{"id":314878,"date":"2025-08-24T00:09:08","date_gmt":"2025-08-23T22:09:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314878"},"modified":"2025-08-24T22:24:48","modified_gmt":"2025-08-24T20:24:48","slug":"phishing-simulationen-sind-weitgehend-nutzlos","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/24\/phishing-simulationen-sind-weitgehend-nutzlos\/","title":{"rendered":"Phishing Simulationen (und SEG) sind weitgehend nutzlos"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Gmail\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/07\/Mail.jpg\" alt=\"Mail\" width=\"88\" height=\"64\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/08\/24\/phishing-simulations-and-seg-are-largely-useless\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Es gibt Firmen, die intern ihre Mitarbeiter einer Phishing-Schulung mit simulierten Angriffen unterziehen. In einer Studie wurde nun belegt, dass diese Phishing-Simulationen weitgehend nutzlos sind. Aber auch Secure Email Gateways k\u00f6nnen Phishing-Mails nicht aufhalten.<\/p>\n<p><!--more--><\/p>\n<h2>Erkenntnisse zu Phishing-Simulationen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/f6d78eb593724c5db848b0e442c39267\" alt=\"\" width=\"1\" height=\"1\" \/>Das Thema ging bereits vor zwei Wochen durch eine Medien. Nachfolgender Post von Prof. Dennis Kipker erinnerte mich erneut an das Thema.<\/p>\n<p><a href=\"https:\/\/arianamirian.com\/docs\/ieee-25.pdf\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/hPpsvLw6\/image.png\" alt=\"Phishing-Training\" width=\"640\" height=\"1030\" \/><\/a><\/p>\n<p>In einem gro\u00df angelegtem <span class=\"r-18u37iz\">Feldversuch<\/span><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\"> wurden 19.500 Angestellte unterschiedlichen Phishing-<\/span><span class=\"r-18u37iz\">Simulationen<\/span><span class=\"css-1jxf684 r-bcqeeo r-1ttztb7 r-qvutc0 r-poiln3\"> ausgesetzt. Das Ergebnis bei der Erkennung von Phishing-Mails ist ern\u00fcchternd. Die Details lassen sich im Dokument <\/span><a href=\"https:\/\/arianamirian.com\/docs\/ieee-25.pdf\" target=\"_blank\" rel=\"noopener\">Understanding the Efficacy of Phishing Training in Practice<\/a> nachlesen.<\/p>\n<p>Bereits zum 7. August 2025 wies mich Trend Micro auf einen Vortrag <a href=\"https:\/\/www.blackhat.com\/us-25\/briefings\/schedule\/index.html#pwning-user-phishing-training-through-scientific-lure-crafting-46793\" target=\"_blank\" rel=\"noopener\">Pwning User Phishing Training Through Scientific Lure Crafting<\/a> auf der Black Hat-Konferenz in Las Vegas hin. Dort wurde die obige Studie von Forschern der University of Chicago, der University of California San Diego (UCSD) und UCSD Health vorgestellt.<\/p>\n<p>Diese beleuchtet, was in der Unternehmenswelt im Bereich Cybersecurity, bereits seit l\u00e4ngerem f\u00fcr Diskussionen sorgt: Sind Phishing-Schulungen f\u00fcr Mitarbeiter \u00fcberhaupt sinnvoll?\u00a0Knapp zusammengefasst belegen die <a href=\"https:\/\/people.cs.uchicago.edu\/~grantho\/papers\/oakland2025_phishing-training.pdf\" target=\"_blank\" rel=\"noopener\">Ergebnisse der Studie<\/a>:<\/p>\n<ul>\n<li><strong>Gesamtwirkung gering:<\/strong> Awareness\u2011Trainings steigerten die Sicherheit im Schnitt nur um 1,7\u202fProzent<\/li>\n<li><strong>Interaktive Inhalte etwas besser: <\/strong>Wer interaktive Trainings absolvierte, war danach 19\u202fProzent weniger klickanf\u00e4llig<\/li>\n<li><strong>Statische Trainings wirkungslos\/kontraproduktiv: <\/strong>Diese bieten keine messbaren Vorteile. Bei mehrfachen statischen Sessions stieg die Klickrate auf b\u00f6sartige Inhalte sogar um 18,5 Prozent<\/li>\n<li><strong>Kein \u201eAuffrisch\u2011Effekt\":<\/strong> Einmal j\u00e4hrliche Kurse zeigten weder kurzfristig noch nach mehr als einem Jahr bessere Klickraten<\/li>\n<li><strong>Gute T\u00e4uschungen bleiben wirksam:<\/strong> Selbst die besten, am st\u00e4rksten geschulten Mitarbeitenden klickten bei sehr \u00fcberzeugenden Mails in mehr als 15\u202fProzent der F\u00e4lle<\/li>\n<\/ul>\n<p>Trend Micro fragt daher: Statt auf Pr\u00e4vention durch Mitarbeiter-Schulungen zu setzen, sollten Unternehmen ihre Sicherheitsstrategie nicht st\u00e4rker auf den Ernstfall ausrichten?<\/p>\n<h2>Secure Email Gateways hilft selten<\/h2>\n<p>Beim Schreiben dieses Text fiel mir dann noch eine Meldung von Ende Juli 2025 von <span lang=\"EN\">Dr. Martin Kr\u00e4mer, Security Awareness Advocate bei KnowBe4 ein. Dessen These: \"Phishing l\u00e4sst sich auch durch Secure Email Gateways nicht aufhalten\". Einig ist er sich mit anderen Experten, dass\u00a0<\/span>Phishing sich zu einem der gef\u00e4hrlichsten Einfallstore moderner Cyberkriminalit\u00e4t entwickelt hat.<\/p>\n<p>Cyberkriminelle haben dabei vor allem eines bewiesen: Anpassungsf\u00e4higkeit. Wo Unternehmen auf ausgereifte Schutzma\u00dfnahmen wie Secure Email Gateways (SEGs) setzen, nutzen Angreifer gezielt deren Schw\u00e4chen aus, so der Experte. Die Angriffsmethoden werden immer raffinierter und dynamischer \u2013 deshalb sei jetzt an der Zeit ist, \u00fcber neue Verteidigungsstrategien nachzudenken.<\/p>\n<h3>Wie Phishing SEGs umgeht<\/h3>\n<p>Cyberkriminelle gehen strategisch vor. Sie analysieren die Funktionsweise von SEGs genau und entwickeln ihre Kampagnen so, dass sie Pr\u00fcfmechanismen umgehen. Dabei lassen sich vier zentrale Taktiken erkennen, die sich teils erg\u00e4nzen und immer schwerer abzuwehren sind:<\/p>\n<ol>\n<li><strong>Zeitlich verz\u00f6gerte Payloads: <\/strong>Eine bew\u00e4hrte Methode besteht darin, dass sch\u00e4dliche Inhalte nicht sofort nach E-Mail-Zustellung aktiv sind. Beispielsweise enthalten Phishing-Mails Links, die erst Stunden sp\u00e4ter zu b\u00f6sartigen Webseiten f\u00fchren oder Dateien, deren Schadcode sich erst nach dem Download entfaltet. Da SEGs E-Mails prim\u00e4r beim Empfang scannen, bleibt die Bedrohung unentdeckt.<\/li>\n<li><strong>Nutzung legitimer Plattformen: <\/strong>Angreifer nutzen bewusst bekannte und vertrauensw\u00fcrdige Dienste wie Microsoft SharePoint, OneDrive oder Google Docs, um darin ihre Schadlinks zu verbergen. Diese Taktik nutzt die gute Reputation solcher Domains, um von SEGs nicht blockiert zu werden \u2013 obwohl sich die sch\u00e4dliche Komponente hinter scheinbar harmlosen URLs verbirgt.<\/li>\n<li><strong>Social Engineering ohne klassische Malware: <\/strong>Gerade Business Email Compromise (BEC)-Angriffe zeigen, wie wirkungsvoll Phishing ohne technische Signaturen sein kann. Die Angreifer geben sich als Vorgesetzte oder Gesch\u00e4ftspartner aus und bewegen Mitarbeitende dazu, sensible Informationen preiszugeben oder Zahlungen auszul\u00f6sen \u2013 ganz ohne Anhang oder auff\u00e4lligen Link.<\/li>\n<li><strong>Phishing nur mit Text ohne URLs oder Anh\u00e4nge: <\/strong>Manche Angriffe kommen v\u00f6llig ohne Links oder Anh\u00e4nge aus und imitieren seri\u00f6se interne Kommunikation \u2013 etwa durch t\u00e4uschend echte Rechnungen oder Lieferanweisungen. Da diese E-Mails keinerlei auff\u00e4llige Indikatoren enthalten, erscheinen sie f\u00fcr klassische Gateway-L\u00f6sungen als unkritisch und gelangen problemlos zum Empf\u00e4nger.<\/li>\n<\/ol>\n<p>Diese gezielten Techniken zeigen laut <span lang=\"EN\">Dr. Martin Kr\u00e4mer <\/span>deutlich: Der klassische Perimeter-Ansatz, bei dem E-Mails beim Eingang gepr\u00fcft und dann freigegeben werden, reicht heute nicht mehr aus. Angreifer denken mit \u2013 und sind leider oft einen Schritt voraus.<\/p>\n<h3>Gibt es\u00a0Schutzma\u00dfnahmen?<\/h3>\n<p><span lang=\"EN\">Dr. Martin Kr\u00e4mer meint: <\/span>Wirksamen Schutz bieten heute nur cloudbasierte, KI-gest\u00fctzte Sicherheitsl\u00f6sungen, die weit \u00fcber die einmalige Pr\u00fcfung beim E-Mail-Eingang hinausgehen. Sie analysieren Inhalte und Kommunikationsverhalten, erkennen untypische Muster, passen sich dynamisch an neue Angriffstechniken an und reagieren in Echtzeit auf verd\u00e4chtige Aktivit\u00e4ten.<\/p>\n<p>Doch Technologie allein reicht nicht au, so der Experte und schreibt: \"Ebenso wichtig ist es, Mitarbeitende gezielt und kontinuierlich zu schulen \u2013 etwa im Erkennen manipulierter Inhalte, gef\u00e4lschter Absender oder ungew\u00f6hnlicher Formulierungen.\" Und erg\u00e4nzt: Nur wenn intelligente Pr\u00e4vention mit menschlicher Wachsamkeit kombiniert wird, entsteht eine wirksame Verteidigung gegen die ausgekl\u00fcgelten Phishing-Angriffe.<\/p>\n<h2>Ein Dilemma<\/h2>\n<p>Tja, und damit haben wir einen Zirkelschluss bzw. ein Dilemma. Denn eingangs wurde per Studie nachgewiesen, dass Phishing-Simulationen wenig wirksam sind. Dort wurde von Trend Micro nach \"technischen Abwehrma\u00dfnahmen\" gerufen. Im zweiten Teil dieses Blog-Beitrags weist ein <span lang=\"EN\">KnowBe4<\/span>-Experte darauf hin, dass sich <span lang=\"EN\">Phishing auch durch Secure Email Gateways nicht aufhalten l\u00e4sst und fordert bessere Schulung. Wenn ich nun eigene Nabelschau betreibe, kommt der Gedanke: \"Da kann nur noch die Wundert\u00fcte AI helfen\". Was meint ihr dazu? Wie l\u00f6st ihr dieses Dilemma im Unternehmen.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Es gibt Firmen, die intern ihre Mitarbeiter einer Phishing-Schulung mit simulierten Angriffen unterziehen. In einer Studie wurde nun belegt, dass diese Phishing-Simulationen weitgehend nutzlos sind. Aber auch Secure Email Gateways k\u00f6nnen Phishing-Mails nicht aufhalten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,4328],"class_list":["post-314878","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314878","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314878"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314878\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314878"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314878"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314878"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}