Alain Rees · 10-07-2026 · 8 min leestijd
Nahezu jede Organisation hat eine jährliche Awareness-Schulung, eine vierteljährliche Phishing-Simulation und ein Poster neben der Kaffeemaschine. Die Frage, die dabei selten gestellt wird, ist, ob sich dadurch das Verhalten tatsächlich ändert. In den vergangenen Jahren wurde diese Frage endlich in großem Maßstab untersucht, mit Zehntausenden von Mitarbeitenden in realen Organisationen, und die Antwort ist ernüchternd. Für den gängigen Ansatz, die jährliche Pflichtschulung mit einer Lektion nach jedem Fehlklick, findet die Forschung kaum eine Wirkung. Für einige andere Ansätze findet sie sie durchaus. Auffällig viel dieser Forschung stammt zudem von niederländischen Universitäten.
Dieser Artikel gehört zur Phase Lösen aus dem Modell hinter Kantyra. Verhalten ist eine Maßnahme, und wie jede Maßnahme muss es nicht nur vorhanden sein, sondern auch wirken.
Das grundlegende Problem hat einen Namen: die Kluft zwischen Wissen und Verhalten. Maria Bada, Angela Sasse und Jason Nurse analysierten, warum Awareness-Kampagnen scheitern, und kamen zu einer einfachen Diagnose: Zu wissen, was sicher ist, übersetzt sich nicht von selbst in sicheres Handeln, und Kampagnen, die vor allem Angst machen, wirken eher kontraproduktiv. Die australische Validierungsforschung rund um den HAIS-Q, einen weit verbreiteten Fragebogen, der Wissen, Einstellung und Verhalten getrennt misst, bestätigt dieses Bild: Wissen über die Richtlinien korreliert stärker mit der Einstellung als mit dem Verhalten. Wer nach der Schulung nur das Wissen abfragt, misst also das Falsche.
Tommy van Steen von der Universität Leiden legte mit Kolleginnen und Kollegen den Finger auf die Ursache. Sie analysierten siebzehn behördliche Awareness-Kampagnen mit dem Instrumentarium der Verhaltenswissenschaft und stellten fest, dass diese Kampagnen sich nahezu vollständig auf die Vermittlung von Informationen stützen, während sie die bewährten Techniken zur Verhaltensänderung kaum nutzen. Die meiste Awareness ist, kurz gesagt, nicht darauf ausgelegt, Verhalten zu ändern. Dann ist es keine Überraschung, dass sie es auch nicht tut.
Zwei aktuelle Studien, beide über viele Monate in realen Organisationen durchgeführt, haben die Debatte zugespitzt. Forschende der ETH Zürich begleiteten fünfzehn Monate lang mehr als vierzehntausend Mitarbeitende eines großen Unternehmens und testeten den Ansatz, den nahezu jeder Anbieter verkauft: Wer auf eine simulierte Phishing-Mail klickt, erhält an Ort und Stelle eine Lernseite. Das Ergebnis: Diese Lektionen machten die Klickenden nicht besser und konnten sie sogar anfälliger machen. Eine Folgestudie desselben Teams entschlüsselte den Grund. Die geringe Wirkung solcher Simulationen entsteht durch die regelmäßige Erinnerung daran, dass es Phishing gibt, und nicht durch den Lerninhalt, den Mitarbeitende aus Zeitmangel kaum lesen. Belohnungen für gutes Verhalten halfen ebenso wenig.
Die zweite Studie ist womöglich noch direkter. Grant Ho und Kollegen führten bei einer großen amerikanischen Gesundheitsorganisation ein acht Monate dauerndes randomisiertes Experiment mit mehr als neunzehntausend Mitarbeitenden durch und fanden keinen signifikanten Zusammenhang zwischen dem kürzlichen Abschluss der jährlichen Awareness-Schulung und der Wahrscheinlichkeit, auf eine Phishing-Simulation hereinzufallen. Ihre Schlussfolgerung lässt wenig Spielraum: Die gängige Anti-Phishing-Schulung bietet in der Praxis wahrscheinlich wenig Schutzwirkung.
Es gab in der Zürcher Forschung eine ausgesprochen positive Erkenntnis, und sie ist lehrreich. Eine Meldeschaltfläche, mit der Mitarbeitende verdächtige Mails weiterleiten konnten, funktionierte sehr wohl. Das Kollektiv der Mitarbeitenden erwies sich als schneller und skalierbarer Erkennungsmechanismus für neue Phishing-Kampagnen, bei überschaubarer Arbeitsbelastung für das Security-Team. Der Gewinn lag nicht darin, jeden Klick zu verhindern, sondern darin, den Angriff früh zu erkennen. Das schließt nahtlos an das an, was ich zuvor über Meldeverhalten geschrieben habe.
Die niederländische Forschung gibt der Antwort mehr Kontur. Jan-Willem Bullee und Marianne Junger von der Universität Twente führten eine Meta-Analyse über neunzehn Studien mit mehr als dreiundzwanzigtausend Teilnehmenden durch und fanden große Unterschiede zwischen den Interventionen: Manche wirken gut, andere gar nicht. Das Muster war stets dasselbe: Intensive Interventionen schlagen leichte, und ein enger Fokus schlägt eine breite Erzählung. Frühere Feldforschung aus Twente hatte bereits gezeigt, dass flüchtige Mittel versagen: Warnungen und das Ansprechen von Gefahren kurz vor dem Risikomoment verringerten die Preisgabe persönlicher Daten nicht und konnten sie sogar erhöhen. Und ein Twenter Experiment mit Anti-Phishing-Unterricht an Grundschulen zeigte das Haltbarkeitsproblem: Direkt nach der Schulung stieg die Erkennung deutlich, doch nach vier Wochen war die Wirkung bereits wieder verschwunden. Einmal im Jahr zu schulen ist damit eher ein Ritual als eine Maßnahme.
Was hingegen wirkt, ist aktiv und wiederholt. Van Steen und Deeleman zeigten, dass ein Serious Game nicht nur die Einstellung, sondern auch das selbstberichtete Verhalten verbesserte, während Informationsbroschüren dies nicht taten. Amerikanische Forschung fügte einen überraschenden Faktor hinzu: Wer die Botschaft überbringt, ist von Bedeutung. Sachliche Ratschläge kamen am besten von einer Security-Expertin oder einem Security-Experten an, während Geschichten über Vorfälle am stärksten wirkten, wenn Kolleginnen und Kollegen sie erzählten, Menschen wie man selbst. Der rote Faden durch all dies ist die Wiederholung. Kurze, gezielte Impulse in gewisser Regelmäßigkeit schlagen die jährliche einstündige Sitzung.
Die Schlussfolgerung aus zwanzig Jahren Forschung lautet nicht, dass Sie mit Awareness aufhören sollten, sondern dass Sie damit aufhören sollten, Awareness als isolierte Pflicht zu behandeln. Van Steen veröffentlichte dafür kürzlich einen brauchbaren Fünf-Schritte-Rahmen: Beginnen Sie bei dem Verhalten, das Sie ändern wollen, und nicht bei dem Lernmaterial, das Sie zufällig haben, wählen Sie Interventionen mit einem nachweislich wirksamen Mechanismus, und messen Sie Verhalten statt Teilnahme. So betrachte ich es auch bei Kantyra. Im Register ist Awareness eine Maßnahme wie jede andere, mit einer verantwortlichen Person, einem Wirksamkeitstest und einem Testdatum. Die Frage bei diesem Test ist nicht, ob alle das E-Learning abgeschlossen haben, sondern ob sich das Verhalten verschiebt: Sinkt die Zahl der erfolgreichen Phishing-Versuche, steigt die Zahl der Meldungen, und wie schnell geht die erste Meldung einer neuen Kampagne ein? Wer mit einem Schulungspartner arbeitet, so wie wir mit 2LRN4, kann diese Fragen auch einfach dem Partner stellen; ein guter Partner möchte daran gemessen werden.
Wenn Sie eine Sache aus diesem Artikel mitnehmen, dann diese: Beurteilen Sie Awareness am Verhalten und nicht an der Teilnahme. Stellen Sie sich drei Fragen. Messen Sie nach der Schulung etwas anderes als Anwesenheit und ein Wissensquiz? Steigt die Zahl der gemeldeten verdächtigen Mails, und wie schnell wird eine neue Phishing-Kampagne von Ihren eigenen Leuten erkannt? Und wenn eine Awareness-Aktivität seit zwei Jahren keine messbare Verhaltenswirkung zeigt, was ist dann der Grund, sie zu verlängern? Dieselben Euros können in kurze, gezielte und wiederholte Interventionen fließen, in eine Meldeschaltfläche mit schneller Rückmeldung und in technische Maßnahmen, die den Klick weniger schlimm machen. Die Forschung ist sich darin einig: Lieber eine kleine Wirkung, die wirklich vorhanden ist, als ein großes Programm, das vor allem beruhigt.
Dieser Artikel ist eine fundierte Synthese bestehender wissenschaftlicher Forschung und keine eigenständige, von Fachkollegen begutachtete Forschung. Wo ich deute oder interpretiere, liegt diese Interpretation in meiner Verantwortung.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoWas die Wissenschaft über das Lernen aus Krisen- und Kontinuitätsübungen verrät, und warum ein gutes Gefühl im Nachhinein noch kein Beweis für Lernen ist.
Wie Sie vom Behandlungsplan zu funktionierender Abdeckung kommen: Maßnahmen mit Testdaten, Richtlinien mit Lebenszyklus und formelle Ausnahmen.