Skip to main content
Skip table of contents

Trusted Clicks - Entfernen automatisierter Klicks aus den Analytics

Read this article in: English, German, Dutch, French

Seit dem 4. März 2026 filtert SoSafe automatisierte Bot-Klicks automatisch aus den Phishing-Simulations-Analytics heraus. Falls Sie feststellen, dass die Klickraten neuer Kampagnen niedriger erscheinen als zuvor, erklärt dieser Artikel, warum dies so ist und was das für Ihre Daten bedeutet.

Was sind Bot-Klicks?

Viele Unternehmen nutzen E-Mail-Sicherheitstools wie Microsoft Defender, Proofpoint, Barracuda, Mimecast und andere, die Links in E-Mails automatisch scannen. Wenn SoSafe eine simulierte Phishing-E-Mail versendet, „klicken“ diese Tools im Rahmen ihres Sicherheitsscans möglicherweise automatisch auf die Links in der E-Mail.

Diese automatisierten Klicks (manchmal auch als „Ghost-Klicks“ oder „Bot-Klicks“ bezeichnet) werden nicht von echten Mitarbeitenden ausgeführt. Sie finden statt, bevor jemand die E-Mail liest, und können die Klickraten in Ihren Analytics-Dashboards erheblich überhöhen.

Was sind „Trusted Clicks“?

„Trusted Clicks“ meint das Erkennungssystem von SoSafe, das automatisierte Bot-Klicks in Ihren Phishing-Simulations-Analytics identifiziert und herausfiltert. Es analysiert Klickverhaltensmuster, um zwischen menschlichen Interaktionen und automatisierten Scans durch Sicherheitstools zu unterscheiden.

Wenn „Trusted Clicks“ einen Bot-Klick identifiziert, wird dieser Klick zwar weiterhin erfasst, aber aus Ihrem Reporting herausgefiltert. Es gehen dabei keine Daten verloren – Bot-Klicks werden im Hintergrund gespeichert, sodass bei Bedarf auf die Daten zurückgegriffen werden kann. Sie erscheinen lediglich nicht in:

  • Analytics-Dashboards (Klickraten-Diagramme, KPIs)

  • Exportierten Reports

  • Zusammenfassungen der Kampagnenperformance

Alle Klickmetriken, die Sie sehen, spiegeln ausschließlich echte Interaktionen der Mitarbeitenden wider.

Wie funktioniert die Bot-Erkennung?

Das Bot-Erkennungssystem von SoSafe nutzt einen Honeypot-basierten Ansatz in Kombination mit mehreren Verhaltenssignalen, um festzustellen, ob ein Klick automatisiert oder von einem Menschen stammt.

Honeypot-Erkennung: Jede Phishing-Simulations-E-Mail enthält einen versteckten Link, der für menschliche Empfänger unsichtbar ist, aber von automatisierten Sicherheitsscannern erkannt werden kann. Wenn ein Scan-System auf diesen versteckten Link „klickt“, identifiziert das System die Quell-IP und markiert alle zugehörigen Klickereignisse von dieser IP für dieselbe E-Mail von einem Bot ausgelöst.

Zu den weiteren Erkennungssignale gehören:

  • Klick-Timing-Muster – Bot-Klicks erfolgen typischerweise innerhalb von Millisekunden nach dem E-Mail-Zustellungszeitpunkt und damit viel schneller, als ein Mensch lesen und klicken könnte.

  • IP-basierte Klick-Zuordnung – Wenn ein Honeypot-Klick erkannt wird, werden alle Klicks von derselben IP-Adresse für dieselbe E-Mail innerhalb eines kurzen Zeitfensters als Bot-Aktivität markiert.

  • Bekannte Bot-Signaturen – SoSafe pflegt eine Datenbank mit bekannten Verhaltensweisen von E-Mail-Sicherheitstools und User-Agent-Signaturen (z. B. Microsoft Defender, GoogleImageProxy, HeadlessChrome).

  • Analyse der Klickquelle – Das System wertet die Herkunft des Klicks aus, um automatisierte Sicherheitsinfrastruktur von Geräten der Nutzer zu unterscheiden.

Das Erkennungssystem verwendet ein gewichtetes Bewertungsmodell. Wenn kombinierte Signale einen Konfidenzschwellenwert überschreiten, wird der Klick als Bot-Klick klassifiziert und aus den Analytics herausgefiltert.

Was hat sich wann geändert?

Das Filtern mithilfe von „Trusted Clicks“ gilt für Phishing-Simulationsdaten seit dem 4. März.

  • Daten seit dem 4. März – Bot-Klicks werden automatisch herausgefiltert. Die Klickraten spiegeln nur menschliche Interaktionen wider.

  • Historische Daten (vor dem 4. März) – Nicht betroffen. Alle historischen Reports, Dashboards und Exporte bleiben unverändert.

Wie wirkt sich das auf meine Daten aus?

Nach dem 4. März werden Sie möglicherweise feststellen, dass die Klickraten bei neuen Phishing-Simulationskampagnen im Vergleich zu historischen Kampagnen niedriger erscheinen. Dies ist zu erwarten und ein Zeichen dafür, dass die Daten nun genauer sind. Dies bedeutet nicht unbedingt, dass sich das Verhalten der Mitarbeitenden geändert hat.

Das Ausmaß der Veränderung hängt von der E-Mail-Sicherheitskonfiguration Ihres Unternehmens ab. Plattformweite Analysen zeigen, dass durchschnittlich etwa 8% aller Klicks von Bots generiert werden, wobei dies jedoch erheblich variieren kann:

  • Unternehmen mit aggressiven Tools zur Link-Prüfung (z. B. Microsoft Defender Safe Links, Proofpoint Sandboxing) verzeichnen möglicherweise einen stärkeren Rückgang – in einigen Fällen deutlich über 15%.

  • Unternehmen mit weniger strenger E-Mail-Sicherheit verzeichnen möglicherweise kaum oder gar keine Veränderung.

Beispiel: Wenn eine Kampagne zuvor eine Klickrate von 15% aufwies und ein Teil dieser Klicks von Bots stammte, würde derselbe Kampagnentyp nun eine niedrigere Klickrate anzeigen – die nur die Klicks von echten Mitarbeitenden widerspiegelt.

Häufig gestellte Fragen - FAQ

Muss ich etwas tun, um „Trusted Clicks“ zu aktivieren?

Nein. „Trusted Clicks“ wird automatisch für alle Kunden aktiviert. Es ist keine Konfiguration oder Maßnahme Ihrerseits erforderlich.

Ändern sich meine historischen Reports?

Nein. Historische Daten, Reports und Exporte sind davon nicht betroffen. Die Filterung gilt nur für Daten, die ab dem 4. März erfasst wurden.

Hat dies Auswirkungen auf E-Mail-Öffnungsraten oder andere Kennzahlen?

„Trusted Clicks“ filtert speziell Bot-Klicks auf Phishing-Simulationslinks heraus. Die Erfassung von Öffnungsraten und anderen Interaktionskennzahlen erfolgt separat und wird durch dieses Update nicht verändert.

Kann ich „Trusted Clicks“ deaktivieren?

„Trusted Clicks“ ist standardmäßig für alle Kunden aktiviert und kann nicht deaktiviert werden. Die Filterung gewährleistet die Datengenauigkeit und gilt als zentraler Bestandteil der Analytics-Funktionen.

Hat dies Auswirkungen auf das Compliance-Reporting?

Ja, und zwar positive Auswirkungen. Compliance-Reports sind nun genauer, da sie überhöhte Klickdaten aus automatisierten Tools ausschließen. Dies liefert Ihnen ein klareres, besser begründbares Bild des tatsächlichen Risikos durch Mitarbeitende.

Mein E-Mail-Sicherheitstool ist oben nicht aufgeführt. Wird es dennoch erkannt?

Die Bot-Erkennung von SoSafe ist nicht auf bestimmte Sicherheitstools beschränkt. Der Honeypot-basierte Ansatz erkennt automatisierte Klicks unabhängig vom jeweiligen Tool, sodass die Abdeckung die gängigsten E-Mail-Sicherheitslösungen umfasst.

Ich sehe einen plötzlichen Rückgang der Klickraten seit dem 4. März. Ist das ein Fehler?

Nein. Ein Rückgang der Klickraten seit dem 4. März ist zu erwarten und bedeutet, dass die Filter korrekt funktionieren. Die niedrigere Rate spiegelt echte Klicks von Mitarbeitenden wider, wobei Bot-Aktivitäten entfernt wurden.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close