Kantyra Kantyra

← Alle artikelen

Oplossen

Verändert Awareness-Schulung wirklich das Verhalten?

Alain Rees · 10-07-2026 · 8 min leestijd

Nahezu jede Organisation hat eine jährliche Awareness-Schulung, eine vierteljährliche Phishing-Simulation und ein Poster neben der Kaffeemaschine. Die Frage, die dabei selten gestellt wird, ist, ob sich dadurch das Verhalten tatsächlich ändert. In den vergangenen Jahren wurde diese Frage endlich in großem Maßstab untersucht, mit Zehntausenden von Mitarbeitenden in realen Organisationen, und die Antwort ist ernüchternd. Für den gängigen Ansatz, die jährliche Pflichtschulung mit einer Lektion nach jedem Fehlklick, findet die Forschung kaum eine Wirkung. Für einige andere Ansätze findet sie sie durchaus. Auffällig viel dieser Forschung stammt zudem von niederländischen Universitäten.

Dieser Artikel gehört zur Phase Lösen aus dem Modell hinter Kantyra. Verhalten ist eine Maßnahme, und wie jede Maßnahme muss es nicht nur vorhanden sein, sondern auch wirken.

Warum weiß nach der Schulung jeder, wie es geht, und trotzdem klickt jemand?

Das grundlegende Problem hat einen Namen: die Kluft zwischen Wissen und Verhalten. Maria Bada, Angela Sasse und Jason Nurse analysierten, warum Awareness-Kampagnen scheitern, und kamen zu einer einfachen Diagnose: Zu wissen, was sicher ist, übersetzt sich nicht von selbst in sicheres Handeln, und Kampagnen, die vor allem Angst machen, wirken eher kontraproduktiv. Die australische Validierungsforschung rund um den HAIS-Q, einen weit verbreiteten Fragebogen, der Wissen, Einstellung und Verhalten getrennt misst, bestätigt dieses Bild: Wissen über die Richtlinien korreliert stärker mit der Einstellung als mit dem Verhalten. Wer nach der Schulung nur das Wissen abfragt, misst also das Falsche.

Tommy van Steen von der Universität Leiden legte mit Kolleginnen und Kollegen den Finger auf die Ursache. Sie analysierten siebzehn behördliche Awareness-Kampagnen mit dem Instrumentarium der Verhaltenswissenschaft und stellten fest, dass diese Kampagnen sich nahezu vollständig auf die Vermittlung von Informationen stützen, während sie die bewährten Techniken zur Verhaltensänderung kaum nutzen. Die meiste Awareness ist, kurz gesagt, nicht darauf ausgelegt, Verhalten zu ändern. Dann ist es keine Überraschung, dass sie es auch nicht tut.

Was sagen die großen Feldstudien?

Zwei aktuelle Studien, beide über viele Monate in realen Organisationen durchgeführt, haben die Debatte zugespitzt. Forschende der ETH Zürich begleiteten fünfzehn Monate lang mehr als vierzehntausend Mitarbeitende eines großen Unternehmens und testeten den Ansatz, den nahezu jeder Anbieter verkauft: Wer auf eine simulierte Phishing-Mail klickt, erhält an Ort und Stelle eine Lernseite. Das Ergebnis: Diese Lektionen machten die Klickenden nicht besser und konnten sie sogar anfälliger machen. Eine Folgestudie desselben Teams entschlüsselte den Grund. Die geringe Wirkung solcher Simulationen entsteht durch die regelmäßige Erinnerung daran, dass es Phishing gibt, und nicht durch den Lerninhalt, den Mitarbeitende aus Zeitmangel kaum lesen. Belohnungen für gutes Verhalten halfen ebenso wenig.

Die zweite Studie ist womöglich noch direkter. Grant Ho und Kollegen führten bei einer großen amerikanischen Gesundheitsorganisation ein acht Monate dauerndes randomisiertes Experiment mit mehr als neunzehntausend Mitarbeitenden durch und fanden keinen signifikanten Zusammenhang zwischen dem kürzlichen Abschluss der jährlichen Awareness-Schulung und der Wahrscheinlichkeit, auf eine Phishing-Simulation hereinzufallen. Ihre Schlussfolgerung lässt wenig Spielraum: Die gängige Anti-Phishing-Schulung bietet in der Praxis wahrscheinlich wenig Schutzwirkung.

Es gab in der Zürcher Forschung eine ausgesprochen positive Erkenntnis, und sie ist lehrreich. Eine Meldeschaltfläche, mit der Mitarbeitende verdächtige Mails weiterleiten konnten, funktionierte sehr wohl. Das Kollektiv der Mitarbeitenden erwies sich als schneller und skalierbarer Erkennungsmechanismus für neue Phishing-Kampagnen, bei überschaubarer Arbeitsbelastung für das Security-Team. Der Gewinn lag nicht darin, jeden Klick zu verhindern, sondern darin, den Angriff früh zu erkennen. Das schließt nahtlos an das an, was ich zuvor über Meldeverhalten geschrieben habe.

Was ändert das Verhalten dann doch?

Die niederländische Forschung gibt der Antwort mehr Kontur. Jan-Willem Bullee und Marianne Junger von der Universität Twente führten eine Meta-Analyse über neunzehn Studien mit mehr als dreiundzwanzigtausend Teilnehmenden durch und fanden große Unterschiede zwischen den Interventionen: Manche wirken gut, andere gar nicht. Das Muster war stets dasselbe: Intensive Interventionen schlagen leichte, und ein enger Fokus schlägt eine breite Erzählung. Frühere Feldforschung aus Twente hatte bereits gezeigt, dass flüchtige Mittel versagen: Warnungen und das Ansprechen von Gefahren kurz vor dem Risikomoment verringerten die Preisgabe persönlicher Daten nicht und konnten sie sogar erhöhen. Und ein Twenter Experiment mit Anti-Phishing-Unterricht an Grundschulen zeigte das Haltbarkeitsproblem: Direkt nach der Schulung stieg die Erkennung deutlich, doch nach vier Wochen war die Wirkung bereits wieder verschwunden. Einmal im Jahr zu schulen ist damit eher ein Ritual als eine Maßnahme.

Was hingegen wirkt, ist aktiv und wiederholt. Van Steen und Deeleman zeigten, dass ein Serious Game nicht nur die Einstellung, sondern auch das selbstberichtete Verhalten verbesserte, während Informationsbroschüren dies nicht taten. Amerikanische Forschung fügte einen überraschenden Faktor hinzu: Wer die Botschaft überbringt, ist von Bedeutung. Sachliche Ratschläge kamen am besten von einer Security-Expertin oder einem Security-Experten an, während Geschichten über Vorfälle am stärksten wirkten, wenn Kolleginnen und Kollegen sie erzählten, Menschen wie man selbst. Der rote Faden durch all dies ist die Wiederholung. Kurze, gezielte Impulse in gewisser Regelmäßigkeit schlagen die jährliche einstündige Sitzung.

Wie macht man aus Awareness eine Verhaltensstrategie?

Die Schlussfolgerung aus zwanzig Jahren Forschung lautet nicht, dass Sie mit Awareness aufhören sollten, sondern dass Sie damit aufhören sollten, Awareness als isolierte Pflicht zu behandeln. Van Steen veröffentlichte dafür kürzlich einen brauchbaren Fünf-Schritte-Rahmen: Beginnen Sie bei dem Verhalten, das Sie ändern wollen, und nicht bei dem Lernmaterial, das Sie zufällig haben, wählen Sie Interventionen mit einem nachweislich wirksamen Mechanismus, und messen Sie Verhalten statt Teilnahme. So betrachte ich es auch bei Kantyra. Im Register ist Awareness eine Maßnahme wie jede andere, mit einer verantwortlichen Person, einem Wirksamkeitstest und einem Testdatum. Die Frage bei diesem Test ist nicht, ob alle das E-Learning abgeschlossen haben, sondern ob sich das Verhalten verschiebt: Sinkt die Zahl der erfolgreichen Phishing-Versuche, steigt die Zahl der Meldungen, und wie schnell geht die erste Meldung einer neuen Kampagne ein? Wer mit einem Schulungspartner arbeitet, so wie wir mit 2LRN4, kann diese Fragen auch einfach dem Partner stellen; ein guter Partner möchte daran gemessen werden.

Was bedeutet das für Ihre Organisation?

Wenn Sie eine Sache aus diesem Artikel mitnehmen, dann diese: Beurteilen Sie Awareness am Verhalten und nicht an der Teilnahme. Stellen Sie sich drei Fragen. Messen Sie nach der Schulung etwas anderes als Anwesenheit und ein Wissensquiz? Steigt die Zahl der gemeldeten verdächtigen Mails, und wie schnell wird eine neue Phishing-Kampagne von Ihren eigenen Leuten erkannt? Und wenn eine Awareness-Aktivität seit zwei Jahren keine messbare Verhaltenswirkung zeigt, was ist dann der Grund, sie zu verlängern? Dieselben Euros können in kurze, gezielte und wiederholte Interventionen fließen, in eine Meldeschaltfläche mit schneller Rückmeldung und in technische Maßnahmen, die den Klick weniger schlimm machen. Die Forschung ist sich darin einig: Lieber eine kleine Wirkung, die wirklich vorhanden ist, als ein großes Programm, das vor allem beruhigt.

Rechenschaft und Quellen

Dieser Artikel ist eine fundierte Synthese bestehender wissenschaftlicher Forschung und keine eigenständige, von Fachkollegen begutachtete Forschung. Wo ich deute oder interpretiere, liegt diese Interpretation in meiner Verantwortung.

  1. Bullee, J.-W. & Junger, M. (2020). How effective are social engineering interventions? A meta-analysis. Information & Computer Security, 28(5). https://doi.org/10.1108/ICS-07-2019-0078
  2. Junger, M., Montoya, L. & Overink, F.J. (2017). Priming and warnings are not effective to prevent social engineering attacks. Computers in Human Behavior, 66. https://doi.org/10.1016/j.chb.2016.09.012
  3. Lastdrager, E., Carvajal Gallardo, I., Hartel, P. & Junger, M. (2017). How Effective is Anti-Phishing Training for Children? Proceedings of SOUPS 2017, USENIX. https://www.usenix.org/conference/soups2017/technical-sessions/presentation/lastdrager
  4. Van Steen, T., Norris, E., Atha, K. & Joinson, A. (2020). What (if any) behaviour change techniques do government-led cybersecurity awareness campaigns use? Journal of Cybersecurity, 6(1). https://doi.org/10.1093/cybsec/tyaa019
  5. Van Steen, T. & Deeleman, J.R.A. (2021). Successful Gamification of Cybersecurity Training. Cyberpsychology, Behavior, and Social Networking, 24(9). https://doi.org/10.1089/cyber.2020.0526
  6. Prümmer, J., Van Steen, T. & Van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136. https://doi.org/10.1016/j.cose.2023.103585
  7. Van Steen, T. (2025). Developing a behavioural cybersecurity strategy: A five-step approach for organisations. Computer Standards & Interfaces, 92. https://doi.org/10.1016/j.csi.2024.103939
  8. Lain, D., Kostiainen, K. & Capkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. 2022 IEEE Symposium on Security and Privacy. https://doi.org/10.1109/SP46214.2022.9833766
  9. Ho, G. u. a. (2025). Understanding the Efficacy of Phishing Training in Practice. 2025 IEEE Symposium on Security and Privacy. https://doi.org/10.1109/SP61157.2025.00076
  10. Lain, D., Jost, T., Matetic, S., Kostiainen, K. & Capkun, S. (2024). Content, Nudges and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training. Proceedings of ACM CCS 2024. https://doi.org/10.1145/3658644.3690348
  11. Bada, M., Sasse, A.M. & Nurse, J.R.C. (2019). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? arXiv. https://arxiv.org/abs/1901.02672
  12. Kirlappos, I. & Sasse, M.A. (2012). Security Education against Phishing: A Modest Proposal for a Major Rethink. IEEE Security & Privacy, 10(2). https://doi.org/10.1109/MSP.2011.179
  13. Parsons, K. u. a. (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66. https://doi.org/10.1016/j.cose.2017.01.004
  14. Wash, R. & Cooper, M.M. (2018). Who Provides Phishing Training? Facts, Stories, and People Like Me. Proceedings of CHI 2018. https://doi.org/10.1145/3173574.3174066
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Oplossen