Thought Leadership
Forscher haben in einer Studie mit 19.000 Probanden die Wirksamkeit verschiedener Phishing-Trainings getestet. Das Ergebnis: Schulungen helfen weniger als erwartet.
Eine groß angelegte Untersuchung zur Effektivität von Phishing-Schulungen hat gezeigt, dass herkömmliche Trainingsmethoden weniger wirksam sind als oft angenommen. Forscher der University of California San Diego testeten über acht Monate verschiedene Schulungsansätze mit mehr als 19.000 Probanden aus dem Gesundheitswesen.
Wissenschaftlicher Ansatz statt Laborversuche
Die Studie ging einen anderen Weg als bisherige Untersuchungen, die oft unter kontrollierten Laborbedingungen stattfanden. “Wir wollten wissenschaftlich fundierte Ergebnisse aus der realen Arbeitswelt”, erklärt Christian Dameff vom UC San Diego Center for Healthcare Cybersecurity. Bisherige Studien zur Phishing-Prävention zeigten widersprüchliche Resultate – von deutlichen Verbesserungen bis hin zu keinem messbaren Effekt.
Die Teilnehmer wurden in fünf Gruppen aufgeteilt und erhielten bei simulierten Phishing-Angriffen unterschiedliche Rückmeldungen: von einfachen Fehlerseiten über statische Informationsseiten bis hin zu interaktiven, kontextbezogenen Schulungsmodulen.
Leichte Verbesserungen messbar
Das Resultat ist ernüchternd. Die verschiedenen Trainingsansätze führten zu einer durchschnittlichen Verbesserung von 1,7 Prozent gegenüber der Kontrollgruppe. „Lohnt sich all dieser Fokus auf Schulungen angesichts der Ergebnisse?“, fragte die Forscherin Ariana Mirian, Senior Security Researcher bei Censys und Doktorandin an der University of California in San Diego, wo die Studie durchgeführt wurde.
Interessant waren zudem die Nebenerkenntnisse der Studie. So erwies sich die Wahl der Phishing-Köder als entscheidender Faktor: Während nur wenige Prozent auf gefälschte Outlook-Nachrichten hereinfielen, klickten rund 30 Prozent auf vermeintliche Informationen zu Urlaubsregelungen oder Kleiderordnungen.
Realistische Erwartungen entwickeln
Die Langzeitstudie offenbarte auch, dass über die acht Monate hinweg etwa die Hälfte aller Teilnehmer mindestens einmal auf einen Phishing-Versuch hereinfiel. “Wichtig ist, aus diesen Fehlern zu lernen, statt sie zu bestrafen”, betont Mirian.
Ein weiterer Befund: Viele Nutzer übersprangen die Schulungsinhalte komplett oder schlossen sie so schnell, dass kaum Zeit für eine Lernwirkung blieb. Dies deutet auf die Notwendigkeit hin, Trainings attraktiver und benutzerfreundlicher zu gestalten.
Die Forscher sehen ihre Ergebnisse nicht als Argument gegen Phishing-Schulungen, sondern als Anstoß für Verbesserungen. “Wir brauchen mehr empirische Forschung und datenbasierte Ansätze”, so Dameff. Unternehmen sollten von Schulungsanbietern konkrete Wirksamkeitsnachweise verlangen.
Mehrstufige Sicherheitsstrategien gefragt
Experten empfehlen ohnehin eine ganzheitliche Herangehensweise: Neben optimierten Schulungsformaten sollten Unternehmen auf automatisierte Schutzlösungen, regelmäßige Sicherheitsupdates und eine offene Fehlerkultur setzen.
Die Erkenntnisse könnten dazu beitragen, Schulungsprogramme zielgerichteter zu gestalten und unrealistische Erwartungen zu korrigieren. Für Unternehmen bedeuten die Ergebnisse nicht automatisch auf Phishing-Training zu verzichten, sondern sie als Teil einer umfassenden Sicherheitsstrategie mit messbaren Zielen zu verstehen.
