Thought Leadership
Unternehmen setzen auf gefakte Phishing-Mails, um Mitarbeiter zu schulen. Doch die Wirksamkeit solcher Tests ist umstritten. Experten warnen vor typischen Fallen und zeigen, worauf es wirklich ankommt.
Phishing gehört nach wie vor zu den erfolgreichsten Angriffsmethoden im Cybercrime-Bereich. Die Methode ist kostengünstig, effektiv und dient häufig als Einstiegspunkt für weitreichende Systemkompromittierungen. Viele Unternehmen reagieren darauf mit simulierten Phishing-Kampagnen, um ihre Belegschaft für die Bedrohung zu sensibilisieren. Doch wie wirksam sind diese Maßnahmen tatsächlich?
Theorie und Praxis klaffen auseinander
Das Konzept klingt plausibel: Wer regelmäßig übt, ist im Ernstfall besser vorbereitet. Dieses Prinzip hat sich in verschiedenen Bereichen bewährt, von Sportsimulationen bis hin zu Krisenübungen. Auch in der IT-Sicherheit zeigen Red-Teaming-Übungen, Capture-the-Flag-Wettbewerbe oder Tabletop-Szenarien messbare Erfolge. Die Übertragung auf Phishing-Training erscheint daher naheliegend.
Die Realität gestaltet sich jedoch komplexer. Das Sophos X-Ops Team hat vier häufige Schwachstellen bei der Implementierung von Phishing-Trainings identifiziert: Übungen verkommen zu Compliance-Aktionen ohne echten Lerneffekt, unfaire oder ethisch bedenkliche Simulationen erzeugen unnötigen Stress bei Mitarbeitern, Nutzer werden für vermeintliche Fehler sanktioniert, und der Fokus liegt primär auf dem Scheitern statt auf korrektem Verhalten.
Wissenschaftliche Befunde geben Anlass zur Skepsis
Während Befürworter argumentieren, dass Phishing-Simulationen das Sicherheitsbewusstsein erhöhen und eine präventive Unternehmenskultur fördern, zeichnen wissenschaftliche Studien ein differenzierteres Bild. Untersuchungen aus den Jahren 2021 und 2025 belegen lediglich marginale Effekte auf die Klickrate bei Phishing-Mails. In manchen Fällen steigt die Anfälligkeit sogar, etwa durch Gewöhnungseffekte oder ein trügerisches Sicherheitsgefühl nach bestandenen Tests. Schlecht konzipierte Übungen können sich somit als nutzlos oder sogar schädlich erweisen.
Perspektivwechsel: Vom Versagen zum Erfolg
Ross McKerchar, Chief Information Security Officer bei Sophos, plädiert für einen grundlegenden Perspektivwechsel: „Unbedachte Klicks sind nicht das, worauf der erste Fokus liegt, entscheidend ist, dass ein Reporting folgt“, sagt er. „Wer verdächtige Mails meldet, liefert wertvolle, sofort verwertbare Bedrohungsinformationen.
Dieser Ansatz transformiere die Rolle der Anwender: Statt sie als Schwachstelle zu betrachten, werden sie zu aktiven Komponenten der Verteidigungsstrategie. McKerchar empfiehlt folgende Prinzipien für effektive Phishing-Simulationen:
Die Frequenz sollte ausgewogen gewählt werden, um weder Übersättigung noch mangelnde Übung zu erzeugen. Die Inhalte müssen realitätsnah, aber ethisch vertretbar gestaltet sein. Der Schwerpunkt sollte auf positivem Verhalten liegen, nicht auf Fehleranalyse. Besondere Aufmerksamkeit verdienen Meldebereitschaft und Reaktionsgeschwindigkeit. Auch Folgeaktionen nach einem Klick sollten in die Bewertung einfließen. Alle Unternehmensbereiche müssen einbezogen werden, um ein repräsentatives Bild zu erhalten. Technische Sicherheitssysteme sollten so konzipiert sein, dass sie menschliche Fehler kompensieren können.
KI verschärft die Bedrohungslage
Die Relevanz des Themas wird durch technologische Entwicklungen noch verstärkt. Künstliche Intelligenz ermöglicht es Angreifern zunehmend, Phishing-Mails noch überzeugender zu gestalten. Rechtschreibfehler und stilistische Ungereimtheiten, die bisher als Warnsignale dienten, werden seltener. Unter diesen Bedingungen gewinnt der menschliche Faktor paradoxerweise an Bedeutung.
McKerchar resümiert, dass gut konzipierte und regelmäßig durchgeführte Phishing-Simulationen die Wachsamkeit erhöhen, wertvolle Bedrohungsdaten generieren und eine Sicherheitskultur etablieren können, die reale Angriffe wirksam abwehrt. Die entscheidende Voraussetzung: Die Übungen müssen als Lernprozess verstanden werden, nicht als Kontrollinstrument.
(lb/Sophos)
