Zurück zum Blog
Leitfäden

GoPhish vs NovaShield: kommerzielle Lösung oder Open Source

NAIT-YOUCEF KaciNAIT-YOUCEF Kaci
3. Juli 202611 Min. Lesezeit
GoPhish vs NovaShield: kommerzielle Lösung oder Open Source

GoPhish ist eines der weltweit bekanntesten Open-Source-Tools zur Phishing-Simulation. Kostenlos, von der Sicherheits-Community respektiert, mit über 13.000 GitHub-Sternen.

Warum wechseln also immer mehr KMU von GoPhish zu verwalteten Lösungen? Weil das Testen von Phishing und der Aufbau eines kontinuierlichen Sensibilisierungsprogramms zwei verschiedene Dinge sind — und GoPhish nie für das Zweite entwickelt wurde.

Dieser Vergleich stellt die Fakten vor. GoPhish hat echte Stärken. NovaShield adressiert andere Bedürfnisse.

GoPhish auf einen Blick

GoPhish ist ein Open-Source-Framework zur Phishing-Simulation, das 2016 von Jordan Wright entwickelt wurde. In Go geschrieben und unter der MIT-Lizenz vertrieben, wird das Projekt auf GitHub gehostet und hat über 13.000 Sterne gesammelt.

Das Konzept: Sie installieren GoPhish auf Ihrem Server, konfigurieren einen SMTP-Versand, erstellen E-Mail-Templates und Landing Pages, dann starten Sie Kampagnen. Das Web-Interface zeigt die Ergebnisse: gesendete E-Mails, geöffnete E-Mails, geklickte Links, eingereichte Anmeldedaten.

Wichtige Punkte:

  1. Kein Unternehmen hinter GoPhish. Community-Projekt, kein kommerzieller Support, kein SLA, keine garantierte Roadmap.
  2. Beliebt bei Pentestern und Red Teamern. GoPhish ist ein Penetrationstest-Tool, bevor es ein Sensibilisierungstool ist. Die Community nutzt es primär für punktuelle Tests bei Sicherheitsaudits.
  3. Nur Self-Hosted. Keine offizielle SaaS-Version. Sie müssen einen Server bereitstellen, das Binary installieren, das Netzwerk konfigurieren und die Infrastruktur warten.
  4. Letzte stabile Version: 0.12.1 (laut GitHub-Repository). Das Entwicklungstempo hat sich in den letzten Jahren verlangsamt.

GoPhish bleibt eine Referenz im Bereich Phishing und Social Engineering. Es hat die Phishing-Simulation demokratisiert und für jeden zugänglich gemacht, der einen Linux-Server administrieren kann.

Was GoPhish gut macht

GoPhish ist ein gutes Tool für das, was es tut. Es dafür zu kritisieren, kein verwaltetes SaaS zu sein, wäre wie einem Schraubenzieher vorzuwerfen, keine Bohrmaschine zu sein.

Kostenlos und Open Source, ohne Kompromisse. MIT-Lizenz, kommerzielle Nutzung ohne Einschränkungen. Keine Lizenz zu erneuern, keine Preisgestaltung pro Benutzer. Für eine Organisation mit einem nahezu null Budget für Sicherheit ist das ein gewichtiges Argument.

Vollständige Kontrolle über die Daten. On-Premise-Hosting bedeutet, dass Ihre Daten niemals Ihre Infrastruktur verlassen. Kein Dritter erhält Zugang zu den E-Mail-Adressen Ihrer Mitarbeiter oder zu den Kampagnenergebnissen.

Gut dokumentierte REST-API. Automatisieren Sie die Erstellung von Kampagnen, den Import von Benutzern und das Abrufen von Ergebnissen. Python-Skripte und Community-Integrationen existieren.

Aktive Community. Das GitHub-Wiki, Issues und Community-Tutorials decken die Mehrzahl der Anwendungsfälle ab.

Referenztool für Pentests. Für einen Red Teamer, der einen einmaligen Spear-Phishing-Test durchführt, ist GoPhish oft die beste Wahl: eine gezielte Kampagne konfigurieren, Ergebnisse messen, einen Bericht erstellen, zum nächsten Kunden wechseln.

Was sind die Einschränkungen von GoPhish für ein Sensibilisierungsprogramm in KMU?

Das Problem liegt nicht darin, was GoPhish tut. Es liegt in dem, was es nicht tut — und was Sie stattdessen selbst erledigen müssen.

Installation und Wartung: die unsichtbare IT-Zeit

GoPhish zu installieren ist kein Klick auf "Starten". Der Prozess umfasst:

  1. Bereitstellung eines Linux-Servers (VPS oder dedizierte Maschine)
  2. Installation und Konfiguration von GoPhish (Binary oder Docker)
  3. Konfiguration eines SMTP-Versandservers (mit Authentifizierung, SPF, DKIM zur Umgehung von Spam-Filtern)
  4. Kauf und Konfiguration einer dedizierten Domain für Phishing-Seiten
  5. Beantragung eines SSL-Zertifikats
  6. Konfiguration von Firewall-Regeln und Netzwerksicherheit
  7. Einrichtung von Datenbank-Backups

Rechnen Sie mit 2 bis 5 Arbeitstagen für einen erfahrenen Administrator. Und das ist nur die Erstinstallation. Danach: Server-Updates, Sicherheits-Patches, Log-Überwachung, Störungsmanagement. Für ein KMU mit 80 Mitarbeitern und einem IT-Verantwortlichen in Teilzeit ist diese Zeit schlicht nicht vorhanden.

Kein Schulungsmodul

Dies ist die bedeutendste Einschränkung für den geschäftlichen Einsatz. Wenn ein Mitarbeiter in einer GoPhish-Kampagne auf einen Phishing-Link klickt, wird er auf eine statische Seite weitergeleitet — und das war's.

Kein adaptives Micro-Learning, kein Schulungsmodul, das erklärt, warum die E-Mail verdächtig war, kein Verstärkungsmechanismus, der das Wiederholungsrisiko senkt, kein progressiver Lernpfad.

Phishing-Simulation ohne Schulung ist eine Diagnose, kein Sensibilisierungsprogramm. Sie identifizieren gefährdete Mitarbeiter, helfen ihnen aber nicht, sich zu verbessern. Die Klickraten bleiben von Kampagne zu Kampagne stabil, weil niemand aus seinen Fehlern lernt. Laut Verizon DBIR 2024 sind 68 % der Sicherheitsverletzungen auf einen menschlichen Faktor zurückzuführen. Das Problem zu erkennen, ohne es zu behandeln, reduziert diese Zahl nicht.

Template-Erstellung: handwerkliche Arbeit

GoPhish wird ohne Template-Bibliothek geliefert. Jedes Phishing-E-Mail-Template und jede Landing Page muss manuell in HTML erstellt werden. Für realistische Simulationen bedeutet das: eine glaubwürdige E-Mail entwerfen, responsives HTML codieren, das mit E-Mail-Clients kompatibel ist, die entsprechende Landing Page erstellen und das Rendering sowie die Zustellbarkeit testen.

Rechnen Sie mit 1 bis 2 Stunden pro Template, basierend auf Community-Rückmeldungen. Für ein Sensibilisierungsprogramm, das 20 bis 30 verschiedene Szenarien pro Jahr erfordert, sind das 30 bis 60 Stunden Inhaltserstellungsarbeit. Und die von der Community geteilten Templates sind fast ausschließlich auf Englisch.

Eingeschränktes Dashboard

GoPhish liefert vier Metriken pro Kampagne: gesendete E-Mails, geöffnete E-Mails, geklickte Links, eingereichte Anmeldedaten. Das reicht für einen einmaligen Pentest-Bericht. Es reicht nicht für die Steuerung eines kontinuierlichen Sensibilisierungsprogramms. Was fehlt: ein Risiko-Score pro Mitarbeiter und pro Abteilung, Trends über die Zeit, Branchen-Benchmarks, automatische Warnungen, wenn eine Abteilung einen Risikoschwellenwert überschreitet.

Keine Compliance-Berichte

Die NIS2-Richtlinie, anwendbar seit Oktober 2024, verlangt von betroffenen Einrichtungen, Sensibilisierungsmaßnahmen für das Personal nachzuweisen (Artikel 21, Absatz 2g). GoPhish generiert keine Compliance-Berichte. Rohdaten zu extrahieren und manuell für ein Audit oder einen Management-Bericht zu formatieren, ist nach jeder Kampagne zusätzliche Arbeit.

DSGVO-Verantwortung

Wenn Sie GoPhish auf Ihrem Server hosten, sind Sie im Sinne der DSGVO der Verantwortliche für die Verarbeitung aller erhobenen Daten: E-Mail-Adressen, Klicks, eingereichte Anmeldedaten. Verzeichnis der Verarbeitungstätigkeiten, Folgenabschätzung, Datensicherheit, Meldung im Falle einer Verletzung: alles liegt in Ihrer Verantwortung. Bei einem verwalteten SaaS wird diese Verantwortung mit dem Anbieter über einen AVV geteilt.

Schwierige Skalierung

Kampagnen für 200 oder 500 Mitarbeiter in GoPhish zu verwalten wird schnell mühsam. Listenimport, Abteilungssegmentierung, Planung wiederkehrender Kampagnen, individuelles Tracking: alles muss manuell oder per Skript über die API erledigt werden. Das ist machbar, aber es kostet zusätzliche Entwicklungs- und Wartungszeit.

Was sind die tatsächlichen Kosten von GoPhish?

GoPhish ist kostenlos. Aber kostenlos bedeutet nicht ohne Kosten. Hier ist eine realistische Kalkulation für ein KMU mit 100 Mitarbeitern über 12 Monate.

Infrastrukturkosten:

Posten Geschätzte Kosten
VPS (dedizierter Server) 30 bis 50 €/Monat, also 360 bis 600 €/Jahr
Dedizierte Domain + SSL-Zertifikat 15 bis 30 €/Jahr
Teilergebnis Infrastruktur 375 bis 630 €/Jahr

Personalkosten (IT-Zeit, Basis 450 €/Tag):

Posten Geschätzte Zeit Kosten
Erstinstallation 3 bis 5 Tage 1.350 bis 2.250 €
Monatliche Wartung (Patches, Monitoring) 3 Std./Monat × 12 2.025 €
Erstellung von 24 Templates (2 pro Monat) 1,5 Std. × 24 2.025 €
Kampagnenkonfiguration (2/Monat) 1 Std. × 24 1.350 €
Extraktion und Formatierung der Berichte 2 Std. × 12 1.350 €
Teilergebnis IT-Zeit 8.100 bis 9.000 €/Jahr

Gesamtkosten GoPhish: 8.475 bis 9.630 Euro im ersten Jahr. In den Folgejahren ohne die Erstinstallation: ca. 6.750 bis 7.380 Euro pro Jahr.

NovaShield-Kosten: kostenlos bis 50 Mitarbeiter (Freemium-Angebot), dann ab 59 Euro pro Monat für 51 bis 150 Mitarbeiter, mit Simulation, Post-Fehler-Training, Dashboards, NIS2-Compliance-Berichten und Hosting inklusive. Alle Stufen finden Sie auf der NovaShield-Preisseite.

Und die Kosten der Nicht-Schulung? GoPhish simuliert Phishing, schult aber keine Mitarbeiter, die versagen. Ohne Schulung sinken die Klickraten nicht signifikant. Jeder reale Klick kann ein KMU zwischen 15.000 und 150.000 Euro kosten. Ein einziger vermiedener Vorfall pro Jahr amortisiert die Investition in eine verwaltete Lösung.

Was NovaShield anders machen will

NovaShield ist kein GoPhish-Fork. Es ist ein Produkt, das für einen anderen Zweck entwickelt wurde: KMU zu ermöglichen, ein kontinuierliches Sensibilisierungsprogramm zu starten, ohne ihre IT-Ressourcen zu mobilisieren.

Angestrebte Bereitstellung in 15 Minuten. Account erstellen, Mitarbeiter importieren (CSV oder Verzeichnissynchronisation), Szenarien wählen, erste Kampagne starten — ohne Server, ohne SMTP, ohne Domain-Kauf.

Sofort einsatzbereite Szenarien. Phishing-Templates, die Paketdienste, Cloud-Anbieter, Banken, Lohn- oder Finanzamts-E-Mails imitieren — ohne eine einzige HTML-Vorlage zu programmieren.

Automatisches Post-Fehler-Training. Wenn ein Mitarbeiter auf einen Simulations-Link klickt, gelangt er zu einem 3-5-minütigen Micro-Learning-Modul, das die spezifischen Warnsignale der empfangenen E-Mail erklärt. Das ist der Unterschied zwischen der Diagnose eines Problems und seiner Behandlung. Laut SANS Security Awareness Report 2024 reduziert sofortiges kontextuelles Training die Wiederholungsrate um 50 bis 75 %.

KI-gestützte Überprüfung verdächtiger E-Mails. Eine zweifelhafte E-Mail? Mitarbeiter leiten sie weiter und erhalten schnell ein Urteil — legitim oder verdächtig — mit einer Analyse der Header und der SPF/DKIM/DMARC-Authentifizierung. Kein Bedarf mehr, die IT bei jeder verdächtigen E-Mail zu kontaktieren.

Dashboard mit Risiko-Score nach Abteilung, Angriffstyp und Zeitraum, mit Fortschritt über die Zeit und Ein-Klick-Management-Berichten.

NovaShield Dashboard

NIS2-Compliance-Berichte automatisch generiert, die Kampagnen und Mitarbeiterschulungen belegen, bereit für ein Audit.

In Frankreich gehostete Infrastruktur. Kampagnendaten und Mitarbeiterinformationen auf Servern in Frankreich, ohne transatlantische Übertragung.

Starten Sie Ihre 14-tägige kostenlose Testversion, ohne Verpflichtung, um mit einer bestehenden GoPhish-Installation zu vergleichen.

Für wen eignet sich GoPhish oder NovaShield?

Die beiden Tools adressieren nicht denselben Bedarf. Hier ist ein objektiver Entscheidungsrahmen.

Wählen Sie GoPhish, wenn:

  1. Sie Pentester oder Red Teamer sind und punktuelle Phishing-Tests für Kunden durchführen.
  2. Sie ein verfügbares IT-Team mit einem Systemadministrator haben, der Zeit für Installation, Wartung und Template-Erstellung aufwenden kann.
  3. Sie eine tiefgreifende Anpassung benötigen. Der offene Quellcode erlaubt es, das GoPhish-Verhalten ohne Einschränkungen zu modifizieren.
  4. Ihr Budget tatsächlich null ist und Sie lieber Zeit als Geld investieren.
  5. Sie einen einmaligen Test, ein einzelnes Phishing-Resilienz-Audit ohne Folgeprogramm durchführen.

Wählen Sie NovaShield, wenn:

  1. Sie ein kontinuierliches Sensibilisierungsprogramm mit regelmäßigen Kampagnen, zeitlichem Tracking und Mitarbeiterschulung aufbauen.
  2. Sie ein KMU ohne dediziertes Sicherheitsteam sind und Ihr IT-Verantwortlicher anderes zu tun hat, als einen Server zu warten und HTML-Templates zu erstellen.
  3. Sie Compliance-Berichte für NIS2, die DSGVO oder interne Audits benötigen.
  4. Sie schulen wollen, nicht nur testen. Simulation ohne Schulung reduziert das Risiko nicht.
  5. Sie sofort einsatzbereite Szenarien wollen, ohne Templates von Grund auf zu programmieren.
  6. Das Hosting von Daten in Frankreich für Sie wichtig ist.

Wie migriert man von GoPhish zu NovaShield?

Wenn Sie GoPhish bereits verwenden und die Wartung zur Last wird, ist die Migration einfach gestaltet.

  1. Exportieren Sie Ihre Benutzerliste. Gehen Sie in GoPhish zu "Users & Groups" und exportieren Sie Ihre Kontakte als CSV. Die Spalten E-Mail, Vorname, Nachname und Abteilung reichen aus.
  2. Erstellen Sie Ihren NovaShield-Account. Registrieren Sie sich kostenlos, ohne Kreditkarte.
  3. Importieren Sie Ihre Benutzer. Laden Sie die aus GoPhish exportierte CSV-Datei hoch.
  4. Starten Sie Ihre erste Kampagne. Wählen Sie Szenarien, selektieren Sie Zielgruppen, planen Sie den Versand.
  5. Behalten oder archivieren Sie Ihre historischen GoPhish-Daten. Sie verbleiben auf Ihrem GoPhish-Server. Sie können ihn während der Übergangszeit im Nur-Lese-Modus belassen oder Kampagnenergebnisse im JSON-Format über die GoPhish-API für die Archivierung exportieren.

Der GoPhish-Server kann dann außer Betrieb genommen werden: ein Server weniger zu warten, weniger Sicherheits-Patches anzuwenden, IT-Zeit für wertschöpfendere Aufgaben zurückgewonnen.

GoPhish ist ein ausgezeichnetes Open-Source-Tool, das die Phishing-Simulation für alle zugänglich gemacht hat. Für einen einmaligen Pentest oder ein technisch versiertes Team erfüllt es seine Aufgabe perfekt.

Aber für ein KMU, das sein menschliches Risiko nachhaltig reduzieren möchte — mit Schulung, Tracking und Compliance, ohne die IT zu mobilisieren — stößt GoPhish an seine Grenzen. Vergleichen Sie die Ergebnisse mit Ihrer bestehenden GoPhish-Installation.

Häufige Fragen

Ist GoPhish wirklich kostenlos?

Die GoPhish-Software ist kostenlos und Open Source (MIT-Lizenz). Aber die tatsächlichen Kosten umfassen die Installations- und Konfigurationszeit (2 bis 5 Tage für ein funktionsfähiges Deployment), Serverwartung, Sicherheitsupdates, manuelle Erstellung von Phishing-Templates und die Zeit Ihres IT-Teams für die Verwaltung des Tools. Für ein KMU ohne dediziertes IT-Team übersteigen die versteckten Kosten häufig den Preis einer verwalteten Lösung.

Wie installiert man GoPhish?

GoPhish erfordert einen Server (Linux empfohlen), die Konfiguration eines SMTP-Servers für den E-Mail-Versand, ein SSL-Zertifikat, eine dedizierte Domain für Phishing-Seiten und Firewall-Regeln. Die technische Installation dauert 2 bis 5 Tage für ein vollständiges und stabiles Deployment. Testen Sie NovaShield kostenlos zum Vergleich.

Kann GoPhish in einem Unternehmen eingesetzt werden?

Ja, aber mit Einschränkungen. GoPhish funktioniert gut für punktuelle Tests. Für ein kontinuierliches Sensibilisierungsprogramm mit Post-Fehler-Training, Tracking des menschlichen Risikos und Compliance-Berichten fehlen wesentliche Funktionen. Außerdem macht das Hosting von GoPhish auf Ihrer Infrastruktur Sie für die Sicherheit der erhobenen Daten im Sinne der DSGVO verantwortlich.

Warum von GoPhish zu einer verwalteten Lösung wechseln?

Die häufigsten Gründe: GoPhish-Wartung monopolisiert IT-Zeit, Templates sind schwer zu erstellen, es gibt kein automatisches Post-Fehler-Training, und die Berichte reichen nicht aus, um NIS2-Konformität nachzuweisen.

GoPhish oder NovaShield: was ist für ein KMU besser geeignet?

GoPhish ist geeignet, wenn Sie ein verfügbares IT-Team, einen punktuellen Testbedarf und ein nahezu null Budget haben. NovaShield richtet sich an KMU, die ein kontinuierliches Sensibilisierungsprogramm wollen, ohne ihre IT zu mobilisieren, mit NIS2-Compliance-Berichten und in Frankreich gehosteten Daten. Für ein KMU mit 50 bis 500 Mitarbeitern soll NovaShield kostengünstiger sein als GoPhish, sobald die Personalkosten in die Kalkulation einbezogen werden.

Über den Autor

Kaci ist Gründer von NovaShield und hat einen Master in Cybersecurity & Cloud von der IPSSI. NovaShield ist ein gelisteter Anbieter auf der Plattform Cybermalveillance.gouv.fr.

Kaci auf LinkedIn finden

Verfügbar inFRENESDEITAR

La plateforme est gratuite.

Recevez votre invitation dès l'ouverture.

Soyez notifié dès l'ouverture. En attendant, chaque semaine dans votre boîte : des guides pratiques pour sensibiliser vos équipes sans budget ni équipe IT, une veille sur les nouvelles menaces qui ciblent les PME en ce moment, et l'actu réglementaire concrète (NIS2, ANSSI) qui vous concerne.

Gratuit. Zéro spam. Désabonnement en un clic.

Découvrir la plateformeSans créer de compte