// Phishing-Simulation · Benchmarks · Statistiken

Phishing-Klickrate Benchmark 2025: Wie anfällig sind Ihre Mitarbeiter?

1 von 3 Mitarbeitern klickt auf eine Phishing-Mail. Nach einer Simulation mit Training sinkt die Rate auf unter 5 %. Was liegt bei Ihrem Unternehmen dazwischen – und wie messen Sie es?

Inhalt: Was ist die Phishing-Klickrate? Benchmark nach Branche Benchmark nach Abteilung Vor vs. nach Simulation Einflussfaktoren auf die Klickrate Was tun mit den Ergebnissen? FAQ

Was ist die Phishing-Klickrate und warum ist sie wichtig?

Die Phishing-Klickrate (auch: Click-Through-Rate oder Susceptibility Rate) ist der Prozentanteil der Mitarbeiter, die bei einem simulierten oder echten Phishing-Angriff auf einen schädlichen Link klicken, einen Anhang öffnen oder Zugangsdaten eingeben.

Sie ist die zentrale Kennzahl zur Messung des Human-Layer-Risikos in Ihrem Unternehmen. Während technische Sicherheitsmaßnahmen (Firewalls, Virenscanner, DMARC) automatisiert gemessen werden können, gibt es für das Sicherheitsbewusstsein der Mitarbeiter ohne Simulation keine verlässliche Kennzahl.

Die Klickrate sagt Ihnen: Wenn heute ein gezielter Phishing-Angriff auf Ihr Unternehmen stattfinden würde – wie viele Mitarbeiter würden die Bedrohung nicht erkennen? Bei einer Klickrate von 28 % und 50 Mitarbeitern sind das 14 Personen, die potenzielle Einstiegspunkte für einen Angriff darstellen.

Wichtige Unterscheidung: Klickrate (Link angeklickt) vs. Kompromittierungsrate (Zugangsdaten eingegeben). Letztere liegt typischerweise bei 30–60 % der Klicker – also ca. 10–17 % aller Empfänger. Bei ausgefeilten Angriffen reicht aber auch ein Klick auf einen infizierten Anhang.

Phishing-Klickrate Benchmark 2025 nach Branche

Die folgenden Benchmarks basieren auf aggregierten Daten aus dem Verizon Data Breach Investigations Report 2024, dem SoSafe Human Risk Review 2024 und dem KnowBe4 Phishing Benchmark Report 2024. Sie beziehen sich auf untrainierte Mitarbeiter beim ersten Kontakt mit einer Phishing-Simulation.

Branche Ø Klickrate (untrainiert) Risiko-Visualisierung Bewertung
Bildung & Forschung ~35 %
Sehr hoch
Gesundheitswesen ~32 %
Sehr hoch
Industrie & Produktion ~29 %
Hoch
Finanz- & Versicherungsbranche ~28 %
Hoch
Handel & E-Commerce ~26 %
Hoch
Dienstleistungen (B2B) ~24 %
Mittel
IT & Technologie ~18 %
Mittel
Ø alle Branchen ~28–30 %
Hoch

Quellen: Verizon DBIR 2024 · SoSafe Human Risk Review 2024 · KnowBe4 Phishing Benchmark Report 2024

Auffällig: Auch die IT-Branche, deren Mitarbeiter täglich mit Technologie arbeiten, liegt mit ~18 % deutlich über dem angestrebten Zielwert von unter 5 %. Das zeigt: Technisches Wissen allein schützt nicht vor Social Engineering.

Gesundheitswesen besonders gefährdet: Krankenhäuser und Arztpraxen stehen täglich unter enormem Zeitdruck und erhalten viele externe E-Mails (Überweisungen, Laborbefunde, Rechnungen). Gleichzeitig sind Patientendaten extrem wertvoll auf dem Schwarzmarkt. Kein Wunder, dass die Klickrate hoch ist – und die Angriffe zunehmen.

Benchmark nach Abteilung: Wer klickt am häufigsten?

Innerhalb eines Unternehmens gibt es erhebliche Unterschiede zwischen Abteilungen. Die Gründe liegen meist in der Art der täglich verarbeiteten E-Mails:

Abteilung Ø Klickrate Visualisierung Warum anfällig
Buchhaltung / Finanzen ~38 %
Rechnungen, Zahlungsaufforderungen, Mahnungen
HR / Personalwesen ~36 %
Bewerbungsunterlagen mit Anhängen, externe Kontakte
Einkauf / Procurement ~33 %
Lieferantenanfragen, Bestellbestätigungen
Management / GF ~30 %
Zeitkritische Entscheidungen, viele externe Kontakte
Vertrieb / Sales ~28 %
Viele unbekannte Kontakte, Angebots-E-Mails
Operations / Produktion ~25 %
Seltener E-Mail-Kontakt, wenig Awareness-Training
IT / Systemadministration ~15 %
Technisches Grundwissen, häufigere Trainings

Quellen: SoSafe Human Risk Review 2024 · KnowBe4 Annual Benchmark Report 2024

Diese Daten haben praktische Konsequenzen: Eine Phishing-Simulation, die alle Abteilungen gleich behandelt, verpasst die Chance, gezielt die Hochrisiko-Bereiche zu trainieren. Ein gutes Simulationsprogramm sieht unterschiedliche Szenarien für Buchhaltung (Rechnungsbetrug), HR (Bewerbungsphishing) und Management (CEO Fraud) vor.

Vor vs. nach Simulation: Was bewirkt ein Training wirklich?

Die wichtigste Frage: Funktioniert eine Phishing-Simulation überhaupt? Die Antwort der Daten ist eindeutig – ja, aber nur in Kombination mit nachgelagertem Training.

Phase Ø Klickrate Entwicklung Quelle
Baseline (kein Training) ~28–30 %
Verizon DBIR 2024, SoSafe 2024
Nach 1. Simulation (ohne Training) ~22–25 %
SoSafe 2024
Nach 1. Simulation + Training ~10–15 %
SoSafe 2024, KnowBe4 2024
Nach 3–4 Zyklen mit Training ~5–8 %
KnowBe4 Annual Report 2024
Reifes Awareness-Programm (2+ J.) ~2–5 %
SoSafe, IBM Security 2024

Quellen: SoSafe Human Risk Review 2024 · KnowBe4 Annual Benchmark Report 2024 · IBM Security 2024

Die Zahlen zeigen: Eine einzelne Simulation ohne Training bringt nur begrenzte Verbesserung. Der entscheidende Hebel ist die Kombination: Simulation → sofortiges Lernerlebnis für Klicker → Wiederholung nach 3 Monaten. Das „Sofort-Feedback" für Mitarbeiter, die auf die simulierte Phishing-Mail hereingefallen sind, ist besonders wirkungsvoll – es entsteht ein unmittelbares, persönliches Lernerlebnis.

Warum 2–5 % und nicht 0 %? Ein Nullwert ist unrealistisch. Selbst ausgewiesene Security-Experten klicken gelegentlich auf sehr überzeugend gestaltete Phishing-Mails. Das Ziel ist nicht Perfektion, sondern die Reduktion des statistischen Risikos auf ein akzeptables Niveau – und eine Unternehmenskultur, in der verdächtige E-Mails gemeldet werden.

Einflussfaktoren auf die Klickrate

Nicht alle Phishing-Simulationen sind gleich. Diese Faktoren beeinflussen die Klickrate erheblich:

  • Szenario-Komplexität: Eine generische „Ihr Paket wurde zurückgehalten"-Mail hat eine niedrigere Klickrate als eine maßgeschneiderte Mail, die sich auf ein laufendes Projekt bezieht. Gezielte Spear-Phishing-Simulationen messen das realistische Risiko besser.
  • Zeitpunkt: Simulationen direkt nach einem Awareness-Training haben niedrigere Klickraten. Überraschungsmomente (Montagmorgen 8 Uhr, Freitagnachmittag) zeigen das reale Verhalten besser.
  • Unternehmenskultur: In Unternehmen, wo „Vorsicht" als Kompetenz und nicht als Umständlichkeit gilt, sind die Klickraten systematisch niedriger.
  • Häufigkeit: Regelmäßige Simulationen (mindestens quartalsweise) halten das Thema präsent und verhindern, dass der Trainingseffekt verpufft.
  • Unternehmensgröße: Kleinere Unternehmen haben oft höhere Klickraten – weniger formalisierte Prozesse, weniger Sicherheitsstrukturen.
  • Branchenspezifische Angriffsmuster: Die besten Szenarien nutzen branchenübliche E-Mail-Typen (Rechnungen, Bewerbungen, Lieferanteninfos), weil diese vertrauter wirken.

Was tun mit diesen Zahlen: Ihr Aktionsplan

Die Benchmark-Daten helfen Ihnen zu verstehen, wo Ihr Unternehmen im Vergleich steht. Aber Benchmarks allein schützen nicht. Das müssen Sie tun:

01

Baseline ermitteln

Führen Sie eine erste Phishing-Simulation ohne vorherige Ankündigung durch. Das ist Ihre ehrliche Ausgangszahl – der tatsächliche Risikostatus Ihres Unternehmens heute. Ohne diese Baseline arbeiten Sie mit Vermutungen statt mit Daten.

02

Hochrisiko-Gruppen identifizieren

Welche Abteilungen zeigen die höchsten Klickraten? Findet sich ein bestimmtes Muster (z.B. alle über 50, alle aus einer bestimmten Abteilung)? Diese Gruppen brauchen prioritäre Aufmerksamkeit.

03

Training durchführen

Direkt nach der Simulation: Mitarbeiter, die geklickt haben, erhalten sofort ein kurzes Lernmodul (2–3 Minuten). Kein öffentliches Bloßstellen, keine Bestrafung – aber ein klares, persönliches Lernerlebnis.

04

Wiederholen und messen

Quartalsweise Wiederholung mit variierenden Szenarien. Nach 3–4 Zyklen sollte die Klickrate unter 10 % liegen. Das Ziel für ein reifes Programm: unter 5 %.

Wichtig für die interne Kommunikation: Eine Phishing-Simulation ist kein Test, um Mitarbeiter zu „ertappen". Sie ist ein Lernwerkzeug. Kommunizieren Sie das offen – nach der Simulation, nicht davor. Die rechtlichen Rahmenbedingungen für die Kommunikation im Vorfeld erklärt unser Artikel Phishing-Simulation legal durchführen in Österreich.

Häufige Fragen zur Phishing-Klickrate

Was ist eine gute Phishing-Klickrate für KMU?

Eine Klickrate unter 5 % gilt nach regelmäßigem Training als guter Wert. Der Branchendurchschnitt ohne Training liegt bei 28–30 % (Verizon DBIR 2024, SoSafe 2024). Nach der ersten Simulation mit Training sinkt die Rate typischerweise auf 10–15 %, nach mehreren Zyklen auf unter 5 %.

Welche Abteilung klickt am häufigsten auf Phishing-Mails?

Buchhaltung/Finanzen und HR sind mit Abstand die am häufigsten betroffenen Abteilungen – Klickraten von 35–40 % sind bei der ersten Simulation keine Seltenheit. Grund: Sie erhalten legitimerweise viele externe E-Mails mit Anhängen und Zahlungsaufforderungen. IT-Mitarbeiter haben mit ~15 % die niedrigste Klickrate.

Wie oft sollte man eine Phishing-Simulation durchführen?

Experten empfehlen mindestens 4 Simulationen pro Jahr (quartalsweise), idealerweise mit wechselnden Szenarien. Eine einmalige Simulation ist besser als keine, reicht aber langfristig nicht aus – Phishing-Taktiken entwickeln sich weiter und der Trainingseffekt lässt ohne Wiederholung nach.

Was bedeutet eine hohe Klickrate konkret für das Unternehmensrisiko?

Bei 30 Mitarbeitern und einer Klickrate von 28 % klicken statistisch 8–9 Personen auf eine Phishing-Mail. Jeder Klick ist ein potenzieller Einstiegspunkt für einen Angriff. Bei ausgereiften Kampagnen reicht ein einziger Klick – auf einen Anhang oder eine gefälschte Login-Seite – um Ransomware einzuschleusen oder Zugangsdaten zu stehlen.

Finden Sie Ihren Benchmark – in 30 Minuten erledigt. Eine kontrollierte Phishing-Simulation zeigt Ihnen, wie viele Ihrer Mitarbeiter heute klicken würden. Fixpreis ab 490 €, anonymisierter Bericht, DSGVO-konform.

Kostenloses Erstgespräch buchen →