Traditionelles Phishing-Training wirkt nicht – das sagen wir seit Jahren. Jetzt beweist es auch die Wissenschaft
Wir freuen uns, dass wissenschaftliche Forschung nun bestätigt, was wir bei Phished seit Jahren betonen: Phishing-Trainings in ihrer derzeit üblichen Form verringern das Risiko nicht. Genau aus diesem Grund haben wir Zero Incident Mail™ entwickelt – einen echten Zero-Incident-E-Mail-Schutz, der Sicherheitsvorfälle durch menschliches Versagen verhindert und das kompensiert, was Spamfilter nicht aufhalten können.
Eine bahnbrechende Feldstudie der UC San Diego und der University of Chicago – die bislang größte ihrer Art – testete über einen Zeitraum von acht Monaten hinweg mehr als 19.000 Mitarbeiter. Die Ergebnisse wurden auf der Sicherheitskonferenz Black Hat 2025 (Slides – 5 Minuten Lesezeit) vorgestellt und waren eindeutig und schlüssig: Phishing-Simulationen und integrierte Trainings, so wie sie heute eingesetzt werden, haben keine Wirkung. Frühere Erkenntnisse der ETH Zürich werden damit erneut bestätigt.
Genau das haben wir bereits 2021 in unserem Blogbeitrag Das Geheimnis, um nicht Opfer von Phishing zu werden? Verlassen Sie sich nicht nur auf Phishing-Simulationen erläutert. Dort haben wir davor gewarnt, dass herkömmliche Phishing-Simulationen keine echte Wirkung zeigen – und erklärt, warum es einen ganzheitlichen Trainingsansatz braucht, um menschliches Verhalten nachhaltig zu verändern. Unternehmen, die weiterhin auf klassische Simulationskampagnen setzen, haben nach wie vor mit denselben Hochrisikonutzern zu kämpfen: „Wiederholungstäter“, Personen, die sensible Daten eingeben, sowie Erstanwender, die zum ersten Mal klicken. Die Klickraten bleiben im Schnitt bei rund 10 %, unabhängig davon, wie viele Simulationen durchgeführt werden.
Das Scheitern herkömmlicher Trainings im Vergleich zu einem ganzheitlichen Ansatz
Was gebraucht wird, ist ein ganzheitlicher Ansatz – einer, der über den gescheiterten „lehrreichen Moment“ eines eingebetteten Trainings hinausgeht. Die Studie zeigt: Die meisten Mitarbeiter schließen Trainings-Pop-ups im E-Mail-Posteingang innerhalb von zehn Sekunden. Der Grund ist klar – niemand möchte mitten in der Arbeit mit Cybersicherheitstrainings gestört werden. Deshalb unterbricht Phished die Mitarbeiter nicht bei ihrer Arbeit, sondern liefert strukturierte, risikobasierte Lerneinheiten, die tatsächlich Aufmerksamkeit erzeugen und nachhaltig Wissen vermitteln.
Wir fördern positives Verhalten durch unseren Behavioral Risk Score™ (BRS), der es Mitarbeitern und Teams erlaubt, ihren Fortschritt sichtbar zu verfolgen und Erfolge zu feiern. Gleichzeitig stärken wir die allgemeine Sicherheitsresilienz durch Cyber-Hygiene-Praktiken, die sowohl berufliche als auch private Geräte und Anwendungen absichern – ein entscheidender Faktor, da rund 50 % davon bislang ungeschützt bleiben.
Da sich die Taktiken von Cyberkriminellen ständig weiterentwickeln, hält unser Cyber Newsroom die Mitarbeiter über die neuesten Bedrohungen auf dem Laufenden und bietet klare, umsetzbare Leitlinien.
„Seit Jahren warnen wir davor, dass Phishing-Simulationen in ihrer derzeitigen Form das Risiko nicht verringern – jetzt ist es wissenschaftlich bewiesen. Deshalb haben wir ein Modell entwickelt, das Mitarbeiter nicht nur schult, sondern auch schützt – damit menschliche Fehler nie zu Sicherheitsvorfällen führen.“ — Jo Vandebergh, CEO Phished
Warum Ihre Spamfilter versagen – und wie Zero Incident Mail™ das Problem löst
Rund 95 % der Unternehmen setzen auf die Spamfilter von Microsoft 365 oder Google Workspace, oft ergänzt durch zusätzliche Sicherheitsebenen. Doch diese Systeme wurden ursprünglich entwickelt, um Massen- und Werbe-E-Mails zu blockieren – nicht um gezielte, KI-gestützte Phishing-Angriffe zu erkennen. Und selbst mit Trainings kann man von Mitarbeitern nicht erwarten, dass sie das kompensieren, was die Technologie nicht blockieren kann.
Aus diesem Grund müssen Unternehmen ganzheitliche, risikobasierte Trainings mit echtem Zero-Incident-E-Mail-Schutz kombinieren, um Sicherheitsvorfälle durch menschliches Fehlverhalten zu verhindern.
Traditionelle Zero-Trust-E-Mail-Sicherheit vs. Zero Incident Mail™
Zero-Trust-E-Mail-Sicherheit folgt einem klaren Prinzip: Vertrauen ist gut, Kontrolle ist besser. Jede E-Mail, jeder Link und jeder Anhang muss vor der Zustellung oder dem Zugriff überprüft werden. Dazu gehören Domain-Authentifizierung (SPF, DKIM, DMARC), verpflichtende Verschlüsselung, Echtzeit-Inhaltsanalysen und starke Identitätsprüfungen (z. B. MFA).
Doch selbst diese Maßnahmen reichen nicht aus. Die klassische Zero-Trust-Strategie hat sich in der Realität nie als effektiv gegen Phishing erwiesen. Deshalb wird weiterhin auf Security-Awareness-Training gesetzt – aber die Zahlen zeigen eindeutig: Training allein verhindert keine Sicherheitsvorfälle.
Genau aus diesem Grund hat Phished Zero Incident Mail™ (ZIM) entwickelt: eine neue, echte Zero-Trust-Schutzschicht, die riskante Klicks sofort entschärft – selbst wenn Mitarbeiter Fehler machen, gelangt keine Bedrohung in die Infrastruktur. Damit erfüllen wir exakt eine der wichtigsten Empfehlungen der aktuellen Studie: Kombination von Schulung mit echtem Schutz.
Kurz gesagt: Wir tun längst das, was die Wissenschaft nun bestätigt: Nicht die Menschen sind das Problem – sie brauchen Schutz und Orientierung. Aus menschlichen Fehlern werden so sichere, positive Lernsituationen – keine Scham-Momente.
Jo Vandebergh
CEO, Phished
