HR-Phishingmails täuschten 2025 nicht nur das belgische Föderalparlament

Ende 2025 analysierten wir bei Phished rund 7 Millionen realistische Phishing-Simulationen, die an 500.000 belgische Mitarbeiter verschickt wurden. Das Ergebnis: Jeder Dritte klickte auf eine HR-bezogene Phishingmail. Die Erkenntnisse wurden von der Presse, unter anderem von Het Nieuwsblad, Het Belang van Limburg, Gazet van Antwerpen, QMusic, Joe FM, Solutions Magazine und TinyNews, aufgegriffen. Bereits früher im Jahr hatte ein Fall von Gehaltsbetrug rund um den Abgeordneten Mathieu Michel deutlich gemacht, wie glaubwürdig solche Mails wirken können.

HR-Mails funktionieren deshalb so gut, weil sie das persönliche Leben direkt betreffen. Betreffzeilen wie „Urlaubsantrag abgelehnt“ oder „Änderung der Homeoffice-Regelung“ lösen unmittelbar Emotionen wie Stress, Verunsicherung oder Angst aus. In solchen Momenten treten sicherheitsbewusste Reflexe oft in den Hintergrund – es wird vorschnell geklickt, ohne den Inhalt kritisch zu prüfen. Auch Mails zu Bußgeldern oder Steuerangelegenheiten zeigen ähnliche Effekte.

Dank KI können Cyberkriminelle solche Nachrichten heute mühelos, fehlerfrei und personalisiert erstellen – und das vollständig automatisiert. Seit der Einführung von ChatGPT hat sich das weltweite Phishingaufkommen verdoppelt.

1. Informationen zu Urlaub oder Gehalt (31,5 %)
2. Änderungen von Unternehmensrichtlinien (24,7 %)
3. HR-Dokumente und interne Mitteilungen (18,1 %)
4. Bußgelder und Steuerbescheide (16,7 %)
5. Bitte um Unterschrift interner Dokumente (9,2 %)

Viele Unternehmen setzen bei der Security-Awareness-Strategie ausschließlich auf Phishingtests: Wer auf einen verdächtigen Link klickt, erhält sofort eine Benachrichtigung mit dem Hinweis, dass ein Fehler gemacht wurde – und man künftig besser aufpassen solle. Dieses „Click & Blame“-Modell gilt unter IT-Verantwortlichen noch immer als Standard.

Doch die Zahlen sprechen eine andere Sprache. Eine aktuelle wissenschaftliche Studie der University of California, San Diego*** bestätigt unsere Erfahrung: Solche Tests bringen kaum nachhaltige Lerneffekte. Der Grund: Nur die Mitarbeiter, die einen Fehler machen, erhalten eine Rückmeldung oder Training. Die Mehrheit lernt – nichts.

Hinzu kommt: Der Lerneffekt verpufft oft, weil die Rückmeldung genau in einem Moment kommt, in dem Mitarbeiter mitten in der Arbeit stecken. Die Inbox ist voll, der Kopf woanders – an Lernen ist nicht zu denken. Es ist der falsche Moment.

Um nachhaltiges Sicherheitsverhalten zu etablieren, braucht es regelmäßige Lernimpulse – und zwar unabhängig davon, ob jemand einen Fehler gemacht hat oder nicht. Zwei kurze Trainings pro Monat sollten das absolute Minimum darstellen.

Das Training selbst sollte interaktiv und praxisnah gestaltet sein. Im Fokus stehen Fragen wie: Wie erkenne ich eine verdächtige Nachricht? Was tue ich im Zweifelsfall?Wie bleibe ich ruhig bei emotionalen Inhalten?

Ein Mitarbeiter, der auf diese Weise geschult wurde, klickt nicht blind auf eine Mail mit der Bitte zur Kontoänderung. Stattdessen prüft er die Absenderadresse, holt eine zweite Meinung ein oder verifiziert die Anfrage über einen anderen Kommunikationsweg.

Unsere Daten zeigen klar: Unternehmen, die in permanentes Security-Awareness-Training investieren, senken das Risiko von Sicherheitsvorfällen durch menschliche Fehler drastisch.

Und das ist auch dringend nötig: Die weltweiten Kosten durch Cyberkriminalität beliefen sich 2025 auf 15 Billionen Dollar. Bis Ende 2026 wird mit einem Anstieg auf 20 Billionen gerechnet – damit würde Cybercrime zur zweitgrößten „Wirtschaftsmacht“ der Welt nach den USA, noch vor China. In diesem Kontext zu glauben, ein paar Phishingtests würden ausreichen, ist schlichtweg fahrlässig.


**Quelle: Analyse von Phishing-Simulationen durch Phished, 2025
** Prozentsatz der Personen, die in einer Phishingmail auf einen Link klicken, einen Anhang öffnen oder sensible Firmen- oder Personendaten weitergeben
*** Quelle: Understanding the Efficacy of Phishing Training in Practice – Ergebnisse einer achtmonatigen, randomisierten Studie der University of California, San Diego und UC San Diego Health