Thought Leadership
Ein Google-Sicherheitsmanager hat sich gegen simulierte Phishing-Übungen für Mitarbeiter ausgesprochen. Solche Tests würden eher Frust statt mehr Sicherheitsbewusstsein schaffen.
Viele Firmen senden ihren Mitarbeitern gefälschte Phishing-Mails, um zu testen, ob sie darauf hereinfallen. Diese weit verbreitete Praxis der simulierten Phishing-Angriffe stößt jedoch auf prominente Kritik. Matt Linton, Sicherheitsmanager bei Google, warnt: “Unsere Kollegen haben die Nase gestrichen voll davon, von solchen Phishing-Tests hinters Licht geführt zu werden. Das schürt nur Frust, anstatt von Nutzen zu sein.”
In einem Blogeintrag erläutert Linton die Schattenseiten solcher simulierten Angriffe. Google müsse aufgrund gesetzlicher Vorgaben diese E-Mail-Tests durchführen. Fällt ein Mitarbeiter darauf herein, gilt er als “durchgefallen” und muss eine Schulung machen. Doch dieser Ansatz sei überholt.
“Es gibt keine Beweise dafür, dass solche Tests tatsächlich zu weniger erfolgreichen Phishing-Angriffen führen”, so Linton. Eine Studie aus dem Jahr 2021 sei zu dem Ergebnis gekommen, dass die Übungen Mitarbeiter nicht widerstandsfähiger gegen Phishing machen.
Laut Linton spiegeln Googles simulierte Attacken auch nicht die Realität wider, da sie die firmeneigenen Phishing-Schutzmaßnahmen austricksen müssen. Dies vermittle ein falsches Risikobild. Der größte Kritikpunkt sind jedoch die negativen Folgen für die Moral: “Mitarbeiter sind verärgert, weil sie sich von der Sicherheitsabteilung hinters Licht geführt fühlen. Das untergräbt das für sinnvolle Schutzmaßnahmen so wichtige Vertrauensverhältnis.”
Linton plädiert dafür, solche “Spielchen” zu beenden. Man könne Menschen nicht “fehlerfreies” Verhalten abverlangen. Stattdessen müssten Unternehmen in technische Schutzmaßnahmen wie Hardwareschlüssel und Passkeys investieren, um Phishing zu unterbinden.
Eine Alternative seien offene Phishing-Trainingskampagnen ohne die Bestrafungs-Mentalität. Dabei informieren Mails die Mitarbeiter klar: “Dies ist eine Übungs-Phishing-Mail, keine Aktion erforderlich.” So werde geschult, ohne Vertrauen zu verspielen.
