In einem achtmonatigen Feldversuch wurden mehr als 19.500 Beschäftigte eines großen Gesundheitsdienstleisters mit insgesamt zehn unterschiedlich gestalteten Phishing-Simulationen konfrontiert. Ziel war es herauszufinden, ob wiederholte Trainings, interaktive Formate oder unmittelbare Lerneinheiten nach einem Fehlklick die Anfälligkeit für Phishing-Angriffe messbar senken. Das Ergebnis ist ernüchternd. Zwischen trainierten und untrainierten Mitarbeitenden lag der Unterschied bei gerade einmal 1,7 Prozent.
Besonders bemerkenswert ist dabei, dass nicht nur die Effektivität, sondern auch die Akzeptanz der Lernangebote enttäuschend ausfiel. Über die Hälfte der Beschäftigten brach das angebotene Training innerhalb von zehn Sekunden ab. Weniger als ein Viertel absolvierte die Lektion bis zum Ende. Anstatt nachhaltige Lerneffekte zu erzielen, wurden die Programme von vielen schlicht als Störung empfunden.
Noch gravierender ist die Erkenntnis, dass selbst regelmäßige Pflichtschulungen keinen messbaren Effekt hatten. Ob eine Schulung frisch absolviert war oder Monate zurücklag, machte für die Fehlklickrate keinen Unterschied. Ebenso spielte die Art des Trainings – ob klassisches E-Learning oder sogenanntes Embedded Training – nur eine untergeordnete Rolle. Lediglich sehr spezifische, auf die konkrete Phishing-Mail zugeschnittene interaktive Formate konnten das Risiko moderat senken, und selbst hier blieb der Effekt marginal.
Die Forscher kamen zu einem klaren Fazit: Klassische Awareness-Kampagnen, wie sie heute in unzähligen Unternehmen durchgeführt werden, reduzieren das tatsächliche Risiko kaum. Die millionenschwere Branche der Anti-Phishing-Trainings steht damit vor einem massiven Glaubwürdigkeitsproblem. Was auf Konferenzen wie der Black Hat 2025 präsentiert wurde, bestätigt damit den Trend früherer Studien. Solange sich an der Motivation und an der Art der Vermittlung nichts Grundlegendes ändert, bleibt der Mensch das größte Einfallstor für Angriffe.