Viele Unternehmen setzen auf Awareness-Schulungen und Phishing-Trainings. Ihre Hoffnung ist die Mitarbeitenden zu „menschlichen Firewalls“ zu machen. Doch neue, wissenschaftlich fundierte Ergebnisse einer groß angelegten Studie eines US-Gesundheitsunternehmen zeigen: Dieser Glaube ist trügerisch.
8 Monate, 19.500 Teilnehmende, kaum Wirkung
Eine aktuelle Studie von den IT Security-Forschern Ariana Mirian und Christian Dameff zeigt es eindeutig: Phishing-Trainings bringen Unternehmen kaum weiter.
Über 8 Monate wurden mehr als 19.500 Mitarbeitende regelmäßig mit Phishing-Simulationen konfrontiert. Dabei erhielten fünf gebildete Teilnehmergruppen im Vorfeld keinerlei Training bis hin zu interaktiven, kontextbezogenen Trainingsmodulen. Die ernüchternden Resultate zeigen, dass alle Gruppen auf Phishing hereinfallen und Trainings nur eine marginale Verbesserung von 1,7 % herbeiführen. Auch die veröffentliche Präsentation der beiden Forscher von der Black Hat 2025 steht der Öffentlichkeit bereits zu Verfügung.
Zudem klickten etwa 50 % der Teilnehmenden im Studien-Verlauf mindestens einmal, unabhängig vom Trainingsstatus, auf eine Phishing-Mail.
Trainings werden ignoriert – Engagement bleibt aus
Das grundsätzliche Problem, laut den US-Forscher, besteht darin, dass keine wirksame Auseinandersetzung stattfand, weil viele Teilnehmende ihre Trainingsmaterialien zu schnell schlossen. Ein Großteil beendete die Lektionen zudem sogar binnen Sekunden. Schulungen verpufften somit oft wirkungslos.
Ein weiterer Fakt: Phishing-Erfolg hängt stark vom Inhalt der Köder-Mails ab. Während trickreiche Outlook-Passwort-Anfragen fast immer durchschaut wurden (Fehlerrate 1–4 %), wurde bei Themen wie Urlaubsanspruch oder unternehmensinterne Protokolle in etwa 30 % der Fälle geklickt. Besonders erschreckend war die Feststellung, dass über einen längeren Zeitraum fast jeder mal auf einen Phishing-Versuch hereinfällt.
Daraus folgerten die Forschenden: Wer die Köder kontrolliert, kontrolliert die Fehlerquote. Doch wie macht man das erfolgreich?
Unternehmen investieren Millionen, die kaum schützen!
Das Fazit aus der Studie zeigt: Der Glaube, Phishing-Trainings und klassische Awareness-Kampagnen reichen aus, ist falsch und zudem gefährlich. Es braucht mehr – mehr Effizienz und weniger Scheinsicherheit.
Unternehmen und Organisationen benötigen einen praktikablen Weg um ihre Sicherheit messbar und tragfähig zu machen.
Die Lösung: Multi-Faktor-Authentifizierung (MFA)
Wenn wir eines aus dieser und vielen früheren Studien lernen, dann: Der Mensch bleibt das schwächste Glied in der Kette. Wirklichen Schutz erreichen Unternehmen nur durch technische Maßnahmen, die unabhängig vom individuellen Verhalten greifen.
Die effektivste Maßnahme heißt Multi-Faktor-Authentifizierung (MFA). Sie stellt sicher, dass ein kompromittiertes Passwort allein nicht mehr ausreicht, um ein Konto oder ein System zu übernehmen. Selbst wenn Mitarbeitende auf eine Phishing-Mail hereinfallen, scheitert der Angriff spätestens an der zusätzlichen Sicherheitsabfrage.
Genau hier liegt unsere Expertise: Wir sind Spezialisten für Multi-Faktor-Authentifizierung. Wir beraten Sie strategisch, implementieren maßgeschneiderte Lösungen für Ihr Unternehmen und betreuen Sie auch im Anschluss.
Ist Phishing auch bei Ihnen präsent?
Sie möchten Ihr Unternehmen oder Ihre Organisation effizient vor Phishing-Angriffen schützen? Kontaktieren Sie uns für ein unverbindliches Beratungsgespäch.