Leistungen

/

Phishing-Simulation

Für § 30 Abs. 2 Nr. 7 & § 38 Abs. 3 BSIG konform

Phishing-Simulation für das Gesundheitswesen

Realistische Phishing-Kampagnen auf Basis echter Szenarien aus Krankenhäusern, Kliniken, MVZ, Pflegeeinrichtungen, Pharma und MedTech. Monatlicher Takt, messbarer Reifegrad, NIS2-taugliche Nachweise — ohne Beschämungskultur.

Kostenloses Risk Assessment

Kostenloses Risk Assessment

Icon
Icon

DIE REALITÄT

Das Gesundheitswesen ist Hauptziel — und Mitarbeitende sind der Haupteinstiegspunkt.

Eine aktuelle Studie der Justus-Liebig-Universität Gießen (ACM CCS 2025) simulierte Phishing-Angriffe gegen 7.044 E-Mail-Konten einer deutschen Universitätsklinik. Das Ergebnis: Rund 25% der Beschäftigten waren bereit, ihre Zugangsdaten preiszugeben. Innerhalb von 12 bis 24 Stunden nach dem ersten Kontakt. Anti-Phishing-Banner und [EXTERN]-Kennzeichnungen reichten nicht aus.

25%

der Klinikbeschäftigten gaben in einer realen Simulation ihre Zugangsdaten preis. Ein einziger geglaubter Mitarbeiter reicht für den Einstieg.

+74%

Anstieg von Cyberangriffen auf deutsche Krankenhäuser seit 2020. Das Gesundheitswesen zählt zu den drei meistangegriffenen Branchen weltweit.

bis 10 M. €

maximales Bußgeld nach § 65 BSIG für besonders wichtige Einrichtungen — oder 2 % des globalen Jahresumsatzes. Wichtige Einrichtungen: bis 7 Mio. € oder 1,4 %. Hinzu kommt die persönliche Haftung der Geschäftsführung nach § 38 BSIG mit Privatvermögen.

Quellen: Tolsdorf, Langer, Lo Iacono — ACM CCS '25, Justus-Liebig-Universität Gießen · Check Point Research Healthcare Report · NIS2UmsuCG § 30, § 38 BSIG · BSI Lagebericht 2025.

DIE REALITÄT

Das Gesundheitswesen ist Hauptziel — und Mitarbeitende sind der Haupteinstiegspunkt.

Eine aktuelle Studie der Justus-Liebig-Universität Gießen (ACM CCS 2025) simulierte Phishing-Angriffe gegen 7.044 E-Mail-Konten einer deutschen Universitätsklinik. Das Ergebnis: Rund 25% der Beschäftigten waren bereit, ihre Zugangsdaten preiszugeben. Innerhalb von 12 bis 24 Stunden nach dem ersten Kontakt. Anti-Phishing-Banner und [EXTERN]-Kennzeichnungen reichten nicht aus.

25%

der Klinikbeschäftigten gaben in einer realen Simulation ihre Zugangsdaten preis. Ein einziger geglaubter Mitarbeiter reicht für den Einstieg.

+74%

Anstieg von Cyberangriffen auf deutsche Krankenhäuser seit 2020. Das Gesundheitswesen zählt zu den drei meistangegriffenen Branchen weltweit.

bis 10 M. €

maximales Bußgeld nach § 65 BSIG für besonders wichtige Einrichtungen — oder 2 % des globalen Jahresumsatzes. Wichtige Einrichtungen: bis 7 Mio. € oder 1,4 %. Hinzu kommt die persönliche Haftung der Geschäftsführung nach § 38 BSIG mit Privatvermögen.

Quellen: Tolsdorf, Langer, Lo Iacono — ACM CCS '25, Justus-Liebig-Universität Gießen · Check Point Research Healthcare Report · NIS2UmsuCG § 30, § 38 BSIG · BSI Lagebericht 2025.

SO FUNKTIONIERT ES

In vier Schritten von Kickoff zu Nachweis.

Wir übernehmen Konzeption, Durchführung und Auswertung. Sie bekommen einen Report, der vor dem Vorstand besteht und eine Kultur, in der Mitarbeitende Phishing melden statt verstecken.

01

Projektstart

Wir analysieren Ihre Organisationsstruktur — Stationen, Funktionen, Arbeitsabläufe — und definieren gemeinsam realistische Angriffsvektoren. Welche Phishing-Mails würde ein Angreifer tatsächlich gegen Ihre Einrichtung einsetzen? Daraus entsteht ein Jahresplan mit monatlichen Kampagnen und klarer Zielgruppen-Segmentierung.

01

Projektstart

Wir analysieren Ihre Organisationsstruktur — Stationen, Funktionen, Arbeitsabläufe — und definieren gemeinsam realistische Angriffsvektoren. Welche Phishing-Mails würde ein Angreifer tatsächlich gegen Ihre Einrichtung einsetzen? Daraus entsteht ein Jahresplan mit monatlichen Kampagnen und klarer Zielgruppen-Segmentierung.

02

Kampagne & Durchführung

Jeden Monat eine neue Kampagne mit maßgeschneiderten Phishing-Mails, die Klinikalltag abbilden: gefälschte KIS-Warnmeldungen, angebliche Laborbefunde, vermeintliche Dienstplan-Änderungen, DocCheck-Imitationen. Versand erfolgt rollenbasiert — Pflegepersonal, ärztlicher Dienst, Verwaltung und IT bekommen jeweils spezifische Szenarien.

02

Kampagne & Durchführung

Jeden Monat eine neue Kampagne mit maßgeschneiderten Phishing-Mails, die Klinikalltag abbilden: gefälschte KIS-Warnmeldungen, angebliche Laborbefunde, vermeintliche Dienstplan-Änderungen, DocCheck-Imitationen. Versand erfolgt rollenbasiert — Pflegepersonal, ärztlicher Dienst, Verwaltung und IT bekommen jeweils spezifische Szenarien.

03

Report-Button & Learn-by-Doing

Mitarbeitende, die auf einen Phishing-Link klicken, landen auf einer edukativen Landing Page — nicht auf einem Tadel-Screen. Wer die Mail korrekt meldet, bekommt positives Feedback. Unser PhishReport-Add-In für Outlook ermöglicht Meldungen mit einem Klick und baut langfristig eine Meldekultur auf.

03

Report-Button & Learn-by-Doing

Mitarbeitende, die auf einen Phishing-Link klicken, landen auf einer edukativen Landing Page — nicht auf einem Tadel-Screen. Wer die Mail korrekt meldet, bekommt positives Feedback. Unser PhishReport-Add-In für Outlook ermöglicht Meldungen mit einem Klick und baut langfristig eine Meldekultur auf.

04

Auswertung & NIS2-Nachweis

Sie erhalten einen aggregierten Management-Report mit Klickrate, Meldequote, Reifegrad-Benchmarks und Trendanalyse über mehrere Kampagnen hinweg. Alle Daten anonymisiert, ohne Einzel-Auswertung. Format: auditfähig, vor dem BSI und Aufsichtsrat bestehend, direkt verwendbar als Artikel 21-Nachweis.

04

Auswertung & NIS2-Nachweis

Sie erhalten einen aggregierten Management-Report mit Klickrate, Meldequote, Reifegrad-Benchmarks und Trendanalyse über mehrere Kampagnen hinweg. Alle Daten anonymisiert, ohne Einzel-Auswertung. Format: auditfähig, vor dem BSI und Aufsichtsrat bestehend, direkt verwendbar als Artikel 21-Nachweis.

WAS IST ENTHALTEN

Mehr als ein Tool — ein vollständig gemanagter Service.

Andere verkaufen Ihnen eine Software-Lizenz und überlassen Ihnen Konfiguration, Content und Auswertung. Wir übernehmen alles — von der ersten Kampagnen-Idee bis zum unterschriftsreifen Audit-Report.

Klinikspezifische Szenarien

Gefälschte KIS-Passwort-Resets, falsche Labor-Befunde, vermeintliche Dienstplan-Änderungen, DocCheck- und eArztbrief-Imitationen. Jede Mail basiert auf realen Klinik-Workflows — nicht auf generischen Office-Phishing-Templates.

Rollenbasierte Zielgruppen

Pflegepersonal, ärztlicher Dienst, Verwaltung, Einkauf, IT und Geschäftsführung erhalten jeweils auf ihre Rolle zugeschnittene Szenarien. Was die Station klickt, ist anders als was das Sekretariat klickt.

PhishReport Outlook Add-In

Mitarbeitende melden verdächtige E-Mails mit einem Klick aus Outlook heraus. Meldungen laufen direkt zu Ihrem SOC oder IT-Team, werden automatisch ausgewertet und fließen in die Reifegrad-Messung ein.

NIS2-Evidenz-Reporting

Jede Kampagne liefert einen auditfähigen Nachweis für Artikel 21 Abs. 2(g) NIS2 und § 30 Abs. 2 Nr. 7 BSIG. Trendentwicklung, Benchmarks gegenüber Branchendurchschnitt, Maßnahmenempfehlungen — bereit für Vorstand und BSI.

Edukative Landing Pages

Wer auf eine simulierte Phishing-Mail klickt, sieht keinen Tadel — sondern eine kurze, sachliche Aufklärung, wie die Mail hätte erkannt werden können. Lernen statt Beschämung. Verfügbar auf Deutsch und Englisch.

DSGVO-konform by Design

AVV nach Art. 28 DSGVO, Datenhaltung ausschließlich in der EU, keine Einzel-Auswertungen, automatische Löschung nach 14 Tagen. Kein Personalbezug in Management-Reports. Betriebsratstauglich.

RECHTSGRUNDLAGE

Phishing-Schulung ist seit Dezember 2025 gesetzliche Pflicht.

„Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten." — NIS2-Richtlinie Artikel 20 Abs. 2

Seit dem 6. Dezember 2025 ist das NIS2UmsuCG ohne Übergangsfrist in Kraft. Einrichtungen im Gesundheitswesen ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz sind betroffen — rund 30.000 Organisationen in Deutschland insgesamt.Nach § 38 BSIG haftet die Geschäftsführung bei Pflichtverletzungen persönlich — inklusive Privatvermögen. Eine nachvollziehbar dokumentierte Phishing-Schulung ist der direkte Nachweis.

Rechtsquellen: Richtlinie (EU) 2022/2555 (NIS2) · NIS2UmsuCG vom 6.12.2025 · § 30 BSIG (Risikomanagement-Maßnahmen) · § 38 BSIG (Pflichten der Geschäftsleitung).

RECHTSGRUNDLAGE

Phishing-Schulung ist seit Dezember 2025 gesetzliche Pflicht.

„Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten." — NIS2-Richtlinie Artikel 20 Abs. 2

Seit dem 6. Dezember 2025 ist das NIS2UmsuCG ohne Übergangsfrist in Kraft. Einrichtungen im Gesundheitswesen ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz sind betroffen — rund 30.000 Organisationen in Deutschland insgesamt.Nach § 38 BSIG haftet die Geschäftsführung bei Pflichtverletzungen persönlich — inklusive Privatvermögen. Eine nachvollziehbar dokumentierte Phishing-Schulung ist der direkte Nachweis.

Rechtsquellen: Richtlinie (EU) 2022/2555 (NIS2) · NIS2UmsuCG vom 6.12.2025 · § 30 BSIG (Risikomanagement-Maßnahmen) · § 38 BSIG (Pflichten der Geschäftsleitung).

FÜR WEN GEEIGNET

Für jede Einrichtung im Gesundheitswesen — statt generischen Anbietern.

Unsere Phishing-Simulationen sind für Organisationen konzipiert, in denen Cybersicherheit unmittelbar die Patientenversorgung betrifft. Keine Templates von der Stange — sondern Szenarien, die Ihren Arbeitsalltag kennen.

Krankenhäuser

Akutversorgung, Spezialkliniken, Universitätsklinika. Mehrstandortige Organisationen mit komplexen Berechtigungsstrukturen, Schichtbetrieb und hoher Personalfluktuation. NIS2 besonders wichtig.

Mehr erfahren

Mehr erfahren

Icon
Icon
MVZ & Praxisnetzwerke

Medizinische Versorgungszentren, Berufsausübungsgemeinschaften, Praxisverbünde. Ab 50 Mitarbeitenden NIS2-pflichtig — geschätzt 1.000 MVZ erstmalig betroffen. Schulungspflicht ist neu, die Bedrohungslage ist es nicht.

Mehr erfahren

Mehr erfahren

Icon
Icon
Private Kliniken

Belegkliniken, Privatkliniken, spezialisierte Häuser. Oft eigentümergeführt mit pragmatischem Sicherheitsverständnis — Schulung ohne Overhead, auditfähige Nachweise ohne Enterprise-Komplexität.

Mehr erfahren

Mehr erfahren

Icon
Icon
Pharma & MedTech

Pharma-Unternehmen, Medizinproduktehersteller, Contract Research Organizations. IP-Schutz ist geschäftskritisch, Lieferketten sind Angriffsziel, und GxP-/ISO-13485-Audits prüfen Awareness-Programme mit.

Mehr erfahren

Mehr erfahren

Icon
Icon
Pflegeeinrichtungen

Pflegeheime und ambulante Pflegedienste. Hohe Personalfluktuation, mobile Endgeräte, sensible Patientendaten — und zunehmend Ziel gezielter Phishing-Angriffe auf Abrechnungssysteme.

Mehr erfahren

Mehr erfahren

Icon
Icon
Health Tech

Digitale Gesundheitsplattformen, Telemedizin-Anbieter, DiGA-Hersteller. Hoher API- und Integrationsanteil, verteilte Teams, oft Angriffsziel über Kundenservice und Partner-Kommunikation.

Mehr erfahren

Mehr erfahren

Icon
Icon

UNSER ANSATZ

Simulationen sollen Menschen vorbereiten — nicht bloßstellen.

Die Gießener Klinikstudie zeigte nicht nur, dass Mitarbeitende anfällig sind — sondern auch, dass ein erheblicher Teil nach der Simulation mit Angst, Scham und Schuldgefühlen reagiert. Das ist nicht nur menschlich problematisch, es ist kontraproduktiv: Wer sich schämt, meldet nicht. Wer nicht meldet, erhöht das Risiko.

Keine Beschämung

Unsere Landing Pages belehren nicht — sie erklären. Kein „Sie sind durchgefallen", sondern: „Hier sind die Merkmale, an denen Sie diese Mail hätten erkennen können." Kein Personalbezug in Reports. Keine Einzelauswertung. Kein Pranger.

Meldekultur statt Angst

Wir messen nicht nur Klicks, sondern auch Meldungen — und priorisieren letzteres. Wer eine verdächtige Mail meldet, egal ob echt oder Simulation, bekommt positives Feedback. Das Ergebnis: eine Belegschaft, die aktiv schützt, statt passiv zu hoffen.

Im richtigen Moment lernen

Im Moment des Klicks ist die Aufmerksamkeit am höchsten. Genau dann vermitteln wir — in unter 90 Sekunden — die konkreten Warnzeichen. Das ist nachgewiesen wirksamer als jährliche E-Learning-Pflichtkurse.

„Ein beachtlicher Teil der befragten Mitarbeiter reagierte auf die Phishing-Simulation mit Gefühlen wie Angst, Scham und Schuld. Diese Erkenntnisse verdeutlichen die psychologischen Herausforderungen und unterstreichen die Notwendigkeit, die emotionalen Kosten gegen die potenziellen Sicherheitsvorteile abzuwägen."

— Tolsdorf, Langer, Lo Iacono. „Phishing Susceptibility and the (In-)Effectiveness of Common Anti-Phishing Interventions in a Large University Hospital." Proceedings of ACM CCS '25.

Antworten auf die wichtigsten Fragen.

Antworten auf die wichtigsten Fragen.

Schnelle Antworten zu Phishing-Simulationen, Regulatorik und typischem Projektablauf.

Wie oft sollten Phishing-Simulationen durchgeführt werden?

Wie oft sollten Phishing-Simulationen durchgeführt werden?

Sind Phishing-Simulationen rechtlich zulässig und DSGVO-konform?

Sind Phishing-Simulationen rechtlich zulässig und DSGVO-konform?

Muss der Betriebs- oder Personalrat eingebunden werden?

Muss der Betriebs- oder Personalrat eingebunden werden?

Erfüllt die Simulation die Anforderungen von NIS2 und § 30 BSIG?

Erfüllt die Simulation die Anforderungen von NIS2 und § 30 BSIG?

Was kostet eine Phishing-Simulation für eine Klinik?

Was kostet eine Phishing-Simulation für eine Klinik?

Wie ist der zeitliche Ablauf?

Wie ist der zeitliche Ablauf?

Warum Entropy statt eines generischen Awareness-Anbieters?

Warum Entropy statt eines generischen Awareness-Anbieters?

Wie geht ihr mit der emotionalen Belastung der Mitarbeitenden um?

Wie geht ihr mit der emotionalen Belastung der Mitarbeitenden um?

Wo werden die Daten gespeichert und wie lange?

Wo werden die Daten gespeichert und wie lange?

Können wir klein anfangen und später ausbauen?

Können wir klein anfangen und später ausbauen?

KOSTENLOSES RISK ASSESSMENT

30 Minuten. Ein ehrliches Bild Ihrer Sicherheitslage.

Jedes Gespräch beginnt mit einem kostenlosen Risk Assessment — 30 Minuten, keine Verpflichtung. Sie erhalten im Anschluss einen schriftlichen Report mit Ihrem Cybersecurity-Reifegrad, Risikobereichen und Sofortmaßnahmen.

Assessment jetzt buchen

Assessment jetzt buchen

Anrufen: +49 30 863283641

Anrufen: +49 30 863283641

KOSTENLOSES RISK ASSESSMENT

30 Minuten. Ein ehrliches Bild Ihrer Sicherheitslage.

Jedes Gespräch beginnt mit einem kostenlosen Risk Assessment — 30 Minuten, keine Verpflichtung. Sie erhalten im Anschluss einen schriftlichen Report mit Ihrem Cybersecurity-Reifegrad, Risikobereichen und Sofortmaßnahmen.

Assessment jetzt buchen

Assessment jetzt buchen

Anrufen: +49 30 863283641

Anrufen: +49 30 863283641