Wenn selbst die Bundestagspräsidentin auf Phishing reinfällt – was bedeutet das für euer Unternehmen?

Letzte Woche hat uns eine Meldung wirklich aufhorchen lassen. Bundestagspräsidentin Julia Klöckner – die zweithöchste Amtsträgerin Deutschlands – ist offenbar Opfer eines gezielten Phishing-Angriffs auf Signal geworden (u.a. heise.de berichtet). BfV und BSI haben ihre Warnung daraufhin erneut öffentlich bekräftigt. Und wir fragen uns: Wenn es selbst dort funktioniert – was bedeutet das für unsere Kund*innen?

Was genau ist da passiert?

Die Masche ist so simpel wie effektiv: Die Angreifenden geben sich als Signal-Support aus, schicken eine täuschend echte Nachricht – und fordern die Eingabe von Zugangsdaten. Wer darauf hereinfällt, gibt den Angreifenden entweder Lesezugriff auf alle Konversationen oder verliert den Account komplett. Mindestens 300 Betroffene in Deutschland sind bisher bekannt. Mutmaßlich stecken russisch-staatliche Akteur*innen dahinter.

Das klingt nach einem Problem für Politiker*innen und Diplomat*innen? Weit gefehlt! Die Methode dahinter ist universell. Sie funktioniert in jedem Unternehmen, in jedem Team und wird täglich eingesetzt.

Das eigentliche Problem sitzt nicht im Server-Rack

Wir reden bei procado täglich mit Unternehmen über IT-Sicherheit. Und fast immer dreht sich die Diskussion um Technik: Firewall, VPN, Endpoint-Security. Das ist alles wichtig und richtig. Aber keines dieser Tools hilft, wenn eine Mitarbeiterin oder ein Mitarbeiter selbst auf einen Link klickt und die eigenen Zugangsdaten eingibt.

Die ehrliche Wahrheit ist: Die schwächste Stelle in fast jeder IT-Infrastruktur sind die Menschen. Das sagen wir nicht als Kritik – das sagen wir als Aufgabe. Eine, die wir gemeinsam angehen können.

Warum eine Phishing Simulation für Unternehmen der konkreteste Schritt ist

Genau für diese Aufgabe haben wir unsere Security Awareness Kampagnen entwickelt. Keine einmalige Pflichtveranstaltung, nach der alle auf „Abgeschlossen“ klicken und bis zum nächsten Jahr vergessen. Sondern ein strukturierter Prozess über 12 Monate – mit drei Bausteinen, die zusammenspielen:

• Phishing-Simulationen: Wir schicken täuschend echte Testmails an euer Team – bis zu vier pro Jahr, inklusive CEO-Fraud-Szenarien. Nicht um zu bestrafen, sondern um vorzubereiten.
• E-Learning mit Zertifikat: Wer auf eine Simulation hereinfällt, bekommt sofort verständliche Erklärungen und gezielte Lernmodule – mit rechtsgültigem Schulungsnachweis für NIS2 und ISO 27001.
• AQ Detector Plug-in: Ein Browser-Plug-in, das euer Team aktiv warnt, wenn es auf eine gefälschte Website landet – genau die Art von Seite, auf die Signal-Phishing-Opfer gelenkt werden.