Was sind die häufigsten Fehler von Unternehmen beim Schutz vor Phishing?

Ein positiver Trend mit ernsthaften Lücken

Derzeit beobachten wir einen positiven Trend im Bereich der Mitarbeiterschulung in der Cybersicherheit. Immer mehr Unternehmen führen verschiedene Formen von Trainings, Schulungen und Awareness-Aktivitäten ein, um das Sicherheitsbewusstsein ihrer Mitarbeitenden zu stärken. Sowohl Unternehmen als auch Mitarbeitende erkennen zunehmend, dass Cybersicherheit eine zentrale Rolle spielt – nicht nur im Arbeitsalltag, sondern auch im privaten Leben.

Aus unserer Erfahrung zeigt sich jedoch häufig, dass insbesondere in kleinen und mittelständischen Unternehmen die gewählte Form oder der Inhalt der Schulungen nicht optimal ist. In solchen Fällen entsteht oft eher ein trügerisches Sicherheitsgefühl, während der tatsächliche Nutzen der Schulung minimal bleibt oder ganz ausbleibt.

Trügerische Sicherheit: Schulung ohne Test reicht nicht aus

Viele Unternehmen verfügen heute über irgendeine Form von Security-Training – zum Beispiel E-Learning-Module, kurze Präsentationen oder verpflichtende jährliche Schulungen. In der Praxis sehen wir jedoch immer wieder, dass dieses Wissen nicht unter realistischen Bedingungen getestet wird.

Erst nach einer simulierten Phishing-Kampagne stellen viele Unternehmen mit Überraschung fest, dass trotz regelmäßiger Schulungen ein erheblicher Teil der Mitarbeitenden bereitwillig Zugangsdaten in ein Phishing-Formular eingibt. Oft sind die einzigen, die dies nicht tun, diejenigen, die gerade im Urlaub oder krank sind.

Die AI-Revolution im Phishing

Ein weiteres häufiges Problem: Unternehmen, die noch vor Kurzem über ein relativ hohes Sicherheitsbewusstsein verfügten, haben nicht rechtzeitig auf neue Bedrohungen im Zusammenhang mit künstlicher Intelligenz reagiert.

Mit dem Einsatz von AI werden beispielsweise Phishing-Anrufe immer überzeugender – was wir in Testszenarien bei mehreren Kunden selbst beobachten konnten. In der Praxis wird Phishing daher zunehmend multikanal umgesetzt: E-Mails werden mit Smishing (SMS) und Vishing (Telefonanrufen) kombiniert. Ein solcher vernetzter Ansatz kann die Erfolgsquote einer simulierten Phishing-Kampagne um mehrere Dutzend Prozent steigern.

Ein systematischer Ansatz als Schlüssel zur Sicherheit

Zusammenfassend lässt sich sagen: Auch wenn sich Fehler nie vollständig vermeiden lassen, ist ein systematischer Ansatz entscheidend.

Es reicht nicht aus, Mitarbeitende lediglich zu schulen. Unternehmen sollten ihre Teams regelmäßig testen, die Wirksamkeit der Schulungen messen und ihre Maßnahmen kontinuierlich an aktuelle Bedrohungen anpassen.

Nur so kann der Schutz vor Phishing wirklich wirksam sein – und nicht nur eine formale Pflichtübung bleiben.