Gradion

91 % aller Angriffe starten mit einer Phishing-E-Mail.

Decke mit unseren Phishing-Simulationen echte Verhaltensrisiken auf. Du erhältst präzise Daten zur Optimierung und ein abteilungsweites Risk-Scoring in nur 7-12 Tagen.

Let's talk!

Die Ausgangslage

Du investierst in Firewalls und Endpoint Protection. Doch das menschliche Element bleibt ungetestet.

Die Fakten in Zahlen

91 % der Cyberangriffe beginnen mit einer Phishing-E-Mail (Deloitte, 2024).

Täglich werden 3,4 Milliarden Phishing-E-Mails versendet (AAG IT, 2024).

60 % der Mitarbeitenden klicken ohne vorheriges Training auf Phishing-Links (Proofpoint, 2024).

Durch menschliches Versagen verursachte Datenlecks kosten durchschnittlich 4,9 Mio. US-Dollar (IBM Security, 2024).

Die Lücke

Ein generisches jährliches Security Awareness Training informiert dein Team lediglich über die Existenz von Phishing. Es zeigt dir jedoch nicht, welche Abteilungen tatsächlich anfällig sind, welche Personen das höchste Risiko darstellen oder ob dein Training messbare Ergebnisse liefert.

Auditoren fordern Verhaltensdaten – keine Teilnahmebescheinigungen.

Was die Simulation zeigt

Organisatorischer Risikokoeffizient: Präzise Bewertung der Anfälligkeit deiner Belegschaft, aufgeteilt nach Abteilung und Rolle.

Klickraten, Zugangsdaten-Eingaben und Anhangsausführungen – individuell erfasst.

Welche Abteilungen und Rollen das höchste Risiko aufweisen.

Granulare Interaktionsmetriken, die zeigen, wer wann und in welchem Umfang interagiert hat.

Eine priorisierte Roadmap für Security Awareness Trainings.

Rollenspezifische Empfehlungen, die Ihre HR- und Sicherheitsteams sofort umsetzen können.

Executive Risk Dashboard mit Vorher-Nachher-Benchmarking.

Ab dem ersten Tag bereit für Vorstand und Audit.

So funktioniert's

Umfangsdefinition

Zielumfang definieren, Mitarbeitendenlisten bestätigen, Angriffsvektoren und Notfallkontakte abstimmen.

Kampagnendesign

Spear-Phishing-Vorlagen, Credential-Harvesting-Portale und Whaling-Szenarien – auf das jeweilige Unternehmen zugeschnitten.

Live-Simulation

Kontrollierte Kampagnendurchführung über alle Zielgruppen hinweg. Jede Interaktion wird protokolliert.

Reporting

Abteilungsbezogene Risikobewertung, Executive Risk Dashboard und eine Roadmap für Remediation Trainings werden geliefert.

Umfang

Was enthalten ist

Simulierte Spear-Phishing-Kampagnen, abteilungsspezifisch erstellt.

Credential-Harvesting-Assessment mit realistischen Fake-Portalen.

Executive Targeting (Whaling) für Finanz-, HR- und C-Level-Bereiche.

Tracking der Verhaltensintensität: Link-Klicks, Anhangsausführung, Dateneingabe.

Human Risk Intelligence Report mit abteilungsbezogenem Risikokoeffizienten.

Klickraten und Interaktionsmetriken pro Person.

Priorisierte Roadmap für Remediation Trainings.

Executive Risk Dashboard für die Berichterstattung an den Vorstand.

Was nicht enthalten ist

Durchführung von Security Awareness Trainings (Roadmap wird bereitgestellt, nicht die Umsetzung).

Technisches Penetration Testing (siehe Web App Penetration Test).

Laufendes Monitoring (siehe Managed Vulnerability Assessment).

Social Engineering jenseits von E-Mails (physisch, Telefon, SMS).

Wer die Arbeit ausführt

Phuoc Pham, Security Engineer

Penetration Testing & Vulnerability Research. Red Team Spezialist mit OSWE-Zertifizierung und Synack Red Team Level 4 Status, spezialisiert auf Webanwendungssicherheit und CVE-Forschung.

Expertise

Web Application Penetration Testing: White-Box-, Grey-Box- und Black-Box-Methodologien. Schwachstellenforschung und CVE-Entdeckung. Secure Code Review in Java, .NET, PHP und JavaScript. API Security Testing und Szenarien für Business Logic Abuse. Proof-of-Concept Exploit-Entwicklung und Empfehlungen zur Behebung.

Branchenerfahrung

Öffentlicher Sektor. Bankwesen. Enterprise Technology. SaaS.

Erfolgsbilanz

Synack Red Team Level 4 mit konsistenten Funden von Schwachstellen hoher Kritikalität. Leitung von White-Box-Sicherheitsbewertungen für nationale Bankanwendungen ohne kritische Befunde nach der Behebung. Identifizierung und verantwortungsvolle Offenlegung mehrerer CVEs.

Warum Gradion

Individuell für jeden Kunden – keine Standardlösung

Jede Phishing-Vorlage, jedes Credential-Portal und jedes Whaling-Szenario wird maßgeschneidert für Ihre Branche, Ihren Technologie-Stack und Ihr Mitarbeiterprofil entwickelt. Keine generischen Kampagnen von der Stange.

Verhaltensintelligenz, nicht nur Klickraten

Wir gehen über einfache Pass/Fail-Ergebnisse hinaus. Unsere Berichte zeigen, wer wann, warum und wie tief geklickt hat. Das liefert umsetzbare Erkenntnisse zum menschlichen Risiko, keine bloßen Statistiken.

Audit-fähige Nachweise

Das Executive Risk Dashboard und die Remediation Training Roadmap werden als Nachweis für NIS2, ISO 27001, SOC 2 und die Berichterstattung auf Vorstandsebene anerkannt.

Investition

Phishing-Simulationskampagne

Festpreis. Keine Überraschungen.

Recommended

Standard

ab EUR 6.000

Umfassende Phishing-Simulationskampagne. Maßgeschneiderte Vorlagen. 7-12 Tage.

  • Maßgeschneiderte Spear-Phishing-Vorlagen
  • Bewertung des Credential Harvesting
  • Gezielte Angriffe auf Führungskräfte (Whaling)
  • Risikobewertung auf Abteilungsebene
  • Executive Risk Dashboard
  • Roadmap für Schulungsmaßnahmen

Häufig gestellte Fragen

Wir führen bereits jährliche Security Awareness Trainings durch. Ist das relevant?

Generische jährliche Trainings zeigen nicht, welche Abteilungen anfällig sind oder ob die Schulungen Wirkung zeigen. Unsere Simulation liefert Ihnen Verhaltensdaten – genau die Art von Nachweisen, die Ihr Auditor sehen möchte.

Führt das zu Panik oder schadet es der Moral?

Alle Simulationen sind nicht-bestrafend und edukativ. Klickt ein Mitarbeiter, erhält er sofort eine unterstützende Aufklärungsbotschaft. Unternehmen, die dies richtig kommunizieren, erleben eine Verbesserung des Engagements, nicht dessen Beeinträchtigung.

Wir sind ein kleines Team. Lohnt sich das für uns?

Phishing-Angriffe diskriminieren nicht nach Unternehmensgröße. Kleinere Teams verfügen oft über weniger Redundanz, um eine Kompromittierung von Zugangsdaten abzufedern. Das Engagement beginnt ab EUR 5.999 und kann bereits für 20 Mitarbeiter skaliert werden.

Wie realistisch sind die Simulationen?

Sehr. Vorlagen werden so erstellt, dass sie Branche, interne Tools und Kommunikationsmuster des Unternehmens widerspiegeln. Das ist der entscheidende Punkt: Wenn generisches Phishing Mitarbeiter erwischt, werden gezielte Angriffe dies erst recht tun.

Nächste Schritte

Deine Phishing-Simulationsdaten fließen direkt in den Security Compliance Review (9.999 € – 12.999 €) ein. Sie dienen dort als belastbarer Nachweis für die menschlichen Sicherheitskontrollen im Rahmen von ISO 27001 und SOC 2.


Für eine lückenlose Absicherung empfehlen wir die Kombination mit einem Web App Penetration Test (4.999 € – 6.999 €). So deckst du sowohl die menschliche als auch die technische Angriffsfläche ab.


Gut zu wissen: Du bist zu nichts verpflichtet. Der Simulationsbericht ist in sich abgeschlossen und bietet dir auch ohne Folgemaßnahmen einen wertvollen Mehrwert.

Nächster Schritt

Phishing-Simulation: ab EUR 6.000

Fülle das Formular aus. Wir bestätigen Verfügbarkeit und Umfang innerhalb von 48 Stunden.

  • Unverbindlich. Kein Verkaufsgespräch.
  • Antwort innerhalb von 48 Stunden.
  • Senior-Experte im Gespräch.

Mit dem Absenden dieses Formulars stimmen Sie der Verarbeitung Ihrer Daten zur Bearbeitung Ihrer Anfrage zu. Siehe unsere Datenschutzerklärung.