Social Engineering & Phishing-Simulation

Prüfung der menschlichen Sicherheitsschicht durch gezielte Phishing-, Vishing- und Social-Engineering-Tests mit anschliessendem Awareness-Training.

Der Mensch bleibt die schwächste Schutzschicht in jedem Sicherheitskonzept. 91 % aller erfolgreichen Cyberangriffe starten mit einem Phishing-Mail oder einem Social-Engineering-Anruf. Ein einzelner Klick eines Mitarbeiters kann Ransomware im gesamten Netzwerk auslösen oder zu einem Millionen-Betrug führen (CEO Fraud). Mein Social-Engineering-Programm testet nicht nur die technische Filterung, sondern vor allem die menschliche Widerstandskraft. Ich führe realistische, massgeschneiderte Spear-Phishing-Kampagnen, Vishing-Anrufe und gezielte physische Eindringversuche durch – immer im Rahmen einer klaren Absprache und mit anschliessendem Schulungsprogramm.

Das Problem

Der Mensch ist die schwächste Schutzschicht. 91 % aller Cyberangriffe starten mit einem Phishing-Mail. Ein einzelner Klick eines Mitarbeiters kann Ransomware im gesamten Netzwerk auslösen, Credentials an Angreifer übermitteln oder einen Millionen-Betrug (BEC) ermöglichen. Technische Schutzmechanismen allein reichen nicht aus.

Methodik & Vorgehensweise

1. OSINT & Profiling

Recherche über Ihr Unternehmen, Mitarbeiter, Technologie-Stack und Partnerschaften aus öffentlich zugänglichen Quellen – genau wie ein Angreifer vorgehen würde.

2. Spear-Phishing-Kampagnen

Massgeschneiderte Phishing-Mails basierend auf OSINT-Daten, aktuellen Ereignissen oder Branchentrends. Mit Tracking von Öffnungsraten, Klickraten und Credential-Submission.

3. Vishing (Voice Phishing)

Telefonische Anrufe an Schlüsselpositionen (IT-Helpdesk, Buchhaltung, Assistenz) mit dem Ziel, Informationen zu extrahieren oder Aktionen zu veranlassen (Callback-Phishing).

4. Physical Social Engineering

Gezielte physische Eindringversuche: Tailgating, Badge-Cloning, Fake-Deliveries, USB-Drop-Attacks (BadUSB) und Lobby-Social-Engineering.

5. Reporting & Awareness

Detaillierter Report mit Klickraten, Schwachstellen-Analyse und massgeschneidertem Awareness-Training für Abteilungen mit erhöhtem Risiko.

Meine Leistungen im Detail

  • Spear-Phishing-Kampagnen (massgeschneidert für Ihr Unternehmen und Branche)
  • Vishing-Anrufe (Voice Phishing) an Schlüsselpositionen und Führungskräfte
  • Physische Eindringversuche (Tailgating, Badge-Cloning, USB-Drop-Attacks)
  • Awareness-Training & Report mit Handlungsempfehlungen pro Abteilung

Rechtliche Grundlagen & Compliance

Meine Tests sind auf die regulatorischen Anforderungen im DACH-Raum abgestimmt. Ich helfe Ihnen, Nachweise für Audits, Zertifizierungen und Aufsichtsbehörden zu erbringen.

  • ISO/IEC 27001 Anhang A.7.2.2 (Informationssicherheitsbewusstsein)
  • BSI IT-Grundschutz (ORP.4 Sensibilisierung)
  • FINMA-Rundschreiben 2023/1 (Schulung & Sensibilisierung)
  • NIS2 / KRITIS (human factor)
  • DSGVO / CH-DSG – Mitarbeiterschulung als TOM

Branchen & Anwendungsfälle

Banken & Versicherungen
KRITIS-Betreiber
Industrie & Produktion
Behörden & Verwaltung
Dienstleister & Beratung
Gesundheitswesen

Häufig gestellte Fragen (FAQ)

Ist Social Engineering Testing legal in der Schweiz?

Ja, sofern es im Rahmen eines beauftragten Sicherheitsaudits durchgeführt wird und alle Testarten vorab schriftlich vereinbart wurden. Ich arbeite ausschliesslich auf Basis einer detaillierten Vollmacht und eines klaren Regelwerks.

Wie viele Mitarbeiter sollten getestet werden?

Ich empfehle eine repräsentative Stichprobe von 20–50 % der Mitarbeiter, mindestens aber alle Mitarbeiter in sensiblen Abteilungen (IT, Buchhaltung, Geschäftsleitung, HR).

Was passiert, wenn ein Mitarbeiter auf den Phishing-Link klickt?

Der Klick wird protokolliert, es werden jedoch keine tatsächlichen Schäden verursacht. Die Landingpage zeigt lediglich eine neutrale Meldung. Im Anschluss erhalten die betroffenen Mitarbeiter ein kurzes, positives Lernangebot, keine Bestrafung.

Bietest du auch reines Awareness-Training ohne Pentest an?

Ja, ich biete sowohl kombinierte Pakete (Test + Training) als auch reine Awareness-Trainings, Phishing-Simulationen im Abo-Modell und gezielte Workshops für Führungskräfte an.

Wie lange dauert eine Social-Engineering-Kampagne?

Eine typische Kampagne dauert 2–4 Wochen: eine Woche Vorbereitung (Recherche, Template-Erstellung), eine Woche Durchführung und eine Woche Auswertung mit anschliessendem Awareness-Training.

Was ist der Unterschied zwischen Phishing und Vishing?

Phishing erfolgt über E-Mail oder Nachrichten mit manipulierten Links/Anhängen. Vishing (Voice Phishing) erfolgt über Telefonanrufe, bei denen ich als vermeintlicher IT-Support, Lieferant oder Geschäftspartner auftrete, um Zugangsdaten oder sensible Informationen zu erfragen.

Verwandte Leistungen

Red TeamingPenetrationstest (Pentest)Netzwerk-Pentest (Infrastruktur)Cloud-Pentest (AWS / Azure / GCP)

Sie stehen vor dieser Herausforderung?

Ich bewerte gerne in einem kurzen, kostenfreien 30-Minuten-Assessment, ob meine Expertise zu Ihrem Setup passt.

Kontakt

Zielgruppen-Fit

Unternehmen, die ihre Mitarbeiter gegen Phishing und Social Engineering sensibilisieren wollen, sowie Führungskräfte, Admins und Mitarbeiter in kritischen Positionen mit erhöhtem Angriffsrisiko.

Zusammenarbeit

Ausschliesslich NDA-basiert. Vendor-neutral. Dokumentiert nach PTES-Standard. Flexible Terminierung auch kurzfristig.

DACH-Region

Ich bin spezialisiert auf Unternehmen in der Schweiz (Zürich, Zug, Bern, St. Gallen, Basel, Genf), Deutschland (München, Frankfurt, Berlin, Hamburg) und Österreich (Wien, Graz). Alle Reports werden auf Deutsch oder Englisch erstellt – konform zu FINMA, BSI und NIS2.