Warum klassische Phishing-Simulationen ausgedient haben – und was wirklich hilft
Phishing-Simulationen galten lange als Standard, um Mitarbeitende für E-Mail-Bedrohungen zu sensibilisieren. Neue Daten zeigen jedoch: Der Lerneffekt bleibt oft gering. Eine aktuelle Studie mit über 19.000 Beschäftigten fand selbst bei regelmäßigen Kampagnen kaum messbare Verhaltensänderungen – weder durch klassische Schulungen noch durch direkt eingeblendete Lernhinweise nach Fehlklicks.
Was läuft schief?
- Simulationen erreichen vor allem diejenigen, die auf die Mail hereinfallen; alle anderen bleiben passiv.
- Interaktive Schulungsmaterialien werden häufig ignoriert oder schnell vergessen.
- Die Melderate – entscheidend für eine schnelle Reaktion – wird selten konsequent gemessen und trainiert.
Was hilft stattdessen?
Phishing-Simulationen sind nicht nutzlos, aber allein nicht ausreichend. Wirkung entfalten sie erst im Zusammenspiel mit:
- technischen Schutzmaßnahmen (z. B. FIDO2, Zero Trust),
- einer offenen Meldekultur,
- zielgruppenspezifischen, praxisnahen Trainings.
Der Phishing-Drill als Paradigmenwechsel
Ein Lösungsvorschlag ist der Wechsel von der Phishing-Simulation zum Phishing-Drill. Dabei wird die Phishing-Mail bewusst als Übung gekennzeichnet und mit klaren Hinweisen zur Erkennung und Behandlung versehen. Ziel ist es, alle Mitarbeitenden einzubinden, den Meldeprozess aktiv zu üben und interne Abläufe zu verankern – vergleichbar mit einer Brandschutzübung.
Mehr Details, technische Hintergründe und Handlungsempfehlungen finden Sie in unserem vollständigen Blogbeitrag: „Klassische Phishing-Simulationen sind tot, lang lebe der Phishing-Drill“: https://research.hisolutions.com/2025/09/klassische-phishing-simulationen-sind-tot-lang-lebe-der-phishing-drill/
Google erzwingt Developer-Verifikation
Aufgrund der steigenden Anzahl an Malware auf Android-Geräten hat Google ein neues Sicherheitsfeature vorgestellt. Ab 2026 müssen Entwickelnde in vereinzelten Regionen eine Verifikation ihrer Identität durchführen, um Apps außerhalb des Play Stores anbieten zu können. Damit erweitert der Anbieter eines der größten Mobil-Ökosysteme seine bestehenden Store-Voraussetzungen auf alle Entwickelnden.
Diese Entscheidung erntet aber auch massiv Kritik. Nicht nur findet dadurch eine massive Einschränkung der Freiheiten der Nutzenden statt, auch ist der erhoffte Sicherheitseffekt fragwürdig. Denn auch im Play Store befinden sich viele schadhafte Apps, die diesen Kriterien bereits unterliegen.
https://developer.android.com/developer-verification/guides
https://android-developers.googleblog.com/2025/08/elevating-android-security.html
Behörde veröffentlicht Tool als freie Software
Die digitale Souveränität der Verwaltung ist aktuell ein heiß diskutiertes Thema. Einen weiteren Schritt in diese Richtung tat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) mit der Veröffentlichung eines Werkzeuges „zum Auffinden personenbezogener Daten in großen Datenmengen“ als freie Software (EUPL) auf OpenCode. Neben der Souveränität in der Infrastruktur ist es eben auch wichtig, dass die eingesetzten Werkzeuge die notwendigen Freiheiten ermöglichen.
https://datenschutz.hessen.de/presse/hbdi-veroeffentlicht-programmcode-auf-opencodede
https://gitlab.opencode.de/hbdi/pbd-toolkit
