Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll

Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

[datensicherheit.de, 05.05.2025] Laut einer aktuellen Stellungnahme von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, hat KnowBe4 vor Kurzem unter Teilnehmern von Anti-Phishing-Trainings und -Tests eine internationale Umfrage durchgeführt: „Befragt wurden Mitarbeiter aus europäischen, nordamerikanischen und afrikanischen Unternehmen. Rund 90 Prozent gaben an, Phishing-Tests für sinnvoll zu halten. Knapp 91 Prozent erklärten, dass die Tests ihr Bewusstsein für das Risiko von Phishing-Angriffen erhöht hätten.“

Foto: KnowBe4

Dr. Martin J. Krämer: Einige spezialisierte Anbieter haben mittlerweile auch moderne Anti-Phishing-E-Mail-Filter im Angebot

Zahlreiche Vorurteile über Phishing-Tests im Umlauf

Nach wie vor seien zahlreiche Vorurteile über Phishing-Tests im Umlauf, welche deren Sinnhaftigkeit in Frage stellten. „Es wird bezweifelt, dass die Tests das Risikobewusstsein der Teilnehmer erhöhen, sie zu den richtigen Schlussfolgerungen befähigen“, berichtet Krämer. Sie würden gar solche Tests mehrheitlich ablehnen, da sie nicht ausreichend an ihrem konkreten Arbeitsalltag orientiert seien, die tatsächlichen digitalen Risiken gar nicht oder nur zum Teil realistisch wiedergeben würden.

Entsprechend könne das Gelernte von Teilnehmern kaum konkret angewandt werden. „Und schließlich stünde der Fortbildungsgedanke zu selten im Fokus der Tests, fehle es am erforderlichen Support, mangele es an Nachbearbeitungsmöglichkeiten, für den Fall, dass ein Teilnehmer einmal auf einen Phishing-Test hereinfallen sollte.“ Letztlich werde kaum dazugelernt.

Tests konnten indes durchschnittliche Phishing-Klickrate von 34,3 auf 4,6 Prozent senken

Krämer kommentiert: „Dass diese Vorurteile größtenteils unbegründet sind, zeigen nun die Ergebnisse der jüngsten Umfrage von KnowBe4. Bereits Phishing-Testdaten aus dem ,KnowBe4 Phishing Benchmarking-Report’ von 2024 hatten anschaulich demonstriert, dass regelmäßige Tests und Schulungen eine erhebliche Wirkung entfalten können.“ Innerhalb eines Trainings- und Testzyklus von nur einem Jahr, so der Report, sinke die durchschnittliche Phishing-Klickrate von 34,3 auf 4,6 Prozent – „ein Rückgang um sage und schreibe 86 Prozent“.

Krämer führt weiter aus: „Dass Mitarbeiter dies zu schätzen wissen, die Tests befürworten und nicht ablehnen, zeigen die Ergebnisse der jüngsten KnowBe4-Befragung. Länder- und branchenübergreifend gaben über 90 Prozent aller Mitarbeiter an, die Phishing-Tests an ihren Unternehmen als relevant für die Stärkung ihres eigenen Phishing-Risikobewusstseins zu sehen.“

Zahlreiche Verbesserungen von Phishing-Tests in den vergangenen Jahren stärken Motivation

Auch der bemängelte fehlende Bildungsgedanke sei in den vergangenen Jahren weitgehend ausgemerzt worden. „Im Durchschnitt erhalten mittlerweile knapp 70 Prozent aller Mitarbeiter im Fall eines gescheiterten Phishing-Tests Nachschulungen – wobei die Zahlen in den USA mit 85 Prozent deutlich besser, in Frankreich mit erst knapp 57 Prozent deutlich schlechter liegen.“

Dies hänge nicht zuletzt auch mit den zahlreichen Verbesserungen von Phishing-Tests in den vergangenen Jahren zusammen. Moderne Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI) mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Einige auf Anti-Phishing spezialisierte Anbieter hätten mittlerweile auch moderne Anti-Phishing-E-Mail-Filter im Angebot. Sie kombinierten KI mit „Crowdsourcing“, um so selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können. „Im Gegensatz zu herkömmlichen Lösungen, können diese alle Elemente einer E-Mail ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und der Social-Engineering-Taktiken.“

Weitere Informationen zum Thema:

KnowBe4, 2024
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

datensicherheit.de, 09.04.2025
Neue Mitarbeiter: Vom Sicherheitsrisiko zum Verfechter der betrieblichen Cyber-Sicherheitsstrategie / Miro Mitrovic gibt vier Tipps für Unternehmen beim Onboarding neuer Mitarbeiter zur Integration in die eigene Cyber-Verteidigung

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 15.07.2023
KnowBe4 warnt: Hälfte der E-Mails laut Phishing-Tests HR-bezogen / KnowBe4 hat globalen Phishing-Bericht für das zweite Quartal 2023 veröffentlicht