Eine Studie des Institute of Electrical and Electronics Engineers (IEEE) stellt die Wirksamkeit gängiger Anti-Phishing-Trainings infrage. Über einen Zeitraum von acht Monaten wurden in einer großen US-Gesundheitsorganisation rund 19.500 Angestellte mit zehn simulierten Phishing-Kampagnen konfrontiert. Die Ergebnisse deuten darauf hin, dass die gängigen Methoden kaum dazu beitragen, die Gefahr durch Phishing zu verringern.
So zeigte sich, dass klassische einmal jährlich angebotene Schulungen keinen messbaren Einfluss auf das Verhalten hatten. Auch eingebettete Trainings, die nach einem Klick auf eine Phishing-Simulation unmittelbar starten, führten nur zu minimalen Verbesserungen. Auffällig war zudem, dass viele Beschäftigte nur sehr wenig Zeit mit den bereitgestellten Inhalten verbrachten. Teilweise schnitten Personen, die wiederholt Trainings absolvierten, sogar schlechter ab.
Die Autoren der Untersuchung kommen zu dem Schluss, dass die heute weit verbreiteten Trainingsformen ihre Ziele verfehlen. Phishing bleibt damit eine ernsthafte Schwachstelle in Organisationen, da Angriffe zunehmend professioneller und schwieriger erkennbar werden. Fachleute empfehlen deshalb, stärker auf technische Schutzmaßnahmen, wirksames Reporting und kontinuierliche Sicherheitskultur zu setzen, anstatt auf einzelne, isolierte Lernmodule.
