Inhaltsverzeichnis

Worauf Unternehmen jetzt setzen sollten

Eine groß angelegte Feldstudie in einem US-Gesundheitskonzern erschüttert ein etabliertes Sicherheitsdogma: Klassische Awareness-Schulungen und gängige “Phishing-Tests” senken die Anfälligkeit für Phishing kaum messbar. Über acht Monate wurden zehn realistische Phishing-Kampagnen an mehr als 19.500 Beschäftigte ausgespielt – ohne nennenswerten Lerneffekt.

Die wichtigsten Ergebnisse in Kürze

Kein Zusammenhang zwischen kürzlich absolvierter Awareness-Schulung und geringerer Fehlerquote in Phishing-Simulationen.
Embedded Training (Sofort-Hinweise nach dem Klick) brachte nur einen minimalen Effekt von ca. 1,7–2 Prozentpunkten auf die künftige Fehlerquote.
56 % der Teilnehmer klickten mindestens einmal, 25,9 % mindestens zweimal, 9,8 % mindestens dreimal in zehn Kampagnen.
Besonders wirksame Köder: Urlaubs-/Krankheitsregelung, Kleiderordnung, Verkehrsdelikt – teils mit Click-Raten über 20 % (Spitzenwert: 30,8 %).
Engagement-Problem: Über die Hälfte der “Lernseiten” wurde nach <10 Sekunden geschlossen; weniger als 24 % schlossen das Material vollständig ab.

So lief die Studie ab

Die Untersuchung stammt von Forschern der UC San Diego, der University of Chicago und UC San Diego Health. Das Design: zehn simulierte Phishing-Wellen, randomisierte Zuweisung zu unterschiedlichen Trainingsarten und Kontrollgruppen, detaillierte Messung von Klicks und Lern-Interaktion. Für jährliche Awareness nutzte die Organisation u. a. KnowBe4, für eingebettetes Training Proofpoint.

Warum klassische Awareness oft verpufft

Reichweite: In jeder Übung “scheitert” nur ein kleiner Teil der Belegschaft – die Mehrheit erhält gar kein Training. Relevanz: Statische Lernseiten liefern wenig situationsbezogenes Feedback.
Motivation: Die meisten brechen nach Sekunden ab. Zusammengenommen erklärt das, warum die Gesamtwirkung in der Praxis minimal bleibt.

Immerhin zeigte sich ein Lichtblick: Wenn interaktive Inhalte vollständig bearbeitet wurden, sank die Wahrscheinlichkeit eines erneuten Klicks in einer Folgekampagne relativ um bis zu 19 % – absolut bleibt der Effekt klein, weil so wenige bis zum Ende lernen.

Einordnung: Das Problem liegt tiefer als Schulung

Der aktuelle Verizon DBIR 2025 bestätigt die strategische Lage: Missbrauch von Zugangsdaten ist weiterhin der häufigste Einstiegsvektor, während die Ausnutzung von Schwachstellen auf 20 % wächst und so die Schere zwischen Technik- und Menschfaktor schließt. Insgesamt wurden 22.052 Sicherheitsvorfälle und 12.195 bestätigte Datenpannen analysiert.

Auch Europas ENISA verzeichnet in ihrem Threat-Landscape 2024 eine anhaltend hohe Bedeutung sozialer Manipulation (Phishing, BEC), getrieben durch AI-gestützte Täuschung und professionellere Taktiken.

Gegenpositionen und Grenzen

Eine Meta-Analyse (2025) findet über verschiedene Studien hinweg durchaus positive Effekte von Trainings – vor allem auf Wissen und bestimmte Verhaltensmetriken. Das steht nicht zwingend im Widerspruch: Feldbedingungen, Qualität/Format der Inhalte und Messmethoden variieren stark. Die UCSD-Studie bildet zudem primär das Gesundheitswesen in einer Organisation ab; Übertragbarkeit erfordert weitere Forschung.

Was jetzt wirkt: Technische und organisatorische Maßnahmen

Phishing-resistente MFA einführen – bevorzugt FIDO2/WebAuthn oder PKI-basierte Verfahren (Passkeys, Hardware-Keys). CISA stuft diese als “Goldstandard” ein; NIST verankert Phishing-Resistenz auf hohem AAL-Niveau.
E-Mail-Authentifizierung hart fahren – SPF, DKIM, DMARC mit p=quarantine/reject, plus MTA-STS und TLS-RPT; optional BIMI für klare Markenerkennung. (ENISA empfiehlt robuste Mail-Security und Prozesse gegen BEC.)
Risikobasierte Härtung – Legacy-Login-Protokolle (IMAP/POP/SMTP-Auth) abschalten, Conditional Access, Just-in-Time/Least-Privilege, Admin-Konten ausschließlich mit Hardware-Keys.
Mail-Security modernisieren – Attachment-Sandboxing, Link-Detonation, BEC-Erkennung (z. B. Abgleich von Lieferanten-Bankdaten), Schutz vor MFA-Fatigue (Number Matching, wo FIDO noch nicht möglich ist).
Simulationen neu denken – kürzer, kontextbezogen, interaktiv, mit klarer Verhaltensübung (z. B. Verdachtsmeldung) statt reiner “Klick-Prüfung”. Zielmetriken: Time-to-Report und Qualität der Meldungen statt blanker Click-Rate.
Security-UX und Prozesse – Low-Friction-Meldebutton im Mail-Client, garantiertes Feedback an Meldende, Lessons Learned in IT-Tickets verankern, Fehlanreize vermeiden (Shaming/Strafen konterkarieren Lernkultur).

Checkliste für CISOs (Führungskraft für Informationssicherheit in einem Unternehmen) Kurzfassung

Passkeys/Hardware-Keys für Risiko-Konten pilotieren, Rollout-Plan mit App-Abdeckung erstellen.
DMARC auf p=quarantine → p=reject hochfahren; MTA-STS/TLS-RPT aktivieren.
Abschaltung von Basic/Legacy-Auth dokumentieren, Ausnahmen befristen.
Simulationen: auf kontextuelle Mikro-Lerneinheiten mit Abschluss-Interaktion umstellen; Reporting-KPIs definieren.
Vendors/Third-Party-Risiko im Blick behalten – laut DBIR 2025 wesentlicher Faktor.

Fazit

Phishing bleibt ein Prozess- und Designproblem, kein reines Wissensproblem. Die neue Feldstudie zeigt: Standard-Schulungen liefern in der Praxis zu wenig Reibung mit dem echten Arbeitsalltag. Wer die Erfolgsquote der Angreifer wirklich senken will, kombiniert phishing-resistente Authentisierung, konsequente E-Mail-Hygiene, moderne Mail-Security und interaktive, kontextnahe Lernimpulse – mit klaren Prozess-KPIs und ohne Schuldzuweisungen.