Häufig gestellte Fragen zu Phishing-Simulationen und Awareness-Trainings

Im sensiblen Bereich der Cyber‑Sicherheit ist Vertraulichkeit ein wesentlicher Bestandteil des Selbstverständnisses von Tutoolio Awareness.

Unsere Lösungen für Phishing‑Simulationen und Awareness‑Trainings werden von Organisationen sämtlicher Größen und Branchen eingesetzt – von mittelständischen Unternehmen bis hin zu großen Konzernen mit über 12.000 Beschäftigten.

Zu unserem Kundenkreis zählen:

• Unternehmen aus Industrie, Handel, Dienstleistung und öffentlicher Verwaltung
• Ministerien und Behörden auf Bundes‑, Landes‑ und Kommunalebene
• Hochschulen, Universitäten und Forschungseinrichtungen
• Verbände, Vereine, Kammern und Stiftungen

Wir behandeln alle Kundenprojekte mit höchster Diskretion. Interessenten, die mehr über erfolgreiche Awareness‑Trainings oder konkrete Phishing‑Simulationen in ihrer Branche erfahren möchten, können uns jederzeit kontaktieren. Auf Anfrage stellen wir ausgewählte Referenzen bereit – individuell abgestimmt auf Ihre Unternehmensgröße und Ihre Sicherheitsanforderungen.

Wir übernehmen auf Wunsch die gesamte Planung, Durchführung und Dokumentation der Phishing-Simulationen und Awareness-Schulungen in Ihrem Unternehmen (Full Manged Service).

Für IT-Dienstleister, die ihren Kunden Phishing-Simulationen und Awareness-Schulungen anbieten möchten, bieten wir mandantenfähige White-Label-Lösungen an.

Das Phishing‑Simulations‑Tool von Tutoolio Awareness bildet alle gängigen Phishing‑Arten realistisch ab: Massen‑Phishing (breit gestreute Kampagnen), Spear‑Phishing (gezielte, personalisierte Angriffe), Whaling/CEO‑Fraud (Angriffe auf Führungskräfte und Finance), Clone‑Phishing (kopierte Original‑Mails mit manipulierten Links/Anhängen) sowie Pharming (Umleitung auf gefälschte Websites).

Mit dem Toll lassen sich alle gängigen Social‑Engineering‑Taktiken simulieren, z. B.:

• Dringlichkeit/Zeitdruck,
• Autorität (vorgebliche Vorgesetztenanweisungen),
• Neugier/Belohnung (Gewinnspiel, Bonus),
• Vertrauen/Tarnung (gefälschte interne Absender,
• Marken‑Imitation) sowie
• Pretexting (glaubwürdige Vorwände wie HR, IT‑Helpdesk, Lieferanten).

Mit dem Tool können alle  relevanten Vektoren simuliert werden: Links/URL‑Phishing, Anhänge (Office, PDF, ZIP), Downloads (falsche Updates), QR‑Codes (Quishing), realistische Formular‑/Login‑Seiten und Cloud-/SaaS‑Imitationen (z. B. Microsoft 365, Google Workspace, Filesharing).

Die fertigen Phishing-Kampagnen aus dem Katalog sind in drei Schwierigkeitsstufen verfügbar: Einfach, Mittel und Schwer. Diese Abstufung ermöglicht es, Awareness-Trainings schrittweise aufzubauen – vom Einstieg für unerfahrene Mitarbeitende bis hin zu anspruchsvollen Spear-Phishing-Szenarien für fortgeschrittene Zielgruppen.

Empfängerdaten können per CSV importiert oder automatisch via SCIM/Directory synchronisiert werden. Integrationen: Microsoft Entra ID (Azure AD), Google Workspace, Okta, Keycloak. Neue Mitarbeitende werden automatisch erfasst, ausgeschiedene entfernt.

Ja. Phishing-Kampagnen lassen sich zielgruppenspezifisch planen (z. B. Finance, HR, IT, Vertrieb, Management). So trainieren Sie abteilungsspezifische Risiken.

Dashboards zeigen Zustell‑, Öffnungs‑, Klick‑ und Melderaten in Echtzeit. Trends, Risikogruppen und Fortschritte werden sichtbar. Reports lassen sich für Audit, Compliance und Management exportieren – anonymisiert oder personenbezogen, je nach Policy.

Ja. Nach einer kritischen Interaktion landen Mitarbeitende auf einer Aufklärungsseite mit konkreten Hinweisen („Was war verdächtig? Wie erkenne ich das künftig?“). Dieses Mikrolernen im Moment der Interaktion erhöht nachweislich die Erkennungsrate.

Zurzeit umfasst die Bibliothek 15 Cyber-Awareness-Schulungen (Stand: 29.09.2024). Die Bibliothek wird laufend um neue E-Learnings zu aktuellen Cyber-Gefahren erweitert.

Die Cyber-Awareness-Schulungen können in allen E-Learnings-Standards für Ihre Lernmanagementsystem bereitgestellt werden (SCORM 1.2, SCORM 2004, TinCan / xAPI, cmi5, AICC, LTI). 

Die Cyber-Awareness-Schulungen werden Ihnen auf der Lernplattform von Ruroolio Awareness bereitgestellt. Die Bereitstellung erfolgt in der smarten Cockpit-Variante oder in der Vollversion des Lernmanagementsystems (LMS).

Die Bereitstellung erfolgt als Software-as-a-Service.

Durch die Bereitstellung als Software-as-a-Service (SaaS), auch bekannt als Cloud-Software, profitieren Sie von zahlreichen Vorteilen. Ihre IT-Ressourcen werden entlastet. Wir übernehmen das komplette Hosting und die Wartung. Neue Funktionen und Sicherheitsupdates werden regelmäßig automatisch eingespielt.

Die Tools werden ausschließlich am Serverstandort Deutschland gehostet.

Alle Lösungen von Tutoolio Awareness sind 100%-DSGVO-konform.

Die Verarbeitung von personenbezogenen Daten erfolgt stets auf Grundlage eines Vertrags über die Auftragsverarbeitung. Die Lösungen von Tutoolio Awareness werden streng nach den DSGVO-Prinzipen der „Datenschutzfreundlichen Voreinstellungen (Privacy by Default)“ sowie der „Datenschutzfreundlichen Technik (Privacy by Design)“ entwickelt und betrieben, z. B.:

• wahlweise anonymisierte oder personalisierte Auswertungen,
• rollenbasierte Zugriffe
• transparente Informationsprozesse.

Hier finden Sie den Vergleich.

Phishing-Simulationen sind realitätsnahe Testangriffe per E‑Mail, Link, Anhang oder QR‑Code. Mitarbeitende erhalten simulierte Phishing-Nachrichten, die echten Betrugsversuchen nachempfunden sind. Reagiert jemand darauf (z. B. Klick auf Link), folgt sofort ein kurzes Mikrolern‑Modul mit konkreten Hinweisen („Was war verdächtig? Wie erkenne ich das künftig?“). Unternehmen messen Zustell‑, Klick‑ und Melderaten, erkennen Risikogruppen und verbessern gezielt das Sicherheitsbewusstsein durch kontinuierliche Awareness‑Trainings.

Der Begriff „Human Firewall“ beschreibt die entscheidende Rolle von Mitarbeitenden als erste Verteidigungslinie gegen Cyberangriffe, insbesondere durch Phishing und Social Engineering.

In einer Zeit, in der Cyberbedrohungen ständig zunehmen und technologische Firewalls allein nicht ausreichen, ist es unerlässlich, das Bewusstsein und die Reaktionsfähigkeit der Mitarbeiter zu stärken. Durch gezielte Phishing-Simulationen können Unternehmen Schwachstellen im Sicherheitsbewusstsein identifizieren und gezielt angehen. Diese Simulationen ermöglichen es den Mitarbeitern, gefährliche E-Mails zu erkennen und angemessen zu reagieren.

Ergänzend dazu bieten umfassende Cyber-Security-Schulungen wichtige Kenntnisse über aktuelle Bedrohungen und sichere Praktiken im Umgang mit Daten. Indem Unternehmen eine Kultur der Sicherheit fördern und regelmäßige Schulungen anbieten, schaffen sie eine robuste Human Firewall, die oft noch effektiver ist als technische Sicherheitsmaßnahmen, da sie menschliches Verhalten in den Mittelpunkt stellt und damit eine nachhaltige Sicherheit gewährleistet.

Awareness-Trainings sind Programme zur Stärkung des Sicherheitsbewusstseins in Unternehmen. Sie kombinieren praxisnahe Phishing‑Simulationen mit kurzen E‑Learnings, Leitfäden und Best Practices. Ziel ist es, menschliche Sicherheitslücken zu schließen, typische Angriffe (Phishing, Social Engineering, Quishing) zu erkennen und richtig zu handeln. Moderne Awareness‑Trainings bieten Rollen‑ und Abteilungsbezug, stufenweise Schwierigkeit sowie messbare KPIs.

Massen‑Phishing sind breit gestreute E‑Mail‑Kampagnen an viele Empfänger:innen. Die Inhalte sind generisch (z. B. angebliche Paketbenachrichtigungen, Kontosperrungen, Gewinnspiele) und setzen auf hohe Reichweite statt hoher Qualität. Ziel ist, dass ein kleiner Prozentsatz klickt oder Daten preisgibt. Phishing‑Simulationen trainieren diese Muster und senken Klick‑ und Schadensquoten.

Spear‑Phishing sind gezielte, personalisierte Phishing‑Angriffe auf einzelne Personen, Teams oder Funktionen (z. B. HR, Finance). Inhalte wirken besonders glaubwürdig, referenzieren echte Projekte, Namen von Kolleg:innen oder aktuelle Termine. Ziel ist Datendiebstahl, Zugangsdaten‑Abgriff oder Zahlungsanweisungen. Phishing‑Simulationen auf „Schwer“ trainieren genau diese Szenarien.

Whaling (auch CEO‑Fraud) bezeichnet hochgradig glaubwürdige, oft dringend formulierte Angriffe auf Führungskräfte und Finanzverantwortliche. Angreifer imitieren Management‑Identitäten (E‑Mail, Signatur, Schreibstil) und fordern etwa eilige Überweisungen oder Datenfreigaben an. Whaling‑Simulationen schärfen das Risikobewusstsein in Management‑ und Finance‑Rollen.

Social Engineering ist die psychologische Manipulation von Menschen, um vertrauliche Informationen zu erhalten oder Handlungen auszulösen. Typische Taktiken: Dringlichkeit, Autorität („vom Chef“), Neugier/Belohnung, Angst, Vertrauen (Marken‑ oder Kollegen‑Imitation). Awareness‑Trainings vermitteln diese Muster, um Fehlhandlungen zu vermeiden.

Quishing ist Phishing über QR‑Codes. Nutzer:innen scannen einen QR‑Code (z. B. auf Plakaten, E‑Mails, Paketzetteln) und landen auf betrügerischen Websites, die Logins abgreifen oder Downloads auslösen. Phishing‑Simulationen mit QR‑Codes trainieren das kritische Prüfen von Zielen vor dem Scannen.

Beim Clone Phishing kopieren Angreifer legitime E‑Mails (z. B. Newsletter, Rechnungen, Projekt‑Updates) und ersetzen Links oder Anhänge durch schädliche Varianten. Die E‑Mail wirkt vertraut, weil Aufbau und Design dem Original entsprechen. Simulationen mit Clone‑Phishing stärken die Detailprüfung von Absender, Links und Dateinamen.

Pharming leitet Nutzer:innen unbemerkt auf gefälschte Websites um – selbst wenn die richtige URL eingegeben wurde. Das geschieht z. B. über manipulierte DNS‑Einträge, kompromittierte Router oder Malware. Ziel ist der Diebstahl von Zugangsdaten. Awareness‑Trainings vermitteln Indikatoren (z. B. Zertifikatswarnungen) und fördern Mehrfaktor‑Authentifizierung.