Die Forscher der University of Chicago, der University of California San Diego (UCSD) und UCSD Health untersuchten für die Studie "Understanding the Efficacy of Phishing Training in Practice" zwei etablierte Formate: jährliche Pflichtschulungen und sogenannte "embedded phishing trainings", bei denen nach einem Fehlklick unmittelbar Lerninhalte angezeigt werden. Ergebnis: Zwischen dem Zeitpunkt der letzten Awareness-Schulung und der Anfälligkeit für Phishing fand sich keine signifikante Korrelation.

Auch die eingebetteten Trainings zeigten nur geringen Effekt – im Schnitt lag die Fehlklickrate nach dem Training gerade einmal 1,7 Prozentpunkte niedriger als in der Kontrollgruppe ohne Schulung. Bei den eingebetteten Schulungen wurde pro Phishing-Kampagne zudem nur die Gruppe derjenigen geschult, die auf den Phishing-Link hereingefallen war. Wer eine Simulation fehlerfrei bestand, erhielt in innerhalb eines Monat keine weiteren Hinweise. Insgesamt tappte jedoch mehr als die Hälfte der Beschäftigten im Studienzeitraum mindestens einmal in eine der Phishing-Fallen.

Oft geringe Aufmerksamkeitsspanne

Besonders kritisch: Die meisten Beschäftigten setzten sich kaum mit den Schulungsinhalten auseinander. Über die Hälfte schloss die Trainingsseite innerhalb von zehn Sekunden, und weniger als ein Viertel beendete sie vollständig. Unterschiede zeigten sich in der Form: Interaktive Trainings, bei denen die Teilnehmer aktiv Fragen zu der konkret erhaltenen Phishing-Mail beantworten mussten, senkten die Wahrscheinlichkeit eines erneuten Fehlklicks um rund 19 Prozent, allerdings nur bei denjenigen, die die Schulung auch tatsächlich abschlossen. Statische Schulungen hingegen zeigten keinen Nutzen; mehrfaches Absolvieren korrelierte sogar mit einer höheren Fehlklickrate.

Technische Schutzmaßnahmen im Fokus

Die Studie macht deutlich: Gängige Phishing-Trainings, wie sie heute in vielen Organisationen eingesetzt werden, bieten offenbar nur geringen praktischen Mehrwert – erst recht nicht in Relation zum Aufwand. Angesichts teils sehr überzeugender Phishing-Mails, die selbst gut geschulte Mitarbeiter in über 15 Prozent der Fälle täuschten, raten die Forscher dazu, stärker auf technische Schutzmechanismen zu setzen. Maßnahmen wie hardwarebasierte Multifaktor-Authentifizierung oder der konsequente Einsatz von Passwortmanagern könnten hier wirksamer sein. Trainings sollten gezielter gestaltet werden – interaktiv, kontextbezogen und mit höherem Engagement der Nutzer – wenn sie überhaupt spürbare Verbesserungen bringen sollen.