Studie zeigt: Gängige Phishing-Trainingsprogramme sind weitgehend ineffektiv
Gängige Phishing-Trainingsprogramme, die weit verbreitet in Unternehmen eingesetzt werden, erwiesen sich in einer neuen Studie als äußerst unwirksam im Kampf gegen Phishing-Angriffe. Verantwortlich für diese Befunde sind IT-Security-Forscher, die an einem großangelegten Feldversuch mit über 19.500 Beschäftigten eines US-amerikanischen Gesundheitsdienstleisters arbeiteten. Über einen Zeitraum von acht Monaten wurden die Teilnehmer wiederholt mit zehn unterschiedlichen Phishing-Simulationen konfrontiert, um die Wirksamkeit verschiedener Trainingsansätze zu evaluieren.
Die Ergebnisse sind alarmierend: Sowohl regelmäßige IT-Sicherheitsschulungen als auch das sogenannte Embedded Phishing Training, bei dem nach einem Fehler direkt ein Lernangebot folgt, zeigten keinen signifikanten Einfluss auf die Wahrscheinlichkeit, auf Phishing-Mails hereinzufallen. Die absolute Differenz der Fehlerrate zwischen trainierten und untrainierten Personen betrug lediglich 1,7 Prozent – eine marginale Verbesserung, die kaum relevant für den Schutz vor realen Angriffen ist. Ein weiteres Problem identifizierte die Studie in der Aufmerksamkeitsspanne der Teilnehmer beim Training. Nur ein geringer Teil nahm das Lernmaterial nach einem Fehlklick tatsächlich aufmerksam wahr oder beendete es vollständig. Über die Hälfte der Teilnehmer beendete das Training innerhalb von zehn Sekunden, weniger als ein Viertel erreichte das Ende der Lektion.
Die Studie zeigt, dass klassische Awareness-Kampagnen und Phishing-Trainings in ihrer jetzigen Form kaum das tatsächliche Risiko für Unternehmen reduzieren können. Die Ergebnisse, die unter anderem auf der Sicherheitskonferenz Black Hat 2025 vorgestellt wurden, bestätigen frühere Studien.
Schlagwörter: Black Hat 2025 + Phishing
(pz)
