Ernüchternde Bilanz

Phishing gilt nach wie vor als einer der einfachsten, aber gefährlichsten Angriffsvektoren. Die logische Reaktion vieler Firmen sind Seminare, Präsentationen oder Online-Module. Doch der große Durchbruch bleibt aus. Heise berichtet von einer Studie in einem US-Gesundheitskonzern, in dem monatelange Trainings lediglich eine Verbesserung von 1,7 Prozentpunkten brachten. Ein Wert, der in der Praxis kaum Gewicht hat.

Auch an der University of Chicago wurde genauer hingeschaut. Dort testeten Forschende in einem Feldexperiment über mehrere Monate hinweg unterschiedliche Formate, vom klassischen Online-Kurs bis hin zu eingebetteten Lernlektionen. Sie kamen zu dem Ergebnis: "Insgesamt finden wir keine Hinweise darauf, dass jährliche Schulungen zum Sicherheitsbewusstsein mit weniger Phishing-Fehlern korrelieren."

Kennzahlen, die in die Irre führen

Viele Programme rühmen sich damit, dass die Klickrate in simulierten Phishing-Mails sinkt. Doch was sagt dieser Wert wirklich aus? Forschende des US-amerikanischen NIST weisen darauf hin, dass er stark vom Schwierigkeitsgrad der Köder-Mails abhängt. Eine plump formulierte Nachricht klickt fast niemand an, unabhängig von Training. Eine sehr überzeugende Fälschung dagegen führt selbst erfahrene Nutzer in die Irre. Hinzu kommt, dass nicht jeder Klick gleich schwer wiegt. Ein Fehlklick in einer kritischen Abteilung kann weitreichendere Folgen haben als mehrere in einem weniger sensiblen Bereich.

Wenn die Übung zum Stressfaktor wird

Trainingskampagnen können auch schaden. Eine Untersuchung, die auf der USENIX Security 2024 vorgestellt wurde, dokumentiert, dass Mitarbeitende nach Fehlklicks in simulierten Phishing-Mails mehr Stress empfinden und weniger Vertrauen in ihre Fähigkeiten entwickeln. Das untergräbt die Sicherheitskultur statt sie zu stärken. Noch problematischer sind die Befunde einer Studie, die auf der USEC 2025 präsentiert wurde. Dort zeigte sich, dass Teilnehmende, die einmal hereingefallen waren, später eher erneut Opfer wurden. Simulationen können also nicht nur nutzlos, sondern kontraproduktiv sein. Hinzu kommt der Imageschaden, wenn Belegschaften den Eindruck gewinnen, dass man sie mit Fallen bloßstellt.

Wo sich Investitionen wirklich lohnen

Statt stundenlange Seminare anzusetzen, zeigen sich andere Ansätze als wesentlich wirksamer. Dazu gehören strenge Mail-Gateways mit DMARC, DKIM und SPF, die potenziell gefährliche Nachrichten schon im Vorfeld abfangen. Auch die automatische Desinfektion von Anhängen oder die Blockierung unsicherer Makros hat sich bewährt. Laut mailwork.de haben Anbieter wie Gmail und Yahoo, mit den E-Mail-Richtlinien, diese Authentifizierungen zum Standard gemacht.

Ebenso wichtig sind klare Prozesse. Zahlungen sollten über ein Vier-Augen-Prinzip laufen, Kontoänderungen müssen über unabhängige Kanäle bestätigt werden. Das schafft Barrieren, die Angreifer nicht so leicht überwinden können. Ergänzend lassen sich statt klassischer Seminare kurze Hinweise in den Arbeitsalltag integrieren, etwa Warnbanner bei externen Absendern oder kleine Erinnerungen direkt in Anwendungen.

Redaktion finanzen.net