[English]Es gibt Firmen, die intern ihre Mitarbeiter einer Phishing-Schulung mit simulierten Angriffen unterziehen. In einer Studie wurde nun belegt, dass diese Phishing-Simulationen weitgehend nutzlos sind. Aber auch Secure Email Gateways können Phishing-Mails nicht aufhalten.
Erkenntnisse zu Phishing-Simulationen
Das Thema ging bereits vor zwei Wochen durch eine Medien. Nachfolgender Post von Prof. Dennis Kipker erinnerte mich erneut an das Thema.
In einem groß angelegtem Feldversuch wurden 19.500 Angestellte unterschiedlichen Phishing-Simulationen ausgesetzt. Das Ergebnis bei der Erkennung von Phishing-Mails ist ernüchternd. Die Details lassen sich im Dokument Understanding the Efficacy of Phishing Training in Practice nachlesen.
Bereits zum 7. August 2025 wies mich Trend Micro auf einen Vortrag Pwning User Phishing Training Through Scientific Lure Crafting auf der Black Hat-Konferenz in Las Vegas hin. Dort wurde die obige Studie von Forschern der University of Chicago, der University of California San Diego (UCSD) und UCSD Health vorgestellt.
Diese beleuchtet, was in der Unternehmenswelt im Bereich Cybersecurity, bereits seit längerem für Diskussionen sorgt: Sind Phishing-Schulungen für Mitarbeiter überhaupt sinnvoll? Knapp zusammengefasst belegen die Ergebnisse der Studie:
- Gesamtwirkung gering: Awareness‑Trainings steigerten die Sicherheit im Schnitt nur um 1,7 Prozent
- Interaktive Inhalte etwas besser: Wer interaktive Trainings absolvierte, war danach 19 Prozent weniger klickanfällig
- Statische Trainings wirkungslos/kontraproduktiv: Diese bieten keine messbaren Vorteile. Bei mehrfachen statischen Sessions stieg die Klickrate auf bösartige Inhalte sogar um 18,5 Prozent
- Kein „Auffrisch‑Effekt": Einmal jährliche Kurse zeigten weder kurzfristig noch nach mehr als einem Jahr bessere Klickraten
- Gute Täuschungen bleiben wirksam: Selbst die besten, am stärksten geschulten Mitarbeitenden klickten bei sehr überzeugenden Mails in mehr als 15 Prozent der Fälle
Trend Micro fragt daher: Statt auf Prävention durch Mitarbeiter-Schulungen zu setzen, sollten Unternehmen ihre Sicherheitsstrategie nicht stärker auf den Ernstfall ausrichten?
Secure Email Gateways hilft selten
Beim Schreiben dieses Text fiel mir dann noch eine Meldung von Ende Juli 2025 von Dr. Martin Krämer, Security Awareness Advocate bei KnowBe4 ein. Dessen These: "Phishing lässt sich auch durch Secure Email Gateways nicht aufhalten". Einig ist er sich mit anderen Experten, dass Phishing sich zu einem der gefährlichsten Einfallstore moderner Cyberkriminalität entwickelt hat.
Cyberkriminelle haben dabei vor allem eines bewiesen: Anpassungsfähigkeit. Wo Unternehmen auf ausgereifte Schutzmaßnahmen wie Secure Email Gateways (SEGs) setzen, nutzen Angreifer gezielt deren Schwächen aus, so der Experte. Die Angriffsmethoden werden immer raffinierter und dynamischer – deshalb sei jetzt an der Zeit ist, über neue Verteidigungsstrategien nachzudenken.
Wie Phishing SEGs umgeht
Cyberkriminelle gehen strategisch vor. Sie analysieren die Funktionsweise von SEGs genau und entwickeln ihre Kampagnen so, dass sie Prüfmechanismen umgehen. Dabei lassen sich vier zentrale Taktiken erkennen, die sich teils ergänzen und immer schwerer abzuwehren sind:
- Zeitlich verzögerte Payloads: Eine bewährte Methode besteht darin, dass schädliche Inhalte nicht sofort nach E-Mail-Zustellung aktiv sind. Beispielsweise enthalten Phishing-Mails Links, die erst Stunden später zu bösartigen Webseiten führen oder Dateien, deren Schadcode sich erst nach dem Download entfaltet. Da SEGs E-Mails primär beim Empfang scannen, bleibt die Bedrohung unentdeckt.
- Nutzung legitimer Plattformen: Angreifer nutzen bewusst bekannte und vertrauenswürdige Dienste wie Microsoft SharePoint, OneDrive oder Google Docs, um darin ihre Schadlinks zu verbergen. Diese Taktik nutzt die gute Reputation solcher Domains, um von SEGs nicht blockiert zu werden – obwohl sich die schädliche Komponente hinter scheinbar harmlosen URLs verbirgt.
- Social Engineering ohne klassische Malware: Gerade Business Email Compromise (BEC)-Angriffe zeigen, wie wirkungsvoll Phishing ohne technische Signaturen sein kann. Die Angreifer geben sich als Vorgesetzte oder Geschäftspartner aus und bewegen Mitarbeitende dazu, sensible Informationen preiszugeben oder Zahlungen auszulösen – ganz ohne Anhang oder auffälligen Link.
- Phishing nur mit Text ohne URLs oder Anhänge: Manche Angriffe kommen völlig ohne Links oder Anhänge aus und imitieren seriöse interne Kommunikation – etwa durch täuschend echte Rechnungen oder Lieferanweisungen. Da diese E-Mails keinerlei auffällige Indikatoren enthalten, erscheinen sie für klassische Gateway-Lösungen als unkritisch und gelangen problemlos zum Empfänger.
Diese gezielten Techniken zeigen laut Dr. Martin Krämer deutlich: Der klassische Perimeter-Ansatz, bei dem E-Mails beim Eingang geprüft und dann freigegeben werden, reicht heute nicht mehr aus. Angreifer denken mit – und sind leider oft einen Schritt voraus.
Gibt es Schutzmaßnahmen?
Dr. Martin Krämer meint: Wirksamen Schutz bieten heute nur cloudbasierte, KI-gestützte Sicherheitslösungen, die weit über die einmalige Prüfung beim E-Mail-Eingang hinausgehen. Sie analysieren Inhalte und Kommunikationsverhalten, erkennen untypische Muster, passen sich dynamisch an neue Angriffstechniken an und reagieren in Echtzeit auf verdächtige Aktivitäten.
Doch Technologie allein reicht nicht au, so der Experte und schreibt: "Ebenso wichtig ist es, Mitarbeitende gezielt und kontinuierlich zu schulen – etwa im Erkennen manipulierter Inhalte, gefälschter Absender oder ungewöhnlicher Formulierungen." Und ergänzt: Nur wenn intelligente Prävention mit menschlicher Wachsamkeit kombiniert wird, entsteht eine wirksame Verteidigung gegen die ausgeklügelten Phishing-Angriffe.
Ein Dilemma
Tja, und damit haben wir einen Zirkelschluss bzw. ein Dilemma. Denn eingangs wurde per Studie nachgewiesen, dass Phishing-Simulationen wenig wirksam sind. Dort wurde von Trend Micro nach "technischen Abwehrmaßnahmen" gerufen. Im zweiten Teil dieses Blog-Beitrags weist ein KnowBe4-Experte darauf hin, dass sich Phishing auch durch Secure Email Gateways nicht aufhalten lässt und fordert bessere Schulung. Wenn ich nun eigene Nabelschau betreibe, kommt der Gedanke: "Da kann nur noch die Wundertüte AI helfen". Was meint ihr dazu? Wie löst ihr dieses Dilemma im Unternehmen.
MVP: 2013 – 2016
Nein doch oh…. oder das hat bestimmt die CIA heraus gefunden.
> Wirksamen Schutz bieten heute nur cloudbasierte, KI-gestützte Sicherheitslösungen..
Falsch! Das entlarvt einen Bullshitter bei einer Werbekampagne.
Drei Faktoren:
1) Dieses unsägliche Bemühen alles und jeden in ein SSO packen zu wollen und
2) Die Authentifizierung mit Entra & Co aus der Hand an Dritte zu geben.
3) toxische Pattern
Erstere könnte man unter Umständen noch verstehen, doch gibt es praktisch dazu meist kein Grund, weil am Ende des Tages alle eh doch mit Passwortmanagern umgehen können müssen, weil mit drölfzig Zugangsdaten umzugehen ist, da schmilzt der Vorteil eines SSO dahin und kann schnell zum Nachteil werden.
Bei zweiterem fehlt mir jedes Mitleid. Alle Schutzziele freiwillig aus der Hand gegeben, was will man da noch erwarten? Die Konsequenz des Handelns ereilt einem nur nicht unmittelbar sondern Jahre später. Sowas passiert tagtäglich in der IT in ganz vielen Bereichen.
Wirklichen Schutz bieten nur selbst betriebene SAML/OIDC Instanzen wie z.b. Keycloak oder sowas wie PrivacyIDEA. Wo die Hosts unter eigener Kontrolle stehen, ein Zugriff nur aus den eigenen, segmentierten (VPN)Netzen bzw. engmaschig genau von eigenen kontrollierten Gateways möglich ist.
Kein Mitleid…
Letzter Punkt sind toxische Pattern und Arbeitsgewohnheiten. Warum muß z.B. jemand ständig per Push per Email erreichbar sein? So unter ADSH stehen kann niemand sein. Und wer behauptet Mails, minütlich zu prüfen oder sich von einem DingDong aus seiner Arbeit ständig rausreißen zu lassen, da wage ich mal zu behaupten ist die Qualität und sind die Ergebnisse der so ständig unterbrochenen Arbeit, zumindest sehr fragwürdig.
Das, was du beschreibst, kann man wunderbar mit EntraID und dem Bedingten Zugriff einrichten. Zugriff nur von Unternehmensgeräten, Zugriff nur aus bestimmten Ländern oder Netzwerken, Zugriff nur von Geräten, die einen bestimmten technischen Zustand (Compliance Policy) haben.
Bei deinem letzten Punkt gebe ich dir absolut recht, und bin als IT-Supporter selber darin gefangen: jede Supportanfrage die reinkommt „muss" ich schnellstmöglich lesen um zu schauen, ob es dringend ist oder nicht. Das „müssen" kommt ganz alleine von meinem inneren Zwang. Das abzustellen ist sehr schwer.
Tja. Und wie erkennt "EntraID" "Unternehmensgeräte"? Wie erkennt es Zugriff aus bestimmten Ländern? Wie den technischen Zustand?
Oh. Das kann es alles gar nicht leisten? Jedem, der auch nur ein Gran der Technik versteht sollte das klar sein.
Aber heutzutage ist es ja wichtiger, die compliance checklist abzuhaken und ausreichende Mengen als Oleum Serpentis über den Endgeräten zu versprühen als die wahren Probleme (Monokulturen, mangelhafte Software, schlecht geschulte MA etc.) zu benennen und anzugehen.
@Tomas Jakobs: Bitte erkläre mir, welchen Sicherheitsgewinn es bringt, Emails nicht immer sofort zuzustellen und zulesen?
Geht es darum, dass man eingehende externe Emails nur verzögert (z.b. 2 Stunden später) zustellt, damit zeitlich verzögerte Payloads oder Phishing durch verbessertes Wissen über die Angriffsmuster besser entdeckt werden können?
Ich denke an die Cisco Outbreak Filters, die alle 5 min. aktualisiert werden und E-Mails, die unter ein Filterkriterium fallen, z.B. 2 Stunden lang in eine temporäre Quarantäne schieben, bis klar wird, ob der Threat tatsächlich vorhanden ist oder nicht.
Meinst Du sowas?
Fido2, YubiKeys, Passkeys , Zert-Based-Auth als einzige Auth von extern —> Phishing nicht mehr möglich.
Lässt sich Stück für Stück sanft ausrollen. Hat auch Google bereits 2018 geschafft und seit dem Phishing auf 0 reduziert – siehe: https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/
Solange wir immer noch bei den Unternehmen über zwei Faktor Authentifizierung diskutieren und das ja nicht jeder Mitarbeiter braucht oder sich Zugänge geteilt werden, und deshalb gemeinsame Kennwörter ohne MFA Methoden gebraucht werden, sehe ich da noch viel Arbeit vor uns.
Das ist so nicht richtig. Der zweite Faktor erschwert das Phishing, verhindert diesen aber nicht.
Es gibt genug Fälle, in denen z.Bsp. gestresste Mitarbeiter in der Finanzabteilung vom "Chef" eine Mail bekommen und ganz schnell Geld überweisen sollen. Wenn die dann den Absender nicht prüfen oder kritisch die Mail hinterfragen, dann nützt es auch nichts, dass für die Überweisung ein YubiKey gebraucht wird.
Eine technische Schutzmaßnahme hilft nur so lange, wie der Nutzer diese nicht ohne Nachzudenken nutzt. Wenn er "freiwillig" den zweiten Faktor weitergibt oder diesen nicht gegen Diebstahl sichert, ist dies allenfalls mit einem zweiten Schloss bei einer Tür zu vergleichen.
Ich will hiermit auch nicht sagen, dass 2-FA unnötig ist, sondern nur, dass man weiterhin sein Gehirn benutzen muss.
SSO sehe ich weder als Ursache noch als Problemverstärker. Und wie so oft bei komplexen Themen bringt auch hier eine Generalisierung rein gar nichts – im Gegenteil: Sie führt nur weiter weg von einer echten Lösung.
Aktuell sehe ich keine technische Möglichkeit – und schon gar nicht die eine technische Lösung -, um den derzeitigen Problemen wirksam zu begegnen. Egal, welche technischen Maßnahmen wir bislang umgesetzt haben: Am Ende steht immer der Mensch. Und der lässt sich – mehr oder weniger leicht – austricksen.
Ja, wir haben die Angriffsflächen massiv reduziert. Wir analysieren ständig, schärfen nach, passen uns an. Wir investieren in das Schaffen von Awareness: Schulungen, Phishing-Simulationen, Hinweise, Sensibilisierung – alles dabei. Und dann passiert es wieder: Jemand tippt seine Zugangsdaten inklusive OTP auf einer Seite ein, die so offensichtlich gefälscht ist, dass selbst meine Großmutter stutzig würde – und das trotz Warnhinweis, dass der Login gerade angeblich aus einem anderen Kontinent erfolgt.
Die Realität ist: Es gibt keinen technischen Schutz – und schon gar keinen gegen Leichtsinn, Unachtsamkeit oder schlichtweg Dummheit. Das ist nicht abwertend gemeint. Jeder Mensch ist in irgendeiner Situation täuschbar. Die Frage ist nur, wie hoch der Aufwand sein muss.
Was aber derzeit erfolgreich ist, sind nicht die hochkomplexen Angriffe, die nur durch eine KI enttarnt werden könnten. Es sind einfache, plumpe Tricks – und die funktionieren erschreckend oft.
Solange Menschen bereit sind, ihr Passwort für ein Stück Schokolade am Telefon weiterzugeben, oder offensichtliche Warnzeichen ignorieren, solange werden Angreifer immer Wege finden, an ihre Ziele zu kommen – unabhängig von der Technik. KI hin oder her: Es gibt keine Wunderlösung. Es bleibt nur, die Angriffsfläche weiter zu verringern und den Faktor Mensch immer wieder ins Zentrum zu stellen.
Die "Wunderlösung" existiert seit Jahren: Passwortlose Authentisierung.
Es gibt keinen 100% Schutz gegen Phising, und ich denke, auch eine eingebundene KI wird sich täuschen lassen. Hier versuchen offensichtlich Anbieter und Studienautoren sich den schwarzen Peter gegenseitig zuzuschieben, dass der Dreck immer noch erfolgreich alle Schutzmechanismen passiert. Was man nur tun kann, ist immer die bestmöglichen Schutzvorrichtungen aufzubauen, die man sich leisten kann. Dazu gehört neben einem Security-Gateway für eingehende Mails auch die Mitarbeitersensiblisierung, wie sie z.B. von KnowBe4 betrieben wird. Und ganz wichtig, ein guter Antivirus/EDR/DLP/2FA-Schutz und allgemein Systemhärtung der Anwender-PCs, Mailserver, kontollierter Internetzugang usw.
Ein besserer Ausweg aus den Unzulänglichkeiten der Mailgateways wird zwischen den Zeilen ja auch schon genannt, ich finde hier muss angesetzt werden. Die auf den Mailservern gespeicherten Mails müssen immer wieder neu nach neuesten IOC-Patterns gescannt werden, zumindestens noch ungelesene / unbearbeitete Mails, sonst würde das womöglich zu viel Leistung kosten.
Wo ich ein riesen Problem sehe, ist dass die Benutzer trotz oder vielleicht auch gerade wegen Lösungen wie von KnowBe4 überfordert werden, denn bei dem Verfahren mit dem Phishing-Kopf im Outlook gibt es zu viele False-Positives, da werden manchmal auch Kollegen-Mails, interne Rundmails, automatisierte Benachrichtigungen bis hin zu MS-Teams-Benachrichtigungen und andere legitime Sachen gemeldet. Die von KnowBe4 generierten Simulationsmails sind nämlich manchmal zu gut, bilden Mails ab, die ein externer Phisher eigentlich garnicht kennen kann. Teilweise sind da aber auch sowohl die eigene als auch externe Firmen mit schuld, denn wenn legitime Mails über dritte Dienstleister oder ständig fürs Tracking wechselnde dynamische Absendermailadressen verschickt oder mit eingebetten Tracking-Links verschickt werden, wie soll der normale Anwender da noch die Legitimität der Mails erkennen? Das zu untersuchen ist ja nicht dessen Hauptjob. Auch Mailgateways scheitern da dran und sortieren solche externen Mails weg, obwohl man bestimmte Anbietermails gerne hätte, irgendwann wird es einem aber zu viel, die jedes Mal aus der Quarantäne zu fischen.
Das mit falsch positiven internen Mails verstehe ich nicht: kann nicht zumindest DAS technisch/automatisch schnell geprüft werden? Dann bliebe der gern gelehrte Satz nämlich valide: lieber einmal zu viel als einmal zu wenig gemeldet.
Problematisch finde ich, dass z.B. in unserem Konzern einige Einladungen zu online-Veranstaltungen via MS-Mailadresse aus "scheinbar extern" reinkommen, und man noch einen ical-Kalender-Anhang selbst anklicken muss, statt eine (echte) interne E-Mail-Adresse zu verwenden. So weicht man Training auf, IMHO.
Der umgekehrte Fall trifft bei mir im privaten Mail-Verkehr übrigens auch häufiger zu: Info-Mails vom E-Mail-Provider gelangen in den Spam Ordner… Selbst ins Aus geschossen, tolle KI… augenroll!
@Froschkönig: Du schreibst: "Kollegen-Mails, interne Rundmails, automatisierte Benachrichtigungen bis hin zu MS-Teams-Benachrichtigungen und andere legitime Sachen gemeldet"
Darf ich interessehalber fragen, was "gemeldet" bei der KnowBe4-Lösung bedeutet.
Ist das ein Tag oder beschreibender Text im Kopf der Email z.B. "Dieses Email ist möglicherweise Spam/Phish"?
Oder bedeutet "gemeldet", dass die Lösung solche verdächtigen Emails z.B. automatisch an ein SOC meldet?
Nein, der Benutzer klickt da drauf, und dann wird die zum einem per Mail an entsprechende Mitarbeiter weitergeleitet, dass der/diejenige wissen, dass was gemeldet wurde, die Mail ist unverändert im Anhang dass man sich die Header auch manuell ansehen kann, und sie landet in einer Appliance (in der auch neue Simulationen zusammengebastelt werden können), in der man sie bewertet und auch untersuchen kann. Da habe ich aber keinen näheren Einblick, ist eine andere Abteilung.
@Froschkönig: Danke, alles klar. Das kenne ich auch von der Proofpoint-Lösung. Das ist ein Button in Outlook "Report phish". Das Email geht dann im Original an unser SOC-Team und an parallel zu Proofpoint zur genaueren Untersuchung. Verfolgt wird die Meldung im Ticketsystem.
Ob da von den Endusern (zu) viele false-positive Emails gemeldet werden oder nicht, entzieht sich meiner Kenntnis.
Kann Phishing-Mails zwar nicht aufhalten, aber wirkungslos machen: Conditional Access. Anmeldungen nur von registrierten (z.B. Domain-joined) Endpoints aus zulassen, alles andere blocken. Das ist sehr effektiv. Ich kann dem Angreifer meine ID, mein Passwort und mein MFA geben und er kommt trotzdem nicht rein. Erst wenn er meinen Endpoint übernimmt, aber dann sind wir ja bereits viele Schritte hinter Initial Access.
Ich sags ja immer wieder: Brain.exe läßt sich nicht patchen! entweder sie ist da oder eben nicht.
brain.exe hat flüchtigen Speicher. Da waren die Leute mal 3 Wochen im urlaub, schon muss man deren Passwörter zurücksetzen, weil sie sich nicht mehr daran erinnern…
K.IS.S.
E-Mails nur in Reintext. Wer auch heute noch meint, seinen Schund via html-Formatierung versenden zu müssen, wird halt überlesen.
Seit 2015 E-Mail in Reintext-Only. Hilft ordentlich. Ist kein 100% Schutz, hebt das Niveau aber spürbar deutlich an und kostet nichts.
Cloudbasierte K.I.-unterstützte Lösung. Leute, da schafft man wieder mal Probleme, die man ohne diesen Tinnef nicht hätte.
"Dr. Martin Krämer meint: Wirksamen Schutz bieten heute nur cloudbasierte, KI-gestützte Sicherheitslösungen, die weit über die einmalige Prüfung beim E-Mail-Eingang hinausgehen. Sie analysieren Inhalte und Kommunikationsverhalten, erkennen untypische Muster, passen sich dynamisch an neue Angriffstechniken an und reagieren in Echtzeit auf verdächtige Aktivitäten."
Das behaupten Vertriebler von "KI"-Produkten oder technisch Unversierte.
Die richtige Antwort lautet:
Passwortlose, phishingresistente MFA oder autorisierte Clients.
Für letztere Variante sind restrektive GPO-Eingriffe im Rahmen eines MDM Grundvoraussetzung und BYOD verboten.
Die ganze Industrie der Sicherheitsprodukte ist ein Hase & Igel Spiel, der Hauptnutzen liegt beim Anbieter der "Lösungen".
Wenn aber der Angreifer schneller ist als der Anbieter der Lösungen tuts richtig weh.
Beim Hase & Igel Spiel ist der Angreifer der Igel, also immer schneller…
Content inspection hat noch nie funktioniert, das Konzept "böse URL" oder "vertrauenswürdiger Dienst" ist kompletter Unsinn.
Ich habe bei "cloudbasierte, KI-gestützte Sicherheitslösungen" zu lesen aufgehört.
Bei dieser Art von ITSEC-"Expertise" , "wir machen auf ein kaputtes System noch ein paar Pflasterl, auf denen SICHER steht" ist es eigentlich verwunderlich, dass nicht noch viel mehr passiert.