2LRN4 security awareness platform
Forschungsbericht · Literaturübersicht

Das Aufmerksamkeitsproblem

Warum Phishing-Simulationen allein Mitarbeiter nicht besser in der Erkennung von Phishing machen und welcher Ansatz durch die Wissenschaft tatsächlich gestützt wird.

Veröffentlicht 6. Juni 2026 Version 1.0 Lesezeit 14 min Lizenz CC BY 4.0

Kurzfassung

  1. Eine sinkende Klickrate bedeutet nicht, dass die Mitarbeitenden Phishing besser erkennen. Das Klickverhalten wird stärker durch den Schwierigkeitsgrad der Phishing-Mail bestimmt als durch die absolvierte Schulung, und das Versenden immer schwierigerer Simulationen misst vor allem, wie überzeugend die eigene Phishing-Mail war.
  2. Schulung steigert vor allem das Wissen und die Einstellung der Mitarbeitenden. Ob sich dies auch in Verhalten umsetzt, hängt vom Design ab: passive Aufklärung verändert wenig, während aktive, wiederholte und auf die Person abgestimmte Schulung das Verhalten durchaus beeinflusst. Bei Phishing kommt hinzu, dass es eher ein Aufmerksamkeitsproblem als ein Wissensproblem ist.
  3. Die Wissenschaft verweist auf einen mehrschichtigen Ansatz: Machen Sie den Angriff mit phishing-resistenter Authentifizierung technisch unmöglich, nutzen Sie die Mitarbeitenden als kollektiven Meldesensor, gestalten Sie eine etwaige Schulung für Verhalten und begrenzen Sie den Schaden für den Fall, dass es doch schiefgeht.

Phishing ist ein hartnäckiges Problem, und die gängigste Reaktion darauf ist die Phishing-Simulation: eine gefälschte Nachricht, die testet, ob die Mitarbeitenden darauf hereinfallen. In der Praxis entsteht dabei ein Muster, in dem Organisationen, die ausschließlich simulieren, immer schwierigere Nachrichten versenden möchten. Der Erfolg eines solchen Programms wird dann vor allem daran gemessen, wie überzeugend die eigene Phishing-Mail war.

Die Frage, ob die Mitarbeitenden dadurch Phishing tatsächlich besser erkennen lernen, bleibt dabei unbeantwortet. Dieser Bericht stellt zusammen, was die wissenschaftliche Forschung hierzu zeigt und welcher Ansatz sich daraus ergibt.

Methodik

Art
Literaturstudie auf Basis von peer-reviewter Forschung und maßgeblichen Standards.
Quellen
Vier großangelegte Feldstudien, eine Meta-Analyse von 69 Untersuchungen sowie Richtlinien von NIST und CISA.
Stand
Juni 2026.

01 · BefundDie Klickrate misst nicht, was sie zu messen scheint

Eine sinkende Klickrate wird schnell als Beweis dafür ausgelegt, dass die Mitarbeitenden besser geworden sind. Eine großangelegte Reproduktionsstudie zeigt jedoch, dass vor allem der Schwierigkeitsgrad der Phishing-Mail das Klickverhalten bestimmt (Rozema und Davis, 2025). Gemessen mit der Phish Scale von NIST stieg die Klickrate von etwa 7 Prozent bei den einfachen Nachrichten auf etwa 15 Prozent bei den schwierigen. Eine schwierigere Simulation, die mehr Menschen erfasst, zeigt also in erster Linie, dass die Nachricht schwieriger war, und nicht, dass die Mitarbeitenden schlechter geworden sind.

Hinzu kommt, dass in der bislang größten Studie der Anteil der Mitarbeitenden, die auf die Nachrichten hereinfielen, im Laufe der Zeit sogar zunahm statt abnahm. Es handelte sich um eine Untersuchung, in der die Teilnehmenden zufällig zugeteilt wurden, eine sogenannte randomisierte kontrollierte Studie, unter mehr als 19.500 Mitarbeitenden von UC San Diego Health (Ho et al., 2025). Wiederholte Simulationen können die Mitarbeitenden zwar dazu bringen, die Test-Mails zu erkennen, ohne dass sie dadurch auch das echte, neue Phishing besser erkennen. Genau hierin liegt der Kern des Problems: Das Erkennen einer Test-Mail ist etwas anderes als das Erkennen von echtem Phishing.

Der Schwierigkeitsgrad der Phishing-Mail bestimmt das Klickverhalten

Klickrate nach Schwierigkeitsgrad

Abbildung 1 Die Klickrate verdoppelt sich mehr als deutlich, wenn die Phishing-Mail schwieriger ist, unabhängig von der absolvierten Schulung. Quelle: Rozema und Davis (2025), gemessen mit der NIST Phish Scale.

02 · BefundVom Wissen zum Verhalten: das Design gibt den Ausschlag

Schulung steigert nachweislich das Wissen und die Einstellung der Mitarbeitenden. Das geht deutlich aus der Meta-Analyse von 69 Untersuchungen durch die Universität Leiden hervor (Prümmer, van Steen und van den Berg, 2024): Der Effekt auf Wissen und Einstellung ist groß. Auf das tatsächliche Verhalten ist der durchschnittliche Effekt jedoch klein. Dieser Unterschied ist kein Zufall, sondern eine bekannte Tatsache aus der Verhaltenswissenschaft: Wissen ist eine Voraussetzung für sicheres Verhalten, an sich aber nicht ausreichend. Das Behaviour Change Wheel zeigt, dass neben dem Wissen auch Motivation und die Gelegenheit, das Richtige zu tun, erforderlich sind (Michie, van Stralen und West, 2011).

Der Durchschnitt verbirgt zudem große Unterschiede, und diese liegen vor allem im Design der Schulung. Aufklärung, bei der lediglich Informationen verbreitet werden, verändert wenig (Bada, Sasse und Nurse, 2015). Schulung, die aktiv, wiederholt und auf die Person abgestimmt ist, bewirkt hingegen durchaus etwas beim Verhalten. In einem kontrollierten Experiment verbesserte eine Spielform nicht nur die Einstellung und die Absicht, sondern auch das berichtete Verhalten, verglichen mit einem Spiel ohne Sicherheitsinhalt (van Steen und Deeleman, 2021). Die Schlussfolgerung ist also nicht, dass Schulung nicht wirkt, sondern dass die Form bestimmt, ob Wissen auch in Verhalten umgesetzt wird.

Wissen ist eine Voraussetzung, keine Garantie

Das COM-B Modell aus dem Behaviour Change Wheel

Abbildung 2 Sicheres Verhalten entsteht erst, wenn das Wissen und die Fähigkeit (Können), die Motivation (Wollen) und die Gelegenheit, das Richtige zu tun, zusammenkommen. Wissen allein ist nicht ausreichend. Nach Michie, van Stralen und West (2011).

Starker Effekt auf Wissen, kleiner durchschnittlicher Effekt auf Verhalten

Effektgröße (Cohen's d) mit Konfidenzintervall

Wissen und Einstellung Gesamt und Verhalten

Abbildung 3 Der Effekt auf Wissen und Einstellung ist groß (d = 1,02). Auf das tatsächliche Verhalten ist der durchschnittliche Effekt klein (d = 0,36), aber dieser Durchschnitt wird stark durch das Design der Schulung bestimmt. Quelle: Prümmer, van Steen und van den Berg (2024).

03 · ErklärungPhishing ist ein Aufmerksamkeitsproblem, kein Wissensproblem

Die Erklärung, warum mehr Wissen nicht immer hilft, stammt aus zwei Studien einer Forschungsgruppe der ETH Zürich. In ihrem größten Experiment, das fünfzehn Monate dauerte und fast 15.000 Mitarbeitende umfasste, zeigte sich, dass die eingebettete Schulung die Mitarbeitenden nicht widerstandsfähiger machte und in manchen Fällen sogar einen gegenteiligen Effekt hatte. Mit dieser eingebetteten Schulung meinen wir die kurze Erläuterung, die jemand zu sehen bekommt, nachdem er oder sie auf eine Test-Mail geklickt hat (Lain, Kostiainen und Čapkun, 2022). In der Folgeuntersuchung, die auf der ACM-Konferenz über Computer- und Kommunikationssicherheit ausgezeichnet wurde, untersuchten die Autoren, woher dieser kleine Effekt dann kam (Lain et al., 2024). Die Schlussfolgerung war ernüchternd: Der Effekt ging auf die periodische Erinnerung an die Bedrohung zurück und nicht auf den Inhalt jener kurzen Erläuterung, die von den meisten Mitarbeitenden kaum gelesen wurde.

Phishing ist eher ein Aufmerksamkeitsproblem als ein Wissensproblem, auch bei den am stärksten gefährdeten Mitarbeitenden.

Befund von Lain und Kollegen (2024), ETH Zürich

Diese Erkenntnis verändert den gesamten Ansatz. Wenn das Problem nicht darin besteht, dass die Mitarbeitenden zu wenig wissen, sondern darin, dass sie im falschen Moment kurz nicht aufpassen, dann hat es wenig Sinn, ihnen noch mehr Wissen zu vermitteln. Wer in einem solchen Moment abgelenkt ist, erkennt auch eine gute Phishing-Mail nicht, gleich wie viele Module er oder sie absolviert hat. Die Lösung liegt deshalb weniger bei der Aufmerksamkeit der einzelnen Mitarbeitenden und mehr bei der technischen Umgebung und der Arbeitsweise darum herum. Damit meinen wir Systeme, die einen Fehler abfangen, bevor er Schaden anrichtet, und Prozesse, die eine verdächtige Nachricht schnell melden und unschädlich machen lassen.

04 · AnsatzEin anderer Ansatz: mehrschichtig und evidenzbasiert

Wenn die Wachsamkeit und das Wissen der Mitarbeitenden nicht die ausschlaggebenden Faktoren sind, verweist die Forschung auf einen mehrschichtigen Ansatz. Die Idee dahinter besteht darin, den Angriff scheitern zu lassen, bevor ein Versehen Schaden anrichten kann, und die menschliche Aufmerksamkeit als die dünnste und letzte Schicht zu betrachten statt als erste Verteidigung.

Ein mehrschichtiger, fundierter Ansatz

Von technischen Maßnahmen bis zur individuellen Wachsamkeit

Abbildung 4 Eine konzeptuelle Darstellung. Die Maßnahmen mit dem größten Effekt sind technischer Art. Die individuelle Wachsamkeit ist die dünnste Schicht, die Sie zuletzt und am wenigsten belasten sollten.

  1. Machen Sie den Angriff technisch unmöglich.Phishing-resistente Authentifizierung wie FIDO2 oder WebAuthn und Schlüssel auf Basis von PKI bindet die Anmeldung an die echte Domain. Eine gefälschte Website erhält dadurch keine gültige Antwort, ungeachtet dessen, wer darauf klickt. NIST ordnet diese Form auf der höchsten Vertrauensstufe ein und CISA bezeichnet sie als Norm (NIST SP 800-63B; CISA, 2022).
  2. Lassen Sie weniger Phishing-Mails ankommen und warnen Sie beim Rest.Maßnahmen gegen das Fälschen von Absendern (DMARC, DKIM und SPF), Filterung und Warnungen bei verdächtigen E-Mails entlasten die Aufmerksamkeit der Mitarbeitenden. Die Studie der ETH zeigte, dass solche Warnungen gut funktionieren (Lain et al., 2022).
  3. Nutzen Sie die Mitarbeitenden als kollektiven Sensor.Eine Meldeschaltfläche macht aus den Mitarbeitenden gemeinsam eine Erkennungsschicht, die neue Kampagnen schnell sichtbar macht (Lain et al., 2022). Phishing-Simulationen eignen sich hervorragend, um diesen Meldereflex einzuüben, sofern Sie auf die Melderate und auf die Zeit zwischen Sehen und Melden steuern und nicht auf die Klickrate.
  4. Gestalten Sie die Schulung für Verhalten statt für Wissen.Kurze, wiederholte und auf den Kontext abgestimmte Erinnerungen wirken besser als lange Kurse, und interaktive und spielerische Formen haben einen größeren Effekt auf das Verhalten (Prümmer, van Steen und van den Berg, 2024). Wirksame Schulung ist zudem fortlaufend und auf die Mitarbeitenden abgestimmt statt einmalig und allgemein (Jampen et al., 2020).
  5. Begrenzen Sie den Schaden, falls es doch schiefgeht.Gehen Sie davon aus, dass manche Klicks erfolgreich sein werden, und sorgen Sie mit minimalen Rechten, Segmentierung, Überwachung und einer schnellen Reaktion dafür, dass ein einzelnes Versehen nicht zu einem vollständigen Einbruch heranwächst.

Abschließend ein Punkt zum Messen. Die Forschenden hinter dem größten Experiment plädieren dafür, ebenso wie in der medizinischen Forschung mit zufälliger Zuteilung zu messen, welche Maßnahme das meiste Risiko beseitigt, statt auf Klickzahlen oder auf den Schwierigkeitsgrad der eigenen Phishing-Mail zu steuern (Ho et al., 2025). Die Frage lautet also nicht, wie überzeugend Sie eine gefälschte Nachricht gestalten können, sondern wie viel tatsächliche Widerstandsfähigkeit eine Maßnahme pro investiertem Euro erbringt.

Und die Phishing-Simulation selbst?

Phishing-Simulationen sind nicht sinnlos. Die Kritik in diesem Bericht gilt einer Art der Verwendung: dem wiederkehrenden Test, der nur dazu dient, Mitarbeitende zu ertappen, der an der Klickrate gemessen und immer schwieriger gemacht wird. Anders eingesetzt sind sie durchaus wertvoll. Sie eignen sich hervorragend, um den Meldereflex einzuüben, also das Verhalten, bei dem jemand eine verdächtige Nachricht sofort meldet und damit zum kollektiven Sensor beiträgt. Darüber hinaus wirken sie als periodische Erinnerung, die die Bedrohung wieder kurz ins Bewusstsein ruft, und als nüchterne Nullmessung, um zu sehen, wo die Organisation steht. Die Voraussetzungen sind dabei klar: Steuern Sie auf die Melderate und auf die Zeit zwischen Sehen und Melden statt auf die Klickrate, bestrafen Sie niemanden, treiben Sie den Schwierigkeitsgrad nicht wie ein Wettrüsten in die Höhe, und halten Sie die Nachrichten realistisch und ehrlich.

05 · FazitNicht mehr und schwieriger, sondern anders

Phishing-Simulationen machen die Mitarbeitenden an sich nicht nachweislich besser im Erkennen von Phishing, und das Erhöhen des Schwierigkeitsgrades verschiebt die Aufmerksamkeit auf den falschen Maßstab. Die wissenschaftliche Forschung verweist nicht auf mehr oder schwierigere Simulationen, sondern auf einen mehrschichtigen Ansatz. Dieser Ansatz lässt den Angriff technisch scheitern, erkennt ihn schnell durch das Melden und unterstützt das Verhalten mit gut gestalteter, wiederholter und aktiver Schulung statt mit passiver Wissensvermittlung. Schulung und Simulationen behalten darin eine klare Rolle, solange sie auf Verhalten ausgerichtet sind und nicht zu einem Wettrüsten mit den eigenen Mitarbeitenden heranwachsen.

Einschränkungen

  • Dieser Bericht ist eine Literaturstudie, die bestehende wissenschaftliche Forschung zusammenfasst, und enthält keine neue eigene Forschung.
  • Die angeführten Studien wurden in spezifischen Organisationen und Kontexten durchgeführt, weshalb die Effekte je nach Umgebung unterschiedlich ausfallen können.
  • Verhalten ist schwer zu messen, und nicht jede Studie verwendet dasselbe Ergebnismaß, was einen direkten Vergleich erschwert.

Quellen

  1. Bada, M., Sasse, A. M., und Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  2. Cybersecurity and Infrastructure Security Agency (CISA) (2022, überarbeitet 2024). Implementing Phishing-Resistant MFA. cisa.gov/MFA
  3. Ho, G., Mirian, A., Dameff, C., et al. (2025). Understanding the Efficacy of Phishing Training in Practice. IEEE Symposium on Security and Privacy 2025. people.cs.uchicago.edu
  4. Jampen, D., Gür, G., Sutter, T., und Tellenbach, B. (2020). Don't click: towards an effective anti-phishing training. A comparative literature review. Human-centric Computing and Information Sciences, 10:33. doi.org/10.1186/s13673-020-00237-7
  5. Lain, D., Kostiainen, K., und Čapkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. IEEE Symposium on Security and Privacy, 842 bis 859. arxiv.org/abs/2112.07498
  6. Lain, D., Jost, T., Matetic, S., Kostiainen, K., und Čapkun, S. (2024). Content, Nudges, and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training. ACM CCS 2024. doi.org/10.1145/3658644.3690348
  7. Michie, S., van Stralen, M. M., und West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  8. National Institute of Standards and Technology (NIST). Digital Identity Guidelines, SP 800-63B und SP 800-63-4. csrc.nist.gov/projects/digital-identity-guidelines
  9. Prümmer, J., van Steen, T., und van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  10. Prümmer, J., van Steen, T., und van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136, 103585. doi.org/10.1016/j.cose.2023.103585
  11. Rozema, A. T., und Davis, J. C. (2025). Anti-Phishing Training (Still) Does Not Work: A Large-Scale Reproduction of Phishing Training Inefficacy Grounded in the NIST Phish Scale. arxiv.org/abs/2506.19899
  12. van Steen, T., und Deeleman, J. R. A. (2021). Successful gamification of cybersecurity training. Cyberpsychology, Behavior, and Social Networking, 24(9). doi.org/10.1089/cyber.2020.0526

Zitierweise

2LRN4 (2026). Das Aufmerksamkeitsproblem. Forschungsreihe 2LRN4. Verfügbar unter CC BY 4.0.
CC BY 4.0 Frei zu teilen und anzupassen, mit Quellenangabe