Phishing-Schulung: Mitarbeitende für Social Engineering und CEO Fraud sensibilisieren

Cyberkriminelle interessieren sich heute weniger für Firewalls als für Menschen. Eine einzige Phishing-Mail, ein gefälschter Anruf vom vermeintlichen CEO oder ein präparierter QR-Code reichen aus, um sechsstellige Schäden auszulösen. Deshalb gehört eine wirksame Phishing-Schulung 2026 zu den wichtigsten Schutzmaßnahmen für Unternehmen. Laut dem aktuellen Cybersicherheitsmonitor 2026 von BSI und ProPK war im vergangenen Jahr jeder neunte Internetnutzer in Deutschland von Cyberkriminalität betroffen – und 88 Prozent der Betroffenen erlitten dabei einen konkreten Schaden. Phishing zählt zu den häufigsten Vorfällen.

Für Unternehmen ist eine systematische Phishing-Schulung der Belegschaft deshalb längst keine Kür mehr, sondern zentraler Bestandteil jeder Sicherheitsstrategie. Dieser Beitrag zeigt, was Mitarbeitende über Phishing, Social Engineering und CEO Fraud wissen müssen – und warum ein LMS das ideale Werkzeug ist, um dieses Wissen nachhaltig in den Köpfen zu verankern.

Was bedeuten Phishing, Social Engineering und CEO Fraud?

Die drei Begriffe werden oft synonym verwendet, beschreiben aber unterschiedliche Dinge.

Social Engineering ist der Oberbegriff. Gemeint ist jede Form der psychologischen Manipulation, mit der Kriminelle Menschen dazu bringen, vertrauliche Informationen preiszugeben, Überweisungen auszulösen oder Schadsoftware zu installieren. Der Mensch ist hier die Schwachstelle, nicht die Technik.

Phishing ist die bekannteste Variante des Social Engineering. Über gefälschte E-Mails, SMS, QR-Codes oder Webseiten versuchen Angreifer, an Zugangsdaten, Zahlungsinformationen oder andere sensible Daten zu gelangen. Wichtige Spielarten sind:

• Spear-Phishing: personalisierte Angriffe auf einzelne Personen oder Abteilungen
• Whaling: Phishing-Angriffe auf Führungskräfte
• Vishing: Voice-Phishing über das Telefon, häufig mit geklonten Stimmen
• Smishing: Phishing per SMS oder Messenger
• Quishing: Phishing über manipulierte QR-Codes

CEO Fraud (auch „Chefmasche“ oder „Business Email Compromise“) ist eine besonders gefährliche Sonderform. Dabei geben sich Angreifer als Geschäftsführung, Finanzvorstand oder andere Vorgesetzte aus und fordern Mitarbeitende per E-Mail, Anruf oder Videocall zu dringenden Überweisungen oder zur Herausgabe vertraulicher Daten auf.

Eine wirksame Phishing-Schulung muss deshalb alle drei Themen – Phishing, Social Engineering und CEO Fraud – gemeinsam vermitteln.

Wie bedrohlich ist die Lage 2026 wirklich?

Die Zahlen sind eindeutig – und alarmierend.

Deutsche Unternehmen verzeichnen laut Check Point Research durchschnittlich rund 1.200 Cyberattacken pro Woche. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft kleine und mittlere Unternehmen im aktuellen Lagebericht explizit als besonders gefährdet ein – ihnen fehlen häufig Ressourcen, Fachwissen und klare Zuständigkeiten.

Besonders rasant entwickelt sich der Schaden durch CEO Fraud und Deepfakes. Die aktuelle Schadensstatistik von Allianz Trade zeigt einen besonders gefährlichen Trend: Die Fallzahlen beim Fake-President-Betrug gingen 2025 zwar leicht zurück, die Schäden je Fall stiegen aber um 81 Prozent – nachdem sie sich bereits 2024 verdreifacht hatten. Jeder einzelne Angriff wird also raffinierter, gezielter und teurer.

Auch die Deepfake-Komponente nimmt rasant zu: Branchendaten zufolge ist die Rate des Deepfake-Betrugs in Deutschland im Vorjahresvergleich um über 1.000 Prozent gestiegen – damit zählt Deutschland zu den am stärksten betroffenen Ländern Europas.

Wer denkt, das treffe nur Großkonzerne, liegt falsch. Laut Verizon Data Breach Investigations Report richten sich rund 43 Prozent aller weltweiten Cyberangriffe gegen kleine Unternehmen, und etwa 80 Prozent der angezeigten Ransomware-Angriffe in Deutschland trafen KMU.

Wie verändern KI und Deepfakes klassische Angriffe?

Vor wenigen Jahren waren Phishing-Mails noch oft an Rechtschreibfehlern, plumpen Anreden oder schlechter Grammatik zu erkennen. Diese Zeiten sind vorbei. Generative KI produziert heute Texte, die in Tonfall, Stil und Kontext exakt zur angegriffenen Person passen – inklusive interner Begriffe und korrekter Namen.

Drei Entwicklungen sind besonders kritisch:

1. Voice Cloning. Mit wenigen Sekunden Audiomaterial – etwa aus einem Podcast, einem LinkedIn-Video oder einem Webinar – lässt sich die Stimme einer Führungskraft kopieren. Im Telefonat ist die Fälschung kaum mehr vom Original zu unterscheiden.

2. Deepfake-Videocalls. Im Februar 2024 überwies ein Finanzangestellter in Hongkong rund 25 Millionen Dollar, nachdem er in einer Videokonferenz mit seinem vermeintlichen CFO und weiteren Kollegen gesprochen hatte. Sämtliche Teilnehmenden waren KI-generierte Deepfakes. Inzwischen sind solche Echtzeit-Videofälschungen technisch breit verfügbar.

3. KI-gestütztes Spear-Phishing. Angreifer analysieren öffentliche Informationen über Mitarbeitende und ihre Unternehmen, formulieren maßgeschneiderte Mails und kombinieren sie mit gefälschten Anrufen. Dieser hybride Angriffsweg unterläuft viele klassische Sicherheitsroutinen.

Auch prominente deutsche Persönlichkeiten sind betroffen: Kriminelle missbrauchten Anfang 2026 die Identität des Unternehmers Reinhold Würth mit einem gefälschten Video, das auf Social Media für dubiose Investmentangebote warb. Für Unternehmen heißt das: Eine moderne Phishing-Schulung muss KI-spezifische Inhalte fest integrieren.

Welche Schutzmaßnahmen funktionieren in der Praxis?

Technische Filter allein reichen nicht aus, wenn die Angriffe immer perfekter werden. Wirksamer Schutz entsteht aus dem Zusammenspiel von Technik, Organisation und Sensibilisierung.

Organisatorische Maßnahmen sind dabei oft die wirksamsten – und gleichzeitig die günstigsten:

• Vier-Augen-Prinzip bei allen Zahlungen ab einem definierten Schwellenwert. Keine Ausnahmen, auch nicht bei vermeintlichen CEO-Anweisungen.
• Out-of-Band-Verifikation: Ungewöhnliche Anweisungen werden über einen zweiten, vorher festgelegten Kanal bestätigt – zum Beispiel per Rückruf auf eine bekannte Mobilnummer, nicht auf die Nummer aus dem Anruf.
• Code-Wörter für kritische Anweisungen, die in jeder dringenden Zahlungsfreigabe genannt werden müssen.
• Reduktion öffentlich verfügbaren Materials: Jede Minute Video- oder Audioaufnahme von Führungskräften ist potenzielles Trainingsmaterial für Angreifer.

Sensibilisierung ist die zweite Säule – und hier zeigen sich klare Erfolgsmuster. Der Phishing by Industry Benchmarking Report von KnowBe4 belegt: Mitarbeitende in Europa haben ohne Phishing-Schulung eine Anfälligkeit von rund 32,5 Prozent. Nach 90 Tagen kontinuierlicher Phishing-Schulung sinkt der Wert auf rund 20 Prozent, nach einem Jahr auf etwa 5 Prozent. Das entspricht einem Rückgang um über 80 Prozent.

Entscheidend ist das Wort kontinuierlich. Eine einmalige Pflichtschulung pro Jahr bringt nachweislich wenig. Wirksam wird das Training erst durch:

• regelmäßige, kurze Lerneinheiten (Microlearning)
• realistische Phishing-Simulationen, bei denen Mitarbeitende fingierte Angriffe in ihrem Alltag erleben
• direktes, unmittelbares Feedback bei einem Fehlklick
• rollenspezifische Inhalte (die Buchhaltung braucht andere Beispiele als der Vertrieb)
• Auffrischungen, sobald neue Bedrohungen auftauchen – etwa nach einer realen Angriffswelle

Genau hier kommt ein LMS ins Spiel.

Warum ist ein LMS ideal für eine kontinuierliche Phishing-Schulung?

Ein Learning Management System (LMS) ist die digitale Infrastruktur, die kontinuierliche, skalierbare und nachweisbare Schulungen erst möglich macht. Speziell für das Thema Phishing, Social Engineering und CEO Fraud spielt es seine Stärken voll aus:

1. Skalierbarkeit über die gesamte Belegschaft. Egal, ob 50 oder 5.000 Personen geschult werden müssen: Im LMS lassen sich Pflichtkurse einer Zielgruppe in wenigen Klicks zuweisen – inklusive automatischer Erinnerungen und Eskalationsstufen.

2. Microlearning statt Frontalunterricht. Statt einer einzigen 90-Minuten-Schulung pro Jahr lassen sich kurze, fokussierte Lerneinheiten von fünf bis zehn Minuten verteilen. Genau dieses Format wirkt nachweislich am besten gegen das schnelle Vergessen.

3. Rollenspezifische Lernpfade. Buchhaltung, Geschäftsführung, IT, Vertrieb und Empfang sind unterschiedlich exponiert. Ein LMS spielt die passenden Inhalte automatisch an die jeweilige Zielgruppe aus.

4. Phishing-Simulationen und Praxisübungen. Moderne LMS-Plattformen lassen sich mit Phishing-Simulationstools koppeln. Wer auf eine fingierte Mail klickt, landet direkt in einer kurzen Lerneinheit, die den Vorfall einordnet und das richtige Verhalten zeigt.

5. Nachweis und Reporting. Die NIS2-Richtlinie, die KI-Verordnung und die DSGVO fordern dokumentierte Schulungsmaßnahmen. Im LMS lassen sich Teilnahmequoten, Abschlüsse und Wissensstände jederzeit auditfest exportieren.

6. Mehrsprachigkeit und Ortsunabhängigkeit. Internationale Teams, Außendienst, Schichtarbeit, Homeoffice: Alle Mitarbeitenden lernen in ihrer Sprache, zu ihrem Zeitpunkt und an ihrem Endgerät.

7. Schnelle Reaktion auf neue Bedrohungen. Taucht eine neue Phishing-Welle auf – etwa mit Bezug zur eigenen Branche – lässt sich binnen Stunden ein kurzes Awareness-Modul zuweisen.

Mit einer Plattform wie reteach lassen sich diese Funktionen unkompliziert umsetzen: vom rollenspezifischen Onboarding-Pfad über Pflicht-Unterweisungen bis hin zu kurzen Wiederholungs-Modulen, die das Wissen frischhalten. Mehr zur Rolle eines LMS in compliancerelevanten Kontexten findest du im Beitrag zur datenschutzkonformen Weiterbildung und in unserem Artikel zu LMS und DSGVO.

Welche Inhalte gehören in eine Phishing-Schulung mit LMS?

Eine wirksame Phishing-Schulung deckt die ganze Bandbreite der Bedrohungen ab. Bewährt hat sich eine modulare Struktur:

Basismodule für alle Mitarbeitenden:

• Was sind Phishing, Social Engineering und CEO Fraud? (Grundlagen)
• Typische Warnsignale in E-Mails, SMS und Anrufen
• Sicherer Umgang mit Passwörtern und Zwei-Faktor-Authentifizierung
• Verhalten bei einem vermuteten Angriff: Wer wird informiert? Welche Schritte sind nötig?

Aufbaumodule für besonders gefährdete Rollen:

• Buchhaltung und Finance: CEO Fraud, gefälschte Lieferantenrechnungen, Vier-Augen-Prinzip in der Praxis
• Assistenz und Empfang: Pretexting am Telefon, Umgang mit Druck und Dringlichkeit
• Führungskräfte: Schutz der eigenen Identität, Reduktion öffentlich verfügbarer Audio-/Videoaufnahmen
• IT-Teams: Erkennung technischer Angriffsmuster und Reaktion im Ernstfall

Aktuelle Themen 2026:

• Deepfake-Erkennung: Wie unterscheide ich einen echten Videocall von einem gefälschten?
• KI-generierte Phishing-Mails: Warum sprachliche Perfektion kein Echtheitsbeweis mehr ist
• Quishing: Sicherer Umgang mit QR-Codes im Arbeitsalltag

Hinzu kommen wiederkehrende Phishing-Simulationen, die das theoretische Wissen unter realen Bedingungen testen – und gleichzeitig wertvolle Daten darüber liefern, wo noch Sensibilisierungsbedarf besteht.

Fazit: Sensibilisierung ist kein Projekt, sondern ein Prozess

Phishing, Social Engineering und CEO Fraud sind keine vorübergehenden Modeerscheinungen. Sie sind die zentrale Angriffsfläche moderner Unternehmen – und mit dem Einzug von KI und Deepfakes hat sich ihr Gefahrenpotenzial vervielfacht.

Wer seine Belegschaft nur einmal jährlich für 30 Minuten „durchschult“, erfüllt vielleicht eine Compliance-Anforderung, schafft aber kein echtes Sicherheitsbewusstsein. Wirksamer Schutz entsteht durch kontinuierliches, kurzes und rollenspezifisches Lernen, kombiniert mit klaren organisatorischen Regeln wie dem Vier-Augen-Prinzip und Out-of-Band-Verifikation.

Ein modernes LMS macht genau das möglich: skalierbar, nachweisbar, in der Sprache und Geschwindigkeit der Mitarbeitenden. Es verwandelt die Phishing-Schulung von einer einmaligen Pflichtveranstaltung in eine lebendige Sicherheitskultur.

Nächste Schritte:

1. Identifizieren Sie die am stärksten gefährdeten Rollen in Ihrem Unternehmen.
2. Entwickeln Sie eine modulare Schulungsstrategie – Basis für alle, Vertiefung für Risikogruppen.
3. Setzen Sie auf kontinuierliches Microlearning statt Jahrestermine.
4. Ergänzen Sie das Training um regelmäßige Phishing-Simulationen.
5. Wählen Sie ein LMS, das Skalierung, Reporting und schnelle Reaktion auf neue Bedrohungen ermöglicht.

Wenn Sie wissen möchten, wie sich Phishing- und Awareness-Schulungen mit reteach in der Praxis umsetzen lassen, buchen Sie eine Live-Demo – wir zeigen Ihnen den Aufbau einer kompletten Security-Awareness-Strategie in unter 30 Minuten.

Häufig gestellte Fragen