Quelle: magann – stock.adobe.com
Studie: Phishing-Trainings zeigen kaum Wirkung
Eine Studie untersuchte die Fortschritte, die 19'000 Angestellte im Rahmen von Phishing-Trainings machten. Das Ergebnis ist bedenklich.
18. August 2025
Phishing-Trainings, wie sie in vielen Unternehmen regelmässig durchgeführt werden, um die Sensibilisierung vor betrügerischen E-Mails zu fördern, zeigen eine sehr überschaubare Wirkung. Zwei Forschende einer US-Universität haben in einem mehrmonatigen Versuch gemessen, wie gross die Verbesserungen dank solchen Security-Trainings sind.
Das ernüchternde Ergebnis: Die Verbesserungsrate kam bei 1,7 Prozent zu liegen, sprich nahe an der Wirkungslosigkeit, vor allem gemessen am Aufwand. In der Untersuchung wurden Daten von rund 19'000 Teilnehmern berücksichtigt. "Diese Schulungen bringen kaum etwas", wie Ariana Mirian, Forscherin und Doktorandin an der U.C. San Diego, kommentiert. Publiziert wurden die Ergebnisse im Rahmen der Black Hat Security Conference in Las Vegas, wie "SCmedia" berichtet.
Die meisten anderen Erhebungen zu Phishing-Trainings werden laut den Forschenden nicht mit realen, sondern mit oft nicht praxisnahen Laborbedingungen durchgeführt. Für ihren Test wurden die Teilnehmer nun in fünf Gruppen (eine davon die Kontrollgruppe) eingeteilt, denen unterschiedliche Lernmittel gezeigt wurden, wenn sie beim monatlichen Phishing-Test durchgefallen sind. Eine gewisse Verbesserung wurde im Laufe von acht Monaten zwar registriert – diese ist mit den genannten 1,7 Prozent aber sehr ernüchternd. Auch zeigte der Test, dass rund 50 Prozent der Teilnehmenden mindestens einmal während der Testphase auf eine Phining-Mail auf den Leim gekrochen sind.
Das Fazit der Forschenden: Man solle nicht alles glauben, was einem Security-Anbieter über ihre Anti-Phishing-Trainings erzählen und Beweise in Form von Zahlen verlangen. Die Trainings sind laut den Studienautoren also nicht komplett unnütz – es müsse aber besser getestet werden, was funktioniert und was nicht.
Die Ergebnisse sind hier in ganzer Länge einsehbar. (win)
Das ernüchternde Ergebnis: Die Verbesserungsrate kam bei 1,7 Prozent zu liegen, sprich nahe an der Wirkungslosigkeit, vor allem gemessen am Aufwand. In der Untersuchung wurden Daten von rund 19'000 Teilnehmern berücksichtigt. "Diese Schulungen bringen kaum etwas", wie Ariana Mirian, Forscherin und Doktorandin an der U.C. San Diego, kommentiert. Publiziert wurden die Ergebnisse im Rahmen der Black Hat Security Conference in Las Vegas, wie "SCmedia" berichtet.
Die meisten anderen Erhebungen zu Phishing-Trainings werden laut den Forschenden nicht mit realen, sondern mit oft nicht praxisnahen Laborbedingungen durchgeführt. Für ihren Test wurden die Teilnehmer nun in fünf Gruppen (eine davon die Kontrollgruppe) eingeteilt, denen unterschiedliche Lernmittel gezeigt wurden, wenn sie beim monatlichen Phishing-Test durchgefallen sind. Eine gewisse Verbesserung wurde im Laufe von acht Monaten zwar registriert – diese ist mit den genannten 1,7 Prozent aber sehr ernüchternd. Auch zeigte der Test, dass rund 50 Prozent der Teilnehmenden mindestens einmal während der Testphase auf eine Phining-Mail auf den Leim gekrochen sind.
Das Fazit der Forschenden: Man solle nicht alles glauben, was einem Security-Anbieter über ihre Anti-Phishing-Trainings erzählen und Beweise in Form von Zahlen verlangen. Die Trainings sind laut den Studienautoren also nicht komplett unnütz – es müsse aber besser getestet werden, was funktioniert und was nicht.
Die Ergebnisse sind hier in ganzer Länge einsehbar. (win)
Weitere Artikel zum Thema
Adobe und Microsoft bei Phishern hoch im Kurs
27. Mai 2025 - Gemäss Netskope verwenden Angreifer häufig die Namen Adobe oder Microsoft, um einen Phishing-Versuch zu starten.Reservekraftwerk Birr von Cyberattacke betroffen
15. Mai 2025 - Das Betreiberunternehmen des Reservekraftwerks in Birr wurde offenbar Opfer eines Cyberangriffs, so dass im Namen eines Managers Phishing-Mails an Schweizer Zulieferer versendet werden konnten.BACS warnt vor Chain Phishing
16. April 2025 - Derzeit nutzen viele Cyberkriminelle das sogenannte Chain Phishing, eine Methode, um auf einen Schlag mehrere Zugangsdaten zu erbeuten. Es gelten dieselben Vorsichtsmassnahmen wie beim Phishing allgemein.Artikel kommentieren
