Du kan fortælle dine medarbejdere hundrede gange, at de ikke må klikke på mistænkelige links. Det hjælper — lidt. Men forskning viser konsekvent, at medarbejdere, der kun har modtaget information, glemmer det meste inden for uger. Det, der faktisk ændrer adfærd, er at opleve det selv. Det er præcis, hvad phishing-simulering gør.

Hvad er en phishing-simulering?

En phishing-simulering er en kontrolleret, falsk phishing-kampagne — sendt af jer, til jeres egne medarbejdere. I samarbejde med jeres IT-partner eller via et specialiseret platform sender I e-mails, der ser mistænkelige ud: en falsk pakkebesked, en "din adgangskode udløber snart"-mail, eller en tilsyneladende intern besked fra ledelsen.

De medarbejdere, der klikker på linket i den falske mail, sendes ikke til et skadeligt sted — de sendes til en intern side, der fortæller dem, at de netop deltog i en sikkerhedstest, og viser dem præcis hvad de burde have lagt mærke til. Øjeblikkelig, kontekstuel læring.

Hvorfor awareness-træning alene ikke er nok

Det er dokumenteret i forskning: viden og adfærd er to forskellige ting. En medarbejder kan sagtens vide, at phishing-mails eksisterer, og alligevel klikke — fordi de er travle, fordi mailen ser overbevisende ud, eller fordi de handler på autopilot.

Simulering bryder autopilotet. Den skaber en personlig oplevelse — "jeg klikkede" — som er langt mere effektiv end en PowerPoint-præsentation. Studier fra KnowBe4 og Proofpoint viser, at virksomheder, der kører regelmæssige simuleringer, reducerer klik-raten fra typisk 30–40% til under 5% over 12 måneder.

Vigtigt: Simulering skal aldrig bruges som et redskab til at straffe eller skamme medarbejdere. Den skal bruges til at lære. En medarbejder, der klikker, er ikke dum — de er menneskelig. Kulturen omkring simulering er afgørende for om det virker.

Sådan foregår det i praksis

  1. Vælg en platform — KnowBe4, Proofpoint, Cofense eller Microsofts Attack Simulator (inkluderet i Microsoft 365 Defender) er alle velegnet til SMV'er.
  2. Lav en baseline-test — send en første simulering uden forudgående varsel. Mål klik-raten. Det giver jeres udgangspunkt.
  3. Kør træningsmoduler — medarbejdere, der klikker, gennemgår et kort, kontekstuelt læringsmodul. 3–5 minutter, ikke en times kursus.
  4. Gentag regelmæssigt — kør simuleringer 4–6 gange om året. Varier sværhedsgrad og type.
  5. Mål fremgang — sammenlign klik-rater over tid. Brug tallene i jeres sikkerhedsrapportering.

Hvad koster det?

En platform som KnowBe4 koster typisk 15–30 kr. per bruger per måned afhængigt af licenstier og størrelse. For en virksomhed med 20 medarbejdere er det 3.000–7.200 kr. om året — og det inkluderer typisk et komplet bibliotek af simulerede phishing-skabeloner, træningsvideoer og rapportering.

Sammenlign det med prisen på ét vellykket phishing-angreb — og regnskabet er ikke svært at lave.