Sicherheits-Trainings sind für viele Unternehmen ein wichtiges Mittel, um unter der Belegschaft ein Bewusstsein für die Risiken von Cyberkriminalität zu schaffen. Insbesondere Phishing-Schulungen sind jedoch gemäss einer neuen Studie deutlich weniger effektiv als bisher angenommen.
In vielen Unternehmen gehören regelmässige Sicherheits-Trainings für Mitarbeitende zu den Standard-Massnahmen im Kampf gegen Cyberkriminalität. Laut der aktuellen Studie «Understanding the Efficacy of Phishing Training in Practice» ist aber der Nutzen von Security-Trainings, die zum Ziel haben, Mitarbeitende für betrügerische E-Mails zu sensibilisieren, eher gering. So lag die Kenntnis-Verbesserungsrate durch solche Phishing-Trainings nämlich bei lediglich 1,7 Prozent. Ein Wert, der angesichts des Aufwands für die Schulungen eher bedeutungslos erscheint.
Durchgeführt wurde die Studie von Forschenden der University of California in San Diego (UC San Diego). Grundlage waren Daten von rund 19'000 Teilnehmenden.
Angesichts der Resultate hinterfragte Ariana Mirian, Co-Autorin der Studie, den Nutzen von Phishing-Trainings anlässlich ihrer Präsentation an der Black Hat Security Conference von Anfang August in Las Vegas. Die Frage sei, ob der enorme Fokus auf Schulungen wirklich Sinn mache. Denn: „Schulungen bringen kaum etwas“, so die Forscherin.
Studienbedingungen sind selten realistisch
Grund für die Skepsis der Forschenden ist unter anderem die Tatsache, dass viele bisherige Studien zu Phishing-Trainings nicht auf realistischen Szenarien basieren – sondern vielmehr auf nur bedingt praxisnahen Laborbedingungen. In ihrem eigenen Versuch teilten Mirian und ihre Co-Autoren die Probanden in fünf Gruppen ein – eine davon als Kontrollgruppe –, denen verschiedene Lernmaterialien zur Verfügung gestellt wurden, wenn sie bei den monatlichen Phishing-Tests scheiterten.
Über die achtmonatige Studiendauer stellten sie zwar eine leichte Verbesserung der Kenntnis der Teilnehmenden fest, diese blieb jedoch mit den erwähnten 1,7 Prozent ausgesprochen gering. Zudem zeigte sich, dass rund die Hälfte der Teilnehmenden während des Untersuchungszeitraums mindestens einmal auf eine Phishing-Mail hereinfiel.
Schulungen sind wichtig – End-to-End-Security ist zwingend
Die Ergebnisse dieser Studie mögen ernüchternd sein – Tatsache ist aber auch, dass es ohne Sicherheits-Trainings kaum geht. Sie sind für Unternehmen der beinahe einzige Weg, um unter Mitarbeitenden ein grundlegendes Bewusstsein für die Gefahren aus dem Cyberspace zu schaffen.
Zugleich gilt es jedoch, Massnahmen zu implementieren, die tatsächliche Phishing-Angriffe effektiv verhindern. Dazu gehört auf jeden Fall eine bewährte End-to-End-Security-Lösung wie Bitdefender, die verdächtige E-Mails erkennt und unschädlich macht, bevor die Mitarbeitenden sie überhaupt zu Gesicht bekommen.
