login.net/verify 3

Mit freundlichen Grüßen
IT-Support Team | Ihr Unternehmen GmbH
1
Gefälschte Absender-Domain
Die Adresse klingt vertraut, stammt aber nicht von Ihrem Unternehmen. "helpdesk.com" ist eine externe Domain die die echte imitiert. Im Posteingang zeigen viele Mail-Clients nur den Anzeigenamen, nicht die Domain.
2
Künstliche Dringlichkeit
Zeitdruck ist das wirksamste Social-Engineering-Mittel. Wer unter Druck handelt, prüft nicht nach. Das Ziel ist genau das: schnelles Klicken ohne Nachdenken.
3
Phishing-Link
Die URL wirkt auf den ersten Blick vertraut. Die eigentliche Domain steht ganz am Ende: "helpdesk-login.net" ist die Fälschung. Zugangsdaten die dort eingegeben werden, landen direkt beim Angreifer.
Wissen Sie wie viele Ihrer Mitarbeiter auf eine Phishing-Mail klicken würden?
Die meisten Unternehmen unterschätzen das Risiko bis sie die Zahl schwarz auf weiß sehen.
Erstgespräch vereinbaren
02 Bericht & Training

Nach dem Angriff kommt die Klarheit. Dann die Verbesserung.

Simulation allein reicht nicht. Der Abschlussbericht zeigt wo das Risiko liegt. Das Training behebt es. Und die Dokumentation beweist es.

Trainingsablauf und Inhalte

01

Ergebnisanalyse und Abschlussbericht

Nach der Simulation erhalten Sie einen vollständigen Abschlussbericht: Management Summary, technischer Bericht mit Kampagnenauswertung, detaillierte Klickraten nach Abteilung und priorisierte Empfehlungen in drei Stufen.

Bericht
02

Management-Präsentation der Befunde

Wir präsentieren die Ergebnisse direkt der Geschäftsführung oder dem IT-Verantwortlichen. Zahlen, Risikogruppen und Handlungsbedarf werden klar und ohne Fachchinesisch aufbereitet.

Präsentation
03

Awareness Training für Risikogruppen

Das Training setzt direkt an den realen Ergebnissen an. Mitarbeiter sehen wie die eigene Abteilung abgeschnitten hat. Angriffsmuster, Erkennungsmerkmale und richtiges Verhalten im Ernstfall.

Workshop
04

Zertifikate und NIS2-Dokumentation

Alle Trainingsteilnehmer erhalten ein Zertifikat. Die gesamte Maßnahme wird NIS2-konform dokumentiert: Datum, Teilnehmer, Inhalte, Ergebnisse. Verwendbar als offizieller Compliance-Nachweis.

NIS2-Nachweis
05

Wiederholungssimulation zur Erfolgsmessung

Nach dem Training folgt auf Wunsch eine zweite Simulation. Sie sehen konkret wie sich Klickraten und Meldequoten verändert haben.

optional
Simulation, Bericht, Training und Zertifikate aus einer Hand.
Alles was Sie für den NIS2-Nachweis und echte Verbesserung brauchen.
Erstgespräch vereinbaren
Warum ITanic

Simulationen die wirklich treffen.

Generische Phishing-Templates bringen kaum Erkenntnisse. Was zählt ist ein Szenario das Ihre Mitarbeiter für real halten.

Keine Vorankündigung. Echte Ergebnisse.

Simulationen laufen ohne Vorwarnung. Nur so erhalten Sie realistische Klickraten statt Vorsichtswerte aus einer vorbereiteten Testgruppe.

Kein Template. Ihr Unternehmen, Ihre Szenarien.

Firmennamen, Branche, typische interne Prozesse und aktuelle Angriffstrends fließen in jedes Szenario ein. Mitarbeiter halten es für real, weil es real wirkt.

Messbar. Vor und nach dem Training.

Klickraten, Meldequoten und Risikogruppen werden dokumentiert. Sie sehen konkret wo sich was verbessert hat, nicht nur ob.

NIS2-Nachweis und DSGVO aus einer Hand.

Vollständige Dokumentation für die Behörde, keine personenbezogene Auswertung ohne HR-Abstimmung, konform mit österreichischem Arbeitsrecht.

FAQ

Ihre Fragen zu Phishing-Simulationen.

Simulation
Werden Mitarbeiter im Voraus über die Simulation informiert?
+
Nein, das wäre kontraproduktiv. Die Simulation läuft ohne Vorankündigung an die Mitarbeiter. Die Unternehmensführung und relevante Ansprechpartner wie HR und IT werden vorab eingebunden, die Belegschaft nicht. Nur so erhalten Sie realistische Ergebnisse.
Können bestimmte Personen oder Abteilungen ausgeschlossen werden?
+
Ja. Im Vorfeld definieren wir gemeinsam Scope und Ausschlüsse. Personen in besonders sensiblen Rollen, Mitarbeiter in Elternzeit oder andere Ausnahmen können vorab festgelegt werden.
Was passiert wenn ein Mitarbeiter tatsächlich auf den Link klickt?
+
Der Mitarbeiter wird nach dem Klick sofort auf eine neutrale Informationsseite geleitet, die erklärt was gerade passiert ist und warum. Keine Daten werden erhoben, keine echten Anmeldedaten gespeichert. Das Ziel ist Lernen, nicht Überführen.
Ergebnisse und Training
Wie werden die Ergebnisse ausgewertet und wer sieht sie?
+
Ergebnisse werden ausschließlich auf Abteilungsebene ausgewertet, nicht als individuelle Personenliste. Wer die Berichte erhält, wird vorab gemeinsam mit Ihnen festgelegt. Alle Daten werden vertraulich behandelt und DSGVO-konform verarbeitet.
Deckt das Training die NIS2-Anforderungen ab?
+
Ja. NIS2 verpflichtet betroffene Unternehmen zu regelmäßigen Security-Awareness-Maßnahmen und deren Dokumentation. Wir liefern Simulation, Training und vollständige Dokumentation die als NIS2-Nachweis eingesetzt werden kann.
Wie oft sollten Simulationen wiederholt werden?
+
Mindestens einmal jährlich, idealerweise zwei- bis dreimal pro Jahr. Angreifer passen ihre Methoden laufend an, und einmaliges Training verblasst nach einigen Monaten. Wir empfehlen einen jährlichen Zyklus: Simulation, Training, Wiederholungssimulation.
Nächster Schritt
Training schützt. Aber wenn doch jemand klickt, muss jemand es erkennen.
Detektion & Reaktion ansehen

Wissen Sie wie sicher Ihr Team wirklich ist?

Eine Simulation zeigt in wenigen Wochen wo die echten Risiken in Ihrem Unternehmen liegen. Ohne Theorie, ohne Raten.

Erstgespräch vereinbaren +43 664 252 0495
Kostenlos und unverbindlich
NIS2-Dokumentation inklusive
DSGVO-konform, HR-abgestimmt