Das ernüchternde Ergebnis einer Großstudie
Über acht Monate hinweg untersuchten IT-Security-Forscher die Wirksamkeit von Phishing-Trainings bei mehr als 19.500 Beschäftigten eines großen US-Gesundheitsdienstleisters. Das Ergebnis ist vernichtend: Die absolute Differenz der Fehlerquote zwischen trainierten und untrainierten Personen lag bei lediglich 1,7 Prozent. Eine Verbesserung, die statistisch kaum relevant ist.
Besonders alarmierend ist die geringe Akzeptanz der Trainingsmaßnahmen. Über die Hälfte der Teilnehmer beendete das Lernangebot bereits innerhalb von zehn Sekunden nach einem Fehlklick. Weniger als ein Viertel absolvierte die Lektion vollständig. Das bedeutet: Selbst wenn die Trainings effektiv wären, würden sie von den meisten Mitarbeitern gar nicht erst wahrgenommen.
Perfide Köder erzielen hohe Erfolgsquoten
Die in der Studie verwendeten Phishing-Simulationen erreichten Klickraten von bis zu 30 Prozent. Besonders erfolgreich waren E-Mails zu angeblichen Änderungen bei Urlaubsansprüchen oder interne Protokolle – Themen, die für Mitarbeiter unmittelbar relevant erscheinen. Insgesamt klickten 56 Prozent aller Teilnehmer mindestens einmal auf einen Phishing-Link, unabhängig davon, ob sie zuvor trainiert worden waren oder nicht.