Eine Phishing-Simulation senkt die Klickrate auf Phishing-E-Mails bei Schweizer KMU-Mitarbeitenden nachweislich um 40 bis 60 Prozent — wenn sie regelmässig und begleitend zu Training durchgeführt wird. Angesichts der Tatsache, dass Phishing mit ca. 16 Prozent einer der häufigsten initialen Angriffsvektoren ist und 68 Prozent aller Datenverletzungen einen nicht-böswilligen menschlichen Faktor involvieren (Verizon DBIR 2024) und das NCSC in der Schweiz 2024 über 63’000 Cybervorfälle registriert hat, ist das Testen der menschlichen Sicherheitsebene keine optionale Zusatzmassnahme mehr — es ist ein betrieblicher Grundschutz. Dieser Leitfaden vergleicht die wichtigsten Phishing-Simulationsanbieter in der Schweiz, erklärt die Kostenstruktur und zeigt, warum Red Teaming der logische nächste Schritt nach der ersten Simulation ist.

Was ist eine Phishing-Simulation und warum braucht Ihr KMU sie?

Bei einer Phishing-Simulation sendet ein Dienstleister oder Ihre IT-Abteilung kontrollierte, gefälschte Phishing-E-Mails an Ihre Mitarbeitenden — ohne dass diese es im Voraus wissen. Das Ziel ist nicht, die Mitarbeitenden zu bestrafen oder zu blamieren, sondern herauszufinden, wie viele Personen:

  • Auf den enthaltenen Link klicken
  • Zugangsdaten auf einer gefälschten Seite eingeben
  • Den Anhang öffnen
  • Die E-Mail melden (positives Verhalten!)

Die Ergebnisse zeigen nicht nur die Verwundbarkeit des Unternehmens, sondern identifizieren auch, welche Abteilungen oder Personengruppen besonders gefährdet sind — und damit, wo Schulungsbedarf am grössten ist.

Der Business Case für Phishing-Simulationen

Die Zahlen sprechen für sich:

  • CHF 84’000 beträgt der durchschnittliche direkte Schaden einer Datenpanne für ein Schweizer KMU (IBM Security 2024)
  • CHF 4.7 Millionen beträgt der durchschnittliche Gesamtschaden einer Datenpanne in der Schweiz, wenn alle Folgekosten eingerechnet werden (IBM 2024)
  • Eine professionelle Phishing-Simulation kostet je nach Umfang CHF 800 bis CHF 8’000 pro Jahr

Die Return-on-Security-Investition ist damit offensichtlich. Gleichzeitig erfüllen Unternehmen mit Phishing-Simulationsprogrammen einen Teil der Anforderungen des nDSG (Datenschutzgesetz) bezüglich angemessener Datenschutzmassnahmen.

Wie funktioniert eine professionelle Phishing-Simulation?

Phase 1: Planung und Konfiguration

Gemeinsam mit dem Anbieter werden die Ziele der Kampagne definiert:

  • Welche Abteilungen werden getestet?
  • Welches Schwierigkeitsniveau (einfach bis hochpersonalisiert)?
  • Welche Phishing-Typen werden simuliert (E-Mail, SMS/Smishing, Telefonanruf/Vishing)?
  • Wie lange läuft die Kampagne?
  • Was geschieht, wenn ein Mitarbeitender klickt? (Direktes Micro-Training vs. nur Erfassung)

Phase 2: Durchführung

Der Anbieter sendet gefälschte Phishing-E-Mails in realistischen Abständen. Gute Kampagnen nutzen mehrere Vorlagen mit unterschiedlichen Schwierigkeitsstufen — von offensichtlichen generischen Phishing-E-Mails bis zu personalisierten, kontextbezogenen Nachrichten.

Beispiele für typische Schweizer Phishing-Vorlagen in Simulationen:

  • Gefälschte Microsoft 365-Sicherheitswarnung
  • Angebliche HR-Nachricht über neue Lohnabrechnungen
  • Fingierte IT-Ankündigung zu einem Passwort-Reset
  • Simulierte Paketzustellung der Post
  • Fake-CEO-Anfrage für eine vertrauliche Überweisung

Phase 3: Auswertung und Reporting

Nach der Kampagne erhalten Sie einen detaillierten Bericht:

  • Gesamt-Klickrate (Benchmark für Ihre Branche)
  • Aufschlüsselung nach Abteilung, Senioritätsstufe, Standort
  • Welche Phishing-Typen am häufigsten geklickt wurden
  • Wie viele Mitarbeitende die E-Mail gemeldet haben
  • Vergleich zu vorherigen Kampagnen (Fortschrittsmes­sung)

Phase 4: Training und Nachbereitung

Die Simulation allein schafft keine nachhaltige Verbesserung. Sie muss von gezieltem Training begleitet werden — sowohl für alle Mitarbeitenden als auch vertieft für die identifizierten Hochrisikogruppen.

Phishing-Simulationsanbieter in der Schweiz: Ein Vergleich

Der Markt für Phishing-Simulationen in der Schweiz ist vielfältig — von globalen Plattformlösungen bis zu lokalen Schweizer Spezialisten. Hier ein strukturierter Überblick:

Internationale Plattformlösungen (Self-Service)

KnowBe4

  • Weltmarktführer für Security Awareness Training
  • Umfangreiche Vorlagenbibliothek (über 1’000 Phishing-Templates, inkl. Schweizer Varianten)
  • Integriertes E-Learning-Modul
  • Kosten: ab ca. CHF 15–25 pro Nutzer/Jahr (Staffelung nach Teamgrösse)
  • Ideal für: KMU mit eigenem IT-Administrator
  • Verfügbarkeit auf Deutsch: Ja (eingeschränkt Schweizerdeutsch)

Proofpoint Security Awareness Training (ehemals Wombat)

  • Starke Integration mit Proofpoint E-Mail-Security
  • Detaillierte verhaltensbasierte Analysen
  • Kosten: ab ca. CHF 20–35 pro Nutzer/Jahr
  • Ideal für: Unternehmen, die bereits Proofpoint-Produkte nutzen
  • Deutsch: Ja

Sophos Phish Threat

  • Nahtlose Integration in das Sophos-Ecosystem
  • Einfach zu bedienen, keine technische Expertise nötig
  • Kosten: ab ca. CHF 10–20 pro Nutzer/Jahr (über Partner)
  • Ideal für: KMU, die bereits Sophos-Endpoint-Security nutzen

Hoxhunt

  • Spielerischer Ansatz (Gamification)
  • Automatisierte, adaptive Schwierigkeitsstufe
  • Kosten: ab ca. CHF 20–30 pro Nutzer/Jahr
  • Deutsch: Ja, inkl. Schweizer Varianten

Schweizer und DACH-Anbieter (Managed Service)

Infosec (DACH)

  • Vollständig auf Deutsch, DSGVO/nDSG-konform
  • Managed Service: Anbieter konfiguriert und führt durch
  • Kosten: Projektbasiert, typisch CHF 2’500–8’000 für KMU

Oneconsult (Schweiz)

  • Schweizer Unternehmen, spezialisiert auf Sicherheitsdienstleistungen
  • Phishing-Simulationen als Teil gründlicher Sicherheitsaudits
  • Kosten: Auf Anfrage, projektbasiert

InfoGuard (Schweiz)

  • Zentralschweizer Cybersecurity-Dienstleister
  • Phishing-Awareness-Kampagnen als Managed Service
  • Integration mit Red-Teaming-Angeboten möglich

Für einen vollständigen Überblick über Schweizer Cybersecurity-Dienstleister, die auch Phishing-Simulationen anbieten, empfehlen wir unsere Übersicht der Red-Team-Anbieter in der Schweiz.

Kosten für Phishing-Simulationen in der Schweiz

Die Preisstruktur hängt stark vom Modell ab — Self-Service-Plattform oder Managed Service. Hier eine Übersicht typischer Kosten für Schweizer KMU:

Kostenübersicht nach Unternehmensgrösse und Modell

UnternehmensgrösseSelf-Service-PlattformManaged Service (Schweizer Anbieter)Einmalige Kampagne
10–25 MitarbeitendeCHF 500–1’500/JahrCHF 1’500–3’500CHF 800–2’000
26–50 MitarbeitendeCHF 1’000–2’500/JahrCHF 2’500–5’000CHF 1’500–3’500
51–100 MitarbeitendeCHF 2’000–5’000/JahrCHF 4’000–8’000CHF 2’500–5’000
101–250 MitarbeitendeCHF 3’500–8’000/JahrCHF 6’000–15’000CHF 4’000–8’000

Preise sind Richtwerte und können je nach Anbieter, Umfang und enthaltenen Leistungen abweichen. Preise exkl. MWST.

Was ist im Preis typischerweise enthalten?

Self-Service-Plattformen:

  • Zugang zur Phishing-Vorlagenbibliothek
  • Reporting-Dashboard
  • Grundlegendes E-Learning-Material
  • Technischer Support (oft nur English/US-Zeitzone)

Managed Services (Schweizer Anbieter):

  • Beratungsgespräch und Kampagnenplanung
  • Anpassung der Phishing-Vorlagen auf Ihr Unternehmen
  • Durchführung und Überwachung
  • Persönliche Reportingpräsentation mit Empfehlungen
  • Optional: Schulungsworkshop für erkannte Risikogruppen

Zusatzkosten beachten

  • Schulungsmaterial: Viele Anbieter verkaufen E-Learning-Module separat (CHF 10–50 pro Nutzer)
  • Zertifizierungen: Compliance-Nachweise für nDSG oder ISO 27001 können extra kosten
  • Mehrsprachigkeit: Kampagnen in Französisch, Italienisch und Rätoromanisch kosten Aufpreis
  • Mehrjährige Programme: Rabatte von 10–30% bei Abschluss eines Mehrjahresvertrags üblich

Was eine Phishing-Simulation zeigt — und was nicht

Phishing-Simulationen sind ein wertvolles Werkzeug. Aber sie haben definierte Grenzen, die Sie kennen sollten:

Was Phishing-Simulationen zeigen:

  • Wie viel Prozent Ihrer Mitarbeitenden auf simulierte Phishing-E-Mails hereinfallen
  • Welche Abteilungen oder Personengruppen das höchste Risiko darstellen
  • Ob Training die Klickrate im Zeitverlauf senkt
  • Ob Mitarbeitende verdächtige E-Mails aktiv melden

Was Phishing-Simulationen nicht zeigen:

  • Was ein echter Angreifer nach dem ersten Klick tun kann
  • Wie tief ein Angreifer in Ihre Systeme eindringen kann
  • Ob Ihre technischen Sicherheitssysteme einen echten Angriff erkennen würden
  • Ob Ihre Incident-Response-Prozesse funktionieren
  • Ob ein gezielter Spear-Phishing-Angriff spezifisch auf Ihr Unternehmen erfolgreich wäre

Diese Lücke ist entscheidend — und hier setzt Red Teaming an.

Von der Phishing-Simulation zum Red Teaming: Der nächste Schritt

“Eine Phishing-Simulation beantwortet die Frage: ‘Würde jemand klicken?’ Red Teaming beantwortet die eigentlich wichtige Frage: ‘Was passiert, nachdem jemand geklickt hat — und wie lange dauert es, bis wir es merken?’”

— Sicherheitsarchitekt, Schweizer Finanzdienstleister (anonymisiert)

Wenn Ihre Phishing-Simulation zeigt, dass 25 Prozent Ihrer Mitarbeitenden auf eine simulierte Phishing-E-Mail hereinfallen, wissen Sie, dass Sie ein Problem haben. Aber Sie wissen noch nicht:

  • Ob ein Angreifer mit diesem initialen Zugriff Administrator-Rechte erlangen könnte
  • Ob Ihre EDR-Lösung (Endpoint Detection and Response) den Angriff erkennen würde
  • Ob Ihre Mitarbeitenden wissen, wie sie einen Vorfall eskalieren müssen
  • Ob Ihre Backup-Systeme einem Ransomware-Angriff standhalten würden

Red Teaming schliesst diese Lücke. Ein CREST-zertifiziertes Red Team simuliert einen vollständigen, realistischen Angriff auf Ihr Unternehmen — beginnend mit massgeschneiderten Spear-Phishing-E-Mails, gefolgt von der Ausnutzung aller gefundenen Schwachstellen, bis hin zur Simulation, was ein echter Angreifer nach dem Eindringen tun würde. Mehr zur Methodik in unserem Leitfaden Was ist Red Teaming?.

Die Sicherheitsreife-Pyramide für KMU

         Red Teaming
       (Vollständige Angriffssimulation)
      ————————————————————————————
     Penetrationstest
    (Technische Schwachstellensuche)
   ————————————————————————————————
  Phishing-Simulation + Training
 (Menschliche Sicherheitsebene testen)
————————————————————————————————————
Grundschutzmassnahmen
(MFA, Patch-Management, Backups)

Phishing-Simulationen adressieren die dritte Ebene dieser Pyramide. Für eine vollständige Sicherheitsstrategie brauchen KMU alle Ebenen — und Red Teaming ist die Methode, die alle auf einmal testet.

Phishing-Simulation und Compliance: Was das nDSG verlangt

Das neue Schweizer Datenschutzgesetz (nDSG) verlangt von Unternehmen, dass sie angemessene technische und organisatorische Massnahmen (TOMs) zum Schutz von Personendaten ergreifen. Phishing-Simulationen und Security-Awareness-Training gelten als anerkannte organisatorische Massnahme — und können im Falle einer Datenpanne als Nachweis dienen, dass das Unternehmen seine Sorgfaltspflicht wahrgenommen hat.

Konkret empfiehlt das NCSC für Schweizer KMU:

  • Mindestens jährliche Security-Awareness-Schulungen
  • Regelmässige Phishing-Tests als Teil des Schulungsprogramms
  • Dokumentation der durchgeführten Massnahmen

Mehr zu den konkreten Compliance-Anforderungen in unserer nDSG-Checkliste für KMU.

Phishing-Simulation richtig einführen: Praxistipps

Tipp 1: Informieren Sie die Geschäftsleitung, nicht die Mitarbeitenden

Die Simulation muss für Mitarbeitende überraschend sein — sonst verfälscht es das Ergebnis. Informieren Sie nur die Personen, die für die Durchführung verantwortlich sind (GL, IT-Leitung, HR-Leitung, Datenschutzverantwortliche).

Tipp 2: Beginnen Sie mit einem Basis-Assessment

Führen Sie die erste Simulation ohne vorheriges Training durch — um eine ehrliche Ausgangsmessung zu erhalten. Dieser “Baseline-Test” zeigt das echte Risikoniveau Ihres Unternehmens.

Tipp 3: Schulen Sie, bevor Sie wieder testen

Nach dem Baseline-Test: Training, dann zweite Simulation, dann Vergleich. Nur so messen Sie, ob das Training tatsächlich wirkt.

Tipp 4: Kommunizieren Sie den Zweck richtig

Mitarbeitende, die nach einem Klick beschämt werden, lernen nichts — ausser Angst vor der IT-Abteilung. Kommunizieren Sie klar: “Wir testen unser System, nicht die Integrität einzelner Personen. Wer klickt, lernt etwas.”

Tipp 5: Machen Sie das Melden attraktiv

Belohnen Sie Mitarbeitende, die Phishing-E-Mails melden — zum Beispiel mit einem positiven Feedback-E-Mail oder einem kleinen Anreiz. So fördern Sie aktives Sicherheitsverhalten.

Tipp 6: Wiederholen Sie regelmässig

Eine einzige Simulation reicht nicht. Sicherheitsexperten empfehlen mindestens vier Kampagnen pro Jahr, um nachhaltige Verhaltensänderungen zu erzielen und neue Mitarbeitende einzuschliessen.

“Viele Schweizer KMU führen eine Phishing-Simulation durch, sehen die Ergebnisse und fühlen sich erleichtert oder besorgt — und machen dann genau dasselbe wie vorher. Die Simulation allein schafft keine Sicherheit. Es ist das Programm dahinter, das zählt: regelmässiges Training, klare Meldewege und technische Massnahmen, die greifen, wenn trotzdem jemand klickt.”

— Security-Awareness-Spezialist, ISACA-Switzerland-Mitglied (anonymisiert)

Fazit

Phishing-Simulationen sind ein bewährtes und kosteneffizientes Mittel, um die menschliche Sicherheitsebene in Schweizer KMU zu stärken. Mit Kosten ab CHF 800 für eine einmalige Kampagne und CHF 500–2’500 pro Jahr für Self-Service-Plattformen sind sie auch für kleine Unternehmen erschwinglich — und ihr ROI bei einem verhinderten Phishing-Angriff ist unmittelbar messbar.

Doch Phishing-Simulationen sind nur ein Baustein einer detaillierten Sicherheitsstrategie. Sie zeigen, ob Mitarbeitende klicken — nicht, was nach dem Klick passiert. Für dieses vollständige Bild brauchen Sie Red Teaming: Professionelle, CREST-zertifizierte Sicherheitsexperten aus Zürich simulieren einen vollständigen Angriff auf Ihr Unternehmen — von der massgeschneiderten Phishing-E-Mail bis zum Test Ihrer gesamten Sicherheitsinfrastruktur. Kosten ab CHF 11’900 für Schweizer KMU. Jetzt unverbindlich anfragen und herausfinden, was nach dem Klick passiert.

Quellen