Wie man aus 1,7 % Erfolgsquote plötzlich 19 % macht
Ein Klick, eine Information. Fertig.
Deshalb landen wir in Trainings fast zwangsläufig beim Thema Phishing und Social Engineering. Nicht, weil es die einzigen Risiken sind; sondern weil es die greifbarsten sind. Cybersecurity ist hier plötzlich nicht mehr abstrakt ist und nur die Aufgabe von David aus der IT, sondern sehr konkret: To click, or not to click?
"Ohne echte Veränderung in der Lernmotivation oder grundlegende Verbesserungen bei der Trainingsgestaltung bleibt der Mensch das größte Einfallstor für Cyberangriffe dieser Art." Der heise‑Artikel, aus dem dieses Zitat stammt, bezieht sich auf eine große Studie, die auf der Black Hat 2025 vorgestellt wurde ("Understanding the Efficacy of Phishing Training in Practice"). Untersucht wurde dort über Monate hinweg das Verhalten von mehr als 19.000 Mitarbeitenden in einem realen Unternehmenskontext.
Und die Ergebnisse sind… ernüchternd.
"Wir haben doch schon ein Training dazu…"
Den Satz hören eLearning-Agenturen regelmäßig. Und das stimmt ja auch: Es gibt ein WBT, einmal im Jahr. Bestenfalls noch ein paar simulierte Phishing-Mails. Check, Haken dran, Thema erledigt.
Das Problem? In der Praxis passiert dann Folgendes: Menschen klicken trotzdem (und zwar nicht vereinzelt, sondern ziemlich oft und immer wieder die gleichen Nasen). In der Studie klickten im Verlauf mehr als die Hälfte der Teilnehmenden mindestens einmal auf eine Phishing-Mail - unabhängig davon, ob sie geschult wurden oder nicht. Der Unterschied zwischen "geschult" und "nicht geschult" liegt bei gerade mal 1,7 %.
Das ist der Moment, in dem man sich fragt: Warum machen wir das eigentlich weiterhin so?
Das eigentliche Problem der 1,7 %: Fehlende Relevanz
Diese alte Art Trainings ist nicht "schlecht" - viele sind fachlich sauber gemacht.
Sie scheitern nur oft an etwas anderem: Sie bleiben zu abstrakt. Denn niemand sitzt vor einer echten Phishing-Mail und denkt: "Ah, Moment, ich erinnere mich an Modul 2.3."
Was stattdessen passiert: Die Mail wirkt plausibel. Vielleicht sogar dringend. Man ist gerade mitten in der Arbeit. Und dann entscheidet man schnell. Klick.
Genau da liegt das Problem: Viele Trainings erklären, wie Phishing theoretisch funktioniert – aber sie zeigen nicht, wie es sich in der konkreten Situation anfühlt. Und solange Lernen nicht nah genug an dieser Entscheidung ist, bleibt es Wissen auf Abstand.
Man hat es gehört. Man hat es verstanden. Aber man erkennt es im Alltag nicht wieder.
Denn genau hier setzt die Studie an: Sobald Trainings nicht mehr abstrakt erklären, wie Phishing funktioniert, sondern konkret erlebbar machen, verändert sich das Verhalten messbar.
Interaktive Formate, die direkt an echten oder realistischen Phishing-Mails ansetzen, schaffen rund 19 % weniger Fehlklicks.
Und das ist nur die Konsequenz von besserem Lern-Design.
Was man konkret anders machen muss für 19 %
Wenn man sich anschaut, was hinter diesen 19 % steckt, wird schnell klar: Es geht gar nicht um "mehr Training", sondern um anders trainieren.
- Echte Beispiele: Man nehme nicht irgendein generischer Lehrbuch-Screenshot, sondern genau solche Mails, wie sie im eigenen Unternehmen ankommen könnten (Bonuspunkte für: tatsächlich angekommen sind), mit echten Themen wie Urlaubsanträgen, internen Tools, Paketbenachrichtigungen, vermeintlichen Anfragen der Geschäftsführung. Je näher das an der echten Arbeitsrealität ist, desto eher erkennt man es später wieder.
- "Nur" Durchklicken verhindern: Möglichst viel direkt selbst finden und entscheiden lasse, Tricks erklären und gern auch mit Spannungsbogen!
- Angriffe "von innen" verstehen: Warum nicht mal ein Perspektivwechsel: Wie denkt eigentlich jemand, der so eine Mail schreibt? Welche Informationen kann er nutzen? Warum funktioniert genau diese Story? Wenn man einmal gesehen hat, wie gezielt solche Angriffe gebaut sind, fühlt sich das beim nächsten Mal komplett anders an.
- Perspektive "von innen" als POV testen: Noch besser wird es nämlich, wenn man die Rollen ganz tauscht: "Wo würdest du hier ansetzen?", "Welche Information würde dir helfen, eine glaubwürdige Mail zu bauen?"
Und vielleicht das Wichtigste: Gut gemachte Cyberangriffe sind nicht vollständig aufzuhalten. Das Ziel ist es, Angreifenden möglichst schwer zu machen und die Hemmschwelle abzubauen, tatsächliche Vorfälle zu melden. Fast alle wissen theoretisch: "Im Zweifel lieber melden." Im Alltag passiert oft das Gegenteil: "Nicht, dass ich falsch liege…", oder, "Die IT hat genug zu tun…".
Gute Trainings machen schnell klar: Eine zu viel gemeldete Mail ist kein Problem. Eine zu wenig gemeldete Mail kann eines sein. Und sie zeigen auch ganz praktisch (am besten an der echten Anwendungsmaske!), wie das Melden funktioniert – dann ist die Hürde im echten Vorfall niedriger.
Was das unterm Strich bedeutet
Die 19 % kommen nicht durch einen genialen Trick zustande. Sondern durch etwas ziemlich Bodenständiges: Trainings werden konkret, greifbar und nah an echten Entscheidungen.
Oder noch einfacher gesagt: Nicht mehr erklären, wie Phishing funktioniert. Sondern zeigen, wie es sich anfühlt, darauf reinzufallen oder es selbst anzuwenden. Dann gibt es eine höhere Chance, dass die Lernenden es beim nächsten Mal tatsächlich erkennen.