Was kostet eine Phishing-Simulation? Preise, Modelle & ROI erklärt
Große Anbieter wie KnowBe4 oder SoSafe veröffentlichen keine Preise. Dabei ist die Frage berechtigt: Was kostet ein Phishing-Test wirklich – und lohnt er sich für ein KMU mit 20 oder 100 Mitarbeitern?
Warum veröffentlichen die großen Anbieter keine Preise?
KnowBe4, SoSafe, Proofpoint Security Awareness, Terranova Security – keiner dieser Marktführer nennt einen konkreten Preis auf seiner Website. Das hat einen einfachen Grund: Ihr Geschäftsmodell ist auf Enterprise-Kunden ausgelegt, und in diesem Segment werden Preise verhandelt, nicht ausgezeichnet.
Für ein Unternehmen mit 5.000 Mitarbeitern und einem Security-Budget von mehreren hunderttausend Euro jährlich ist das kein Problem. Für ein österreichisches KMU mit 40 Mitarbeitern ist es frustrierend: Man landet in einem Sales-Funnel, wartet auf ein Angebot, das dann die eigenen Erwartungen weit übersteigt – und mit Jahresverträgen, Mindestnutzern und Add-on-Modulen verbunden ist.
Was diese Anbieter bieten, ist eine Plattform – nicht eine Simulation. Das bedeutet: Sie bezahlen für eine Software, die Sie selbst konfigurieren, betreiben und auswerten müssen. Für KMU ohne eigene IT-Abteilung ist das Aufwand, der oft unrealisiert bleibt.
Die 3 Preismodelle für Phishing-Simulationen im Vergleich
Modell 1: Per-User SaaS-Plattform
Das Modell der Enterprise-Anbieter. Sie zahlen pro Mitarbeiter und Jahr für den Plattformzugang. Konfiguration, Durchführung und Auswertung liegen bei Ihnen.
- Typischer Preis: 15–35 € pro User/Jahr
- Mindestlaufzeit: 12 Monate (oft 24)
- Geeignet für: Unternehmen mit 200+ Mitarbeitern und eigenem IT/Security-Team
- Nachteil für KMU: Hoher Eigenbetrieb, oft komplexe Onboarding-Prozesse, Kosten steigen mit Nutzerzahl
Modell 2: Projektpreis / Einzelkampagne
Ein Experte führt eine oder mehrere Simulationen als abgeschlossenes Projekt durch – von der Konzeption bis zum Abschlussbericht. Sie zahlen einmal und wissen von Anfang an, was Sie bekommen.
- Typischer Preis: ab 490 € Fixpreis (Mailmeister) bis 2.500 € für umfangreiche Kampagnen
- Laufzeit: keine Mindestlaufzeit, einmaliges Projekt
- Geeignet für: KMU mit 5–500 Mitarbeitern, die klare Ergebnisse ohne Abo wollen
- Vorteil: Volle Kostenkontrolle, kein Plattformbetrieb nötig, sofort einsatzbereit
Modell 3: Managed Service / Dauerauftrag
Ein externer Dienstleister betreut die Phishing-Simulation dauerhaft: quartalsweise Kampagnen, laufendes Reporting, Anpassung der Szenarien.
- Typischer Preis: 200–800 € pro Monat je nach Umfang
- Laufzeit: Jahresvertrag oder quartalsweise kündbar
- Geeignet für: Unternehmen, die NIS2-konform regelmäßig testen und dokumentieren müssen
- Vorteil: Kontinuierliche Verbesserung, laufende NIS2-Dokumentation
Was sollte in einer Phishing-Simulation enthalten sein?
Nicht jedes Angebot ist gleich. Prüfen Sie, ob diese Leistungen explizit enthalten sind:
- Szenario-Design: Die Simulation sollte auf Ihre Branche, Ihren Unternehmenskontext und aktuelle Angriffsmuster zugeschnitten sein – nicht ein generisches Template
- Technische Durchführung: Technisch sauberer Versand (keine Spam-Filter-Trigger), korrekte Absender-Konfiguration, Timing-Kontrolle
- Klick- und Interaktions-Tracking: Wer hat geklickt, wer hat Daten eingegeben, wer hat die Mail gemeldet?
- Anonymisierter Auswertungsbericht: Klickraten nach Abteilung, Vergleich mit Branchen-Benchmarks, keine namentliche Nennung einzelner Mitarbeiter
- Handlungsempfehlungen: Was bedeuten die Ergebnisse, und welche konkreten nächsten Schritte werden empfohlen?
- DSGVO-Konformität: Auftragsverarbeitungsvertrag (AVV), Löschkonzept für personenbezogene Daten
ROI-Rechnung: Lohnt sich eine Phishing-Simulation?
Die Frage nach dem Return on Investment ist bei Sicherheitsmaßnahmen berechtigt. Hier die nüchterne Rechnung:
| Position | Betrag | Quelle |
|---|---|---|
| Ø Schaden Phishing-Angriff auf KMU | 26.200 € | Hiscox 2024 |
| IT-Forensik & Wiederherstellung | 15.000–50.000 € | BSI |
| Reputationsschaden & Kundenverlust | 10.000–100.000 € | Ponemon 2023 |
| Phishing-Simulation (Mailmeister, einmalig) | ab 490 € | mailmeister.at Fixpreis |
| E-Mail Security Audit (Mailmeister, einmalig) | 290 € | mailmeister.at Fixpreis |
| Gesamtinvestition Prävention | 780 € |
Quellen: Hiscox Cyber Readiness 2024, BSI Lagebericht 2024, Ponemon Institute 2023
Selbst wenn man nur die unterste Schadenszahl nimmt (26.200 €) und die Wahrscheinlichkeit eines erfolgreichen Angriffs nach einer Simulation um konservativ geschätzte 30 % senkt, ergibt sich ein erwarteter Nutzen von ca. 7.860 € pro Jahr – bei 780 € Investition. Das entspricht einem ROI von über 900 %.
Nutzen Sie unseren Kostenkalkulator, um Ihren persönlichen Risikobetrag zu berechnen.
Welches Modell passt für welche Unternehmensgröße?
| Unternehmensgröße | Empfohlenes Modell | Ungefähre Kosten |
|---|---|---|
| 5–50 Mitarbeiter | Projektpreis (einmalig oder jährlich) | 490–990 € / Jahr |
| 50–200 Mitarbeiter | Projektpreis oder Managed Service (quartalsweise) | 990–2.400 € / Jahr |
| 200–500 Mitarbeiter | Managed Service oder SaaS-Plattform mit Begleitung | 2.400–8.000 € / Jahr |
| 500+ Mitarbeiter | SaaS-Plattform (KnowBe4, SoSafe) mit internem Betrieb | 10.000+ € / Jahr |
Quelle: Marktvergleich mailmeister.at, KnowBe4, SoSafe 2024
Für die meisten österreichischen KMU ist das Projektpreis-Modell die sinnvollste Wahl: volle Kostenkontrolle, kein Plattformbetrieb, professionelle Auswertung und keine Bindung an lange Verträge.
Was Mailmeister kostet – und was Sie dafür bekommen
Mailmeister (FEHMER TECH e.U., Wien) bietet Phishing-Simulationen zum Fixpreis – ohne versteckte Kosten, ohne Pro-User-Aufschläge und ohne Mindestlaufzeit.
- Fixpreis ab 490 € – für Unternehmen bis 500 Mitarbeiter, unabhängig von der genauen Mitarbeiterzahl
- Maßgeschneidertes Szenario für Ihre Branche und Ihren Unternehmenskontext
- Technisch saubere Durchführung (kein Spam-Filter-Problem)
- Anonymisierter Auswertungsbericht mit Klickraten nach Abteilung und Branchen-Benchmark
- Konkrete Handlungsempfehlungen, verständlich für Nicht-Techniker
- DSGVO-konform, Auftragsverarbeitungsvertrag inklusive
- Made in Austria – kein Daten-Export in Drittstaaten
- Kein Abo, keine Plattform, keine IT-Ressourcen auf Ihrer Seite nötig
Häufige Fragen zu Phishing-Simulation Kosten
Was kostet eine Phishing-Simulation für KMU?
Die Kosten variieren stark je nach Modell: Enterprise-SaaS-Anbieter verlangen 15–35 € pro User und Jahr bei Mindestlaufzeiten von 12 Monaten. Projektbasierte Angebote für KMU starten bei 490 € Fixpreis für eine vollständige Simulation inklusive Auswertung. Entscheidend ist nicht der Preis, sondern was im Preis enthalten ist.
Was ist im Preis einer Phishing-Simulation enthalten?
Ein vollständiges Angebot sollte enthalten: Szenario-Design, technische Durchführung, Klick-Tracking, anonymisierten Bericht mit Klickraten nach Abteilung, konkrete Handlungsempfehlungen und DSGVO-konforme Verarbeitung inklusive Auftragsverarbeitungsvertrag.
Lohnt sich eine Phishing-Simulation für kleine Unternehmen?
Ja. Der durchschnittliche Schaden eines Phishing-Angriffs auf KMU liegt laut Hiscox 2024 bei 26.200 €. Eine einmalige Simulation kostet ab 490 €. Die Prävention eines einzigen erfolgreichen Angriffs macht die Investition mehr als 50-fach rentabel.
Warum veröffentlichen KnowBe4 und SoSafe keine Preise?
Enterprise-Anbieter orientieren sich an der Zahlungsbereitschaft ihrer Großkunden. Preise werden individuell verhandelt. Für KMU bedeutet das: lange Verhandlungen, unklare Konditionen und oft Mindestvolumina, die für kleine Teams nicht sinnvoll sind. Fixpreisanbieter wie Mailmeister bieten hier mehr Planbarkeit.
Kein Angebot, das erst „intern kalkuliert" werden muss. Beim Erstgespräch in 30 Minuten erfahren Sie, was eine Phishing-Simulation für Ihr Unternehmen kostet – und was Sie dafür bekommen. Fixpreis ab 490 €, kein Abo.
Kostenloses Erstgespräch buchen →