Studie stellt Wirksamkeit von Anti-Phishing-Schulungen in Frage

Die meisten Cybersicherheitsschulungen, wie sie heute in grossen Organisationen durchgeführt werden, haben nur einen geringen Einfluss auf die Wahrscheinlichkeit, ob Mitarbeitende auf eine Phishing-E-Mail klicken. Zu diesem Ergebnis kommt zumindest eine gross angelegte Studie der UC San Diego Health (dem Gesundheitsbereich der Universität von Kalifornien, San Diego).

Acht Monate lang haben die Forscherinnen und Forscher zehn simulierte Phishing-Kampagnen an mehr als 19'500 Mitarbeitende verschickt, wie aus einem Onlineartikel auf der Website der UC San Diego Health hervorgeht. Den Autoren zufolge handelt es sich bei der Studie um die bislang umfangreichste kontrollierte Analyse der Wirksamkeit von Anti-Phishing-Schulungen. Die Ergebnisse wurden im August auf der Black-Hat-Konferenz in Las Vegas vorgestellt, nachdem sie bereits im Mai auf dem IEEE Symposium on Security and Privacy in San Francisco präsentiert worden waren.

Es wurden zwei Arten von Schulungen bewertet. Zum einen die obligatorische jährliche Online-Schulung und zum anderen punktuelle Tests, bei denen unmittelbar nach dem Klicken eines Mitarbeitenden auf einen simulierten Phishing-Link eine pädagogische Erklärung gegeben wird. Die Ergebnisse zeigen, dass keiner dieser Ansätze zu einer signifikanten Risikominderung geführt hat. "Unsere Ergebnisse deuten darauf hin, dass Anti-Phishing-Schulungen in ihrer derzeitigen Form nur einen geringen praktischen Nutzen für die Risikominderung haben", schreiben die Studienautorinnen und -autoren.

Immer häufigeres Klicken

Die Studie zeigt, dass die Wirksamkeit der Schulung, bei der nach dem Klicken auf einen gefälschten Link eine Erklärung angezeigt wird, zu einem Rückgang der Fehlerquote um nur 2 Prozent geführt hat. Ausserdem habe sich das Verhalten im Laufe der Zeit verschlechtert: Während im ersten Monat 10 Prozent der Mitarbeitenden auf einen betrügerischen Link geklickt hätten, seien es nach acht Monaten mehr als die Hälfte gewesen.

Wesentlicher Faktor für diese Ineffizienz sei das Desinteresse der Mitarbeitenden. Drei Viertel hätten die integrierten Trainingsmaterialien weniger als eine Minute lang angesehen und ein Drittel habe sie sofort geschlossen, erklärt Grant Ho, Mitautor der Studie und Professor an der Universität von Chicago.

Nicht alle Phishing-Nachrichten sind gleichwertig

Die Klickrate variierte stark je nach Art der Nachricht, wie es in der Mitteilung heisst. Weniger als 2 Prozent der Mitarbeitenden klickten demnach auf eine gefälschte Aufforderung zur Aktualisierung ihres Outlook-Passworts. Dagegen seien mehr als 30 Prozent auf eine gefälschte Nachricht hereingefallen, in der eine Änderung der Urlaubsrichtlinien der Einrichtung angekündigt wurde.

Die Studienautorinnen und -autoren empfehlen Unternehmen, ihre Bemühungen auf technische Lösungen zu konzentrieren, die laut Studie als wirksamer gelten. Sie nennen insbesondere die Zwei-Faktor-Authentifizierung und Passwortmanager, die nur auf den richtigen Domains aktiviert werden. Diese Ansätze würden ihrer Meinung nach im Vergleich zu den derzeitigen Schulungen einen besseren Return on Investment bieten.

Eine Analyse von Check Point hat eine Zunahme von Phishing und Ransomware-Angriffen im zweiten Quartal 2025 festgestellt. Mehr dazu können Sie hier lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.