Verbesserung von nur 1,7 Prozent: Phishing-Training fast immer wirkungslos

Eine neue Studie von IT-Security-Forschern kommt zu einem ernüchternden Ergebnis für die IT-Sicherheitsbranche: Der praktische Nutzen gängiger Phishing-Trainingsprogramme in Unternehmen ist miserabel. Über einen Zeitraum von acht Monaten wurden bei einem großangelegten Feldversuch mehr als 19.500 Beschäftigte eines großen US-Gesundheitsdienstleisters mit zehn unterschiedlich gestalteten Phishing-Simulationen konfrontiert. Die Resultate zeigen, dass weder das Absolvieren regelmäßiger IT-Sicherheitsschulungen noch das sogenannte „Embedded Phishing Training“ – bei dem nach Fehlverhalten direkt ein Trainingsangebot folgt – das Risiko signifikant senken, auf Phishing hereinzufallen.

Kaum Verbesserungen, Lernangebote oft nicht angenommen

Laut den Forschern lag die absolute Differenz der Fehlerquote zwischen trainierten und untrainierten Personen in den Tests bei lediglich 1,7 Prozent. Ein weiteres grundsätzliches Problem besteht darin, dass nur ein kleiner Teil der Teilnehmer das Trainingsmaterial nach einem Fehlklick tatsächlich aufmerksam wahrnahm oder abschloss. Über die Hälfte beendete das Lernangebot innerhalb von zehn Sekunden, weniger als ein Viertel absolvierte die Lektion bis zum Ende. Sehr perfide gestaltete Mail-Köder erzielten dabei eine Klickrate von bis zu 30 Prozent. Besonders erfolgreich waren angebliche Änderungen bei Urlaubsansprüchen oder interne Protokolle. Insgesamt klickten im Verlauf der Studie 56 Prozent der Teilnehmer mindestens einmal auf einen Phishing-Link – unabhängig vom Trainingsstatus.

Daher auch eine weitere Erkenntnis: Das übliche jährliche Pflichttraining zur IT-Sicherheit hatte keinen messbaren Einfluss auf die Anfälligkeit für Phishing-Angriffe. Ob und wie lange eine Schulung zurücklag, korrelierte weder mit weniger Fehlklicks noch mit gesteigerter Aufmerksamkeit. Auch die Art der Trainings spielte nur eine untergeordnete Rolle – einzig interaktive, speziell auf die konkrete Phishing-Mail zugeschnittene Trainingsformen führten zu einer moderaten Risikoreduktion von rund 19 Prozent. Allerdings blieben auch hier die Gesamteffekte aufgrund niedriger Abschlussquoten marginal.

Aktuelle Angebote sind teuer und bringen nichts

In der Summe zeige sich, so die Autoren der Studie, dass klassische Awareness-Kampagnen und Phishing-Trainings in ihrer derzeitigen Form das wirkliche Risiko in Unternehmen kaum reduzieren. Somit stehe eine millionenschwere Branche vor einem massiven Glaubwürdigkeitsproblem. Die Ergebnisse wurden unter anderem auf der Sicherheitskonferenz Black Hat 2025 vorgestellt und bestätigen einen langfristigen Trend früherer Studien: Ohne echte Veränderung in der Lernmotivation oder grundlegende Verbesserungen bei der Trainingsgestaltung bleibt der Mensch das größte Einfallstor für Cyberangriffe dieser Art.

Die Studie finden interessierte Leser auf der Webseite der beteiligten Autorin Ariana Mirian. Auch die Präsentation von ihr und Christian Dameff auf der Black Hat 2025 steht öffentlich zur Verfügung.

(fo)