Worauf Unternehmen jetzt setzen sollten
Eine groß angelegte Feldstudie in einem US-Gesundheitskonzern erschüttert ein etabliertes Sicherheitsdogma: Klassische Awareness-Schulungen und gängige “Phishing-Tests” senken die Anfälligkeit für Phishing kaum messbar. Über acht Monate wurden zehn realistische Phishing-Kampagnen an mehr als 19.500 Beschäftigte ausgespielt – ohne nennenswerten Lerneffekt.
Die wichtigsten Ergebnisse in Kürze
- Kein Zusammenhang zwischen kürzlich absolvierter Awareness-Schulung und geringerer Fehlerquote in Phishing-Simulationen.
- Embedded Training (Sofort-Hinweise nach dem Klick) brachte nur einen minimalen Effekt von ca. 1,7–2 Prozentpunkten auf die künftige Fehlerquote.
- 56 % der Teilnehmer klickten mindestens einmal, 25,9 % mindestens zweimal, 9,8 % mindestens dreimal in zehn Kampagnen.
- Besonders wirksame Köder: Urlaubs-/Krankheitsregelung, Kleiderordnung, Verkehrsdelikt – teils mit Click-Raten über 20 % (Spitzenwert: 30,8 %).
- Engagement-Problem: Über die Hälfte der “Lernseiten” wurde nach <10 Sekunden geschlossen; weniger als 24 % schlossen das Material vollständig ab.
So lief die Studie ab
Die Untersuchung stammt von Forschern der UC San Diego, der University of Chicago und UC San Diego Health. Das Design: zehn simulierte Phishing-Wellen, randomisierte Zuweisung zu unterschiedlichen Trainingsarten und Kontrollgruppen, detaillierte Messung von Klicks und Lern-Interaktion. Für jährliche Awareness nutzte die Organisation u. a. KnowBe4, für eingebettetes Training Proofpoint.
Warum klassische Awareness oft verpufft
Reichweite: In jeder Übung “scheitert” nur ein kleiner Teil der Belegschaft – die Mehrheit erhält gar kein Training. Relevanz: Statische Lernseiten liefern wenig situationsbezogenes Feedback.
Motivation: Die meisten brechen nach Sekunden ab. Zusammengenommen erklärt das, warum die Gesamtwirkung in der Praxis minimal bleibt.
Immerhin zeigte sich ein Lichtblick: Wenn interaktive Inhalte vollständig bearbeitet wurden, sank die Wahrscheinlichkeit eines erneuten Klicks in einer Folgekampagne relativ um bis zu 19 % – absolut bleibt der Effekt klein, weil so wenige bis zum Ende lernen.
Einordnung: Das Problem liegt tiefer als Schulung
Der aktuelle Verizon DBIR 2025 bestätigt die strategische Lage: Missbrauch von Zugangsdaten ist weiterhin der häufigste Einstiegsvektor, während die Ausnutzung von Schwachstellen auf 20 % wächst und so die Schere zwischen Technik- und Menschfaktor schließt. Insgesamt wurden 22.052 Sicherheitsvorfälle und 12.195 bestätigte Datenpannen analysiert.
Auch Europas ENISA verzeichnet in ihrem Threat-Landscape 2024 eine anhaltend hohe Bedeutung sozialer Manipulation (Phishing, BEC), getrieben durch AI-gestützte Täuschung und professionellere Taktiken.
Gegenpositionen und Grenzen
Eine Meta-Analyse (2025) findet über verschiedene Studien hinweg durchaus positive Effekte von Trainings – vor allem auf Wissen und bestimmte Verhaltensmetriken. Das steht nicht zwingend im Widerspruch: Feldbedingungen, Qualität/Format der Inhalte und Messmethoden variieren stark. Die UCSD-Studie bildet zudem primär das Gesundheitswesen in einer Organisation ab; Übertragbarkeit erfordert weitere Forschung.
Was jetzt wirkt: Technische und organisatorische Maßnahmen
- Phishing-resistente MFA einführen – bevorzugt FIDO2/WebAuthn oder PKI-basierte Verfahren (Passkeys, Hardware-Keys). CISA stuft diese als “Goldstandard” ein; NIST verankert Phishing-Resistenz auf hohem AAL-Niveau.
- E-Mail-Authentifizierung hart fahren – SPF, DKIM, DMARC mit p=quarantine/reject, plus MTA-STS und TLS-RPT; optional BIMI für klare Markenerkennung. (ENISA empfiehlt robuste Mail-Security und Prozesse gegen BEC.)
- Risikobasierte Härtung – Legacy-Login-Protokolle (IMAP/POP/SMTP-Auth) abschalten, Conditional Access, Just-in-Time/Least-Privilege, Admin-Konten ausschließlich mit Hardware-Keys.
- Mail-Security modernisieren – Attachment-Sandboxing, Link-Detonation, BEC-Erkennung (z. B. Abgleich von Lieferanten-Bankdaten), Schutz vor MFA-Fatigue (Number Matching, wo FIDO noch nicht möglich ist).
- Simulationen neu denken – kürzer, kontextbezogen, interaktiv, mit klarer Verhaltensübung (z. B. Verdachtsmeldung) statt reiner “Klick-Prüfung”. Zielmetriken: Time-to-Report und Qualität der Meldungen statt blanker Click-Rate.
- Security-UX und Prozesse – Low-Friction-Meldebutton im Mail-Client, garantiertes Feedback an Meldende, Lessons Learned in IT-Tickets verankern, Fehlanreize vermeiden (Shaming/Strafen konterkarieren Lernkultur).
Checkliste für CISOs (Führungskraft für Informationssicherheit in einem Unternehmen) Kurzfassung
- Passkeys/Hardware-Keys für Risiko-Konten pilotieren, Rollout-Plan mit App-Abdeckung erstellen.
- DMARC auf p=quarantine → p=reject hochfahren; MTA-STS/TLS-RPT aktivieren.
- Abschaltung von Basic/Legacy-Auth dokumentieren, Ausnahmen befristen.
- Simulationen: auf kontextuelle Mikro-Lerneinheiten mit Abschluss-Interaktion umstellen; Reporting-KPIs definieren.
- Vendors/Third-Party-Risiko im Blick behalten – laut DBIR 2025 wesentlicher Faktor.
Fazit
Phishing bleibt ein Prozess- und Designproblem, kein reines Wissensproblem. Die neue Feldstudie zeigt: Standard-Schulungen liefern in der Praxis zu wenig Reibung mit dem echten Arbeitsalltag. Wer die Erfolgsquote der Angreifer wirklich senken will, kombiniert phishing-resistente Authentisierung, konsequente E-Mail-Hygiene, moderne Mail-Security und interaktive, kontextnahe Lernimpulse – mit klaren Prozess-KPIs und ohne Schuldzuweisungen.
Linkliste (alle Quellen)
- Cybernews: Cybersecurity training doesn’t work (20.08.2025)
- Fachpaper (UC San Diego/University of Chicago/UCSD Health): Understanding the Efficacy of Phishing Training in Practice (2025)
- Verizon DBIR 2025 – Executive Summary (PDF)
- Verizon DBIR 2025 – Hauptseite
- ENISA Threat Landscape 2024 (PDF)
- CISA Fact Sheet: Implementing Phishing-Resistant MFA (FIDO/WebAuthn, PKI) (PDF)
- NIST SP 800-63B (Entwurf 800-63-4): Phishing Resistance und AAL-Anforderungen
- Meta-Analyse 2025: Assessing the effect of cybersecurity training on end-users (Abstract)
Über den Autor
Letzte Aktualisierung am 5.02.2026 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
