Facebook-f Instagram Jki-linkedin-light
Gratis Beratung

+49 (0) 9491 / 742 988 50

Lohnt sich Security Awareness?

Ein Praxisprojekt über drei Jahre gibt Antworten

Die Frage, ob Phishing-Kampagnen und Awareness-Schulungen wirklich etwas bringen, bekommen wir regelmäßig gestellt. Und ehrlich gesagt: Wir verstehen, warum.

Fast jeder kennt die klassischen Pflichtschulungen. Einmal im Jahr klickt man sich durch ein Training, beantwortet ein paar Fragen und macht anschließend weiter wie bisher. Dass dadurch niemand über Nacht zum Sicherheitsexperten wird, überrascht vermutlich niemanden.

Gleichzeitig wird die Wirksamkeit von Security-Awareness-Maßnahmen immer wieder kontrovers diskutiert. Das hat in den vergangenen Monaten auch bei einigen unserer Kunden Fragen ausgelöst. Einige Untersuchungen kommen zu dem Schluss, dass der messbare Effekt von Phishing-Schulungen deutlich kleiner ausfällt, als viele Unternehmen und Anbieter vermuten würden. Wenn die gemessenen Effekte teilweise kleiner ausfallen als erwartet, stellt sich für viele Unternehmen eine berechtigte Frage: 

Lohnt es sich, Zeit, Budget und personelle Ressourcen in Security Awareness zu investieren?

Eine wichtige Frage

Statt diese Frage theoretisch zu diskutieren, haben wir einen Blick auf unsere eigenen Kundenprojekte geworfen. In diesem Beitrag möchten wir eines dieser Projekte vorstellen. Das Unternehmen wurde anonymisiert, die gezeigten Kennzahlen und Auswertungen stammen jedoch aus einem realen Kundenprojekt, das wir seit 2023 begleiten.

Die Rahmenbedingungen

Bevor wir auf die Ergebnisse eingehen, lohnt sich ein Blick auf die Rahmenbedingungen des Projekts. Das Unternehmen beschäftigt insgesamt 35 Mitarbeitende. 18 davon nahmen an den Awareness-Maßnahmen teil.

Warum wir dieses Projekt ausgewählt haben? Weil es stellvertretend für viele Unternehmen steht, mit denen wir zusammenarbeiten. Kein Konzern mit eigener Security-Abteilung und umfangreichen Ressourcen, sondern ein mittelständisches Unternehmen, in dem Informationssicherheit eine wichtige Rolle spielt, gleichzeitig aber nur eines von vielen Themen im Tagesgeschäft ist.

Die ersten Phishing-Simulationen starteten im Juni 2023. Ab März 2024 wurde das Programm um regelmäßige Schulungsmaßnahmen erweitert. Seitdem erhalten die Teilnehmenden etwa alle zwei Wochen simulierte Phishing-Mails sowie monatlich neue Lerninhalte.

Schon damals war klar: Wenn wir Veränderungen beobachten wollen, müssen wir dem Thema Zeit geben. Über die Jahre entstand so ein kontinuierliches Awareness-Programm, dessen Entwicklung sich anhand verschiedener Kennzahlen nachvollziehen lässt.

Mehr als nur Schulungen

Relativ schnell zeigte sich eine Herausforderung, die vermutlich viele Unternehmen kennen: Menschen lernen unterschiedlich. Manche lesen gerne. Andere schauen lieber Videos. Wieder andere merken sich Inhalte vor allem dann, wenn sie diese selbst erleben oder ausprobieren können. Deshalb haben wir bewusst auf unterschiedliche Formate gesetzt.

Es kamen auch Lernformate im Netflix-Stil zum Einsatz. Die Sicherheitsinhalte wurden nicht in Form von Regeln oder Präsentationen vermittelt, sondern als spannende Geschichte erzählt, die sich über mehrere Episoden entwickelt. Und genau das hatte einen interessanten Nebeneffekt: Die Mitarbeitenden konsumierten die Inhalte nicht nur, weil sie mussten. Sie wollten wissen, wie es weitergeht. Mehr als einmal hörten wir von unseren Ansprechpartnern, dass in der Kaffeeküche über Charaktere diskutiert wurde, Vermutungen über den nächsten Handlungsstrang aufkamen oder über bestimmte Entscheidungen gesprochen wurde.

Für uns war das ein deutliches Zeichen dafür, dass die Inhalte tatsächlich angekommen sind.

Denn Aufmerksamkeit lässt sich nicht verordnen, sie muss entstehen.

Die Entwicklung im Zeitverlauf

1. Die Ausgangslage: Phishing-Simulationen ohne Schulungsmaßnahmen

Zu Beginn des Projekts wurden ausschließlich Phishing-Simulationen durchgeführt. Ziel war es zunächst, ein realistisches Bild des Nutzerverhaltens zu erhalten und eine Ausgangsbasis für spätere Vergleiche zu schaffen. In dieser Phase standen keine zusätzlichen Schulungsinhalte zur Verfügung. Die Teilnehmenden wurden lediglich mit regelmäßig wechselnden Phishing-Szenarien konfrontiert.

Risk Score

Die erste Auswertung zeigte einen Risk Score von 45,8 Punkten. Damit bewegte sich das Unternehmen im Bereich „Mittleres Risiko“. Vereinfacht gesagt beschreibt dieser Wert, wie hoch das Risiko eingeschätzt wird, dass Mitarbeitende auf typische Angriffsmethoden wie Phishing hereinfallen.

Ziel unseres Awareness-Programms ist es nicht, eine einzelne Kampagne erfolgreich abzuschließen, sondern diesen Wert langfristig zu reduzieren.

2. Kontinuierliches Phishing kombiniert mit regelmäßigen Schulungen

Ab März 2024 wurde das Programm erweitert. Neben den weiterhin regelmäßig versendeten Phishing-Mails erhielten die Teilnehmenden nun monatlich neue Awareness-Inhalte. Zum Einsatz kamen dabei unterschiedliche Formate: Von kurzen Lernvideos über interaktive Übungen bis hin zu erzählerischen Formaten im Stil einer Streaming-Serie. Unser Ziel war dabei nicht, dass möglichst viele Schulungen absolviert werden.

Vielmehr wollten wir erreichen, dass Informationssicherheit regelmäßig im Arbeitsalltag präsent bleibt.

Nach einem Jahr kontinuierlicher Maßnahmen zeigte sich erstmals eine deutliche Entwicklung in den Kennzahlen.

Risk Score

Der Risk Score sank von 45,8 auf 38,4 Punkte. Gleichzeitig reduzierten sich die Fehlerraten bei den Phishing-Simulationen spürbar.

Besonders interessant fanden wir dabei, dass sich die Entwicklung nicht auf einzelne Kampagnen beschränkte. Über den gesamten Zeitraum hinweg war ein positiver Trend erkennbar.

3. Zwei Jahre später: Hat die Entwicklung Bestand?

Eine häufige Frage bei Awareness-Maßnahmen lautet: Handelt es sich nur um einen kurzfristigen Effekt oder verändert sich das Verhalten tatsächlich nachhaltig? Genau deshalb ist die dritte Auswertung für uns besonders spannend.

Nach einem weiteren Jahr kontinuierlicher Phishing-Simulationen und regelmäßiger Schulungsmaßnahmen setzte sich die Entwicklung fort.

Risk Score

Der Risk Score verbesserte sich weiter auf 37,1 Punkte. Auch die Ergebnisse der einzelnen Phishing-Kampagnen bewegten sich überwiegend auf einem niedrigen Niveau.

Noch wichtiger als die absolute Zahl ist aus unserer Sicht jedoch die Stabilität der Entwicklung. Die Verbesserungen verschwanden nicht nach einigen Monaten, sondern blieben über einen längeren Zeitraum erhalten.

 

4. Der aktuelle Stand

Die aktuellste Auswertung stammt vom Juni 2026.

Risk Score

Der Risk Score liegt inzwischen bei 36,2 Punkten und damit im Bereich „Geringes Risiko“.

Besonders aufschlussreich ist zudem der Blick auf einzelne Teilnehmende. Während sich die Entwicklung bei manchen Mitarbeitenden schneller zeigte als bei anderen, lässt sich insgesamt erkennen, dass sich Verhaltensweisen über die Zeit verändert haben.

Gerade diese langfristige Betrachtung macht das Projekt für uns interessant. Sie zeigt nicht nur Momentaufnahmen einzelner Kampagnen, sondern die Entwicklung eines Awareness-Programms über mehrere Jahre hinweg.

Man konnte förmlich beobachten, wie sich Gewohnheiten veränderten.

Der Blick auf den gesamten Verlauf

Interessant wird es auch, wenn man die Entwicklung über den gesamten Beobachtungszeitraum betrachtet. Die folgenden Auswertungen zeigen den Verlauf aller Phishing-Kampagnen seit Projektbeginn.

Entwicklung des Risk Scores

Risk Score Gesamtübersicht

Besonders auffällig ist der langfristige Trend. Obwohl einzelne Kampagnen immer wieder zu Schwankungen führen, zeigt die Kurve über den gesamten Zeitraum klar nach unten. Der Risk Score sank von einem mittleren Risikoniveau auf einen Wert, der heute dem Bereich „Geringes Risiko“ zugeordnet wird.

Entwicklung der Phish-prone Percentage

Neben dem Risk Score betrachten wir eine weitere Kennzahl: die sogenannte Phish-prone Percentage. Sie beschreibt den Anteil der Teilnehmenden, die bei einer Phishing-Simulation auf die präparierte Nachricht reagieren. Dazu zählen beispielsweise Klicks auf Links, das Öffnen von Anhängen, Antworten auf die Nachricht oder die Eingabe von Daten. Vereinfacht gesagt zeigt die Kennzahl, wie viele Personen bei einer simulierten Phishing-Kampagne auf den Angriff hereingefallen sind. Je niedriger dieser Wert ausfällt, desto besser. Die gestrichelte Linie markiert dabei den Branchendurchschnitt.

Phish-prone Percentage

Während zu Beginn noch regelmäßig zweistellige Fehlerraten auftraten, bewegen sich die Werte in den späteren Kampagnen überwiegend im niedrigen einstelligen Bereich oder bei null Prozent.

Besonders bemerkenswert finden wir dabei nicht einzelne Spitzenwerte, sondern die zunehmende Stabilität der Ergebnisse über einen Zeitraum von mehreren Jahren.

Auswertung der Fehlertypen

Auswertung der Fehlertypen

Die Auswertung der Fehlertypen zeigt zusätzlich, welche Aktionen bei den simulierten Angriffen durchgeführt wurden. Neben Klicks auf Phishing-Links wurden beispielsweise auch das Öffnen von Anhängen, aktivieren von Makros oder das Scannen von QR-Codes erfasst.

Auch hier lässt sich über die Zeit ein deutlicher Rückgang erkennen.

Aber wussten die Mitarbeitenden nicht, dass Phishing-Kampagnen laufen?

Natürlich wussten die Teilnehmenden, dass regelmäßig Phishing-Simulationen durchgeführt werden. Aus unserer Sicht ist genau das aber Teil des Ziels.

Im Arbeitsalltag wissen Mitarbeitende schließlich ebenfalls, dass Phishing existiert.

Die Aufgabe von Security Awareness besteht nicht darin, Menschen unter Laborbedingungen zu testen. Ziel ist es, Aufmerksamkeit zu schaffen und Verhaltensweisen zu fördern, die auch bei echten Angriffen helfen. Wenn Mitarbeitende bei einer verdächtigen E-Mail einen Moment länger nachdenken, genauer hinschauen oder eine Nachricht hinterfragen, dann ist das bereits eine positive Veränderung. Genau diese Entwicklung möchten Awareness-Maßnahmen erreichen.

Was wir aus dem Projekt mitnehmen

Natürlich handelt es sich nicht um eine wissenschaftliche Studie. Wir betrachten ein einzelnes Unternehmen und eine begrenzte Teilnehmerzahl. Die Ergebnisse lassen sich deshalb nicht ohne Weiteres auf jede Organisation übertragen.

Trotzdem sehen wir in diesem Projekt einige Muster, die wir auch aus anderen Kundenprojekten kennen.

Erstens: Wiederholung wirkt. Sicherheit konkurriert jeden Tag mit unzähligen anderen Themen. Regelmäßige Berührungspunkte helfen dabei, das Thema präsent zu halten.

Zweitens: Nicht jedes Format erreicht jede Person. Während einige Mitarbeitende kurze Videos bevorzugen, bleiben anderen praktische Übungen oder Storytelling-Formate stärker im Gedächtnis. Vielfalt erhöht die Chance, unterschiedliche Menschen zu erreichen.

Drittens: Verhalten ist wichtiger als Wissen. Entscheidend ist nicht, ob jemand die Inhalte einer Schulung wiedergeben kann. Entscheidend ist, wie diese Person reagiert, wenn eine verdächtige E-Mail tatsächlich im Postfach landet.

Und viertens: Security Awareness braucht Zeit. Die beobachteten Verbesserungen entstanden nicht nach einer einzelnen Schulung und auch nicht innerhalb weniger Wochen. Sie entwickelten sich über Monate und Jahre.

Unser Fazit

Wenn wir eines aus unserem Projekt mitnehmen, dann die Erkenntnis, dass nachhaltige Security Awareness selten durch einen einzelnen Aha-Moment entsteht. Sie entsteht durch viele kleine Impulse. Durch Wiederholung. Durch praxisnahe Übungen. Durch Gespräche im Team. Und manchmal auch durch eine spannende Serie, die ein Sicherheitsthema auf eine Weise erzählt, die im Gedächtnis bleibt.

Nicht jede Maßnahme wird bei jedem Menschen funktionieren.

Aber unsere Erfahrung zeigt, dass kontinuierliche Awareness-Programme mit unterschiedlichen Lernformaten durchaus dazu beitragen können, Sicherheitsbewusstsein langfristig im Arbeitsalltag zu verankern. Und genau darum geht es am Ende.

Quelle der Grafiken: Anonymisierte Auswertungen aus der Security-Awareness-Plattform KnowBe4.