Weshalb Security-Awareness-Trainings eine trügerische Sicherheit vermitteln können

04.05.2026 11:23 - Von Salomon Häseli

Trotz laufender Security Awareness Trainings, abgeschlossener Schulungen und tiefen Klickraten können genau die Fehler passieren, die dank der Schulungen eigentlich verhindert werden sollten. Awareness-Trainings garantieren nicht automatisch mehr Sicherheit. In diesem Beitrag erfahren Sie, weshalb das so ist und wie Sie das Maximum aus Ihren Trainings herausholen.


Fehlinterpretation der Metriken

Einfach messbare KPIs wie die Anzahl versendeter Kampagnen, Abschlussraten von Lernmodulen oder die Klickrate bei Phishing-Simulationen können eine falsche Sicherheit vermitteln, wenn sie isoliert betrachtet oder falsch interpretiert werden.


Die Klickrate: Ein umstrittener Indikator

Die Klickrate wird oft als massgebliche Kennzahl für den Erfolg von Security-Awareness-Trainings herangezogen. Sie ist nicht per se schlecht, aber sie ist unvollständig. Wird sie isoliert betrachtet, vermittelt sie eine trügerische Sicherheit. Dies hat vor allem zwei Gründe:


1. Die Variabilität der Schwierigkeit

Die Klickrate ist stark abhängig von der Qualität der Simulation. Wenn Sie eine offensichtliche Phishing-Mail mit vielen Rechtschreibfehlern versenden, wird die Klickrate bei fast 0% liegen. Versenden Sie jedoch eine perfekt imitierte Nachricht eines bekannten Lieferanten, schnellt die Rate nach oben. Die Klickrate misst bei einfachen Tests also primär die Offensichtlichkeit der Simulation. Erst wenn die Szenarien maximal realitätsnah sind, wird sie zu einem echten Indikator für die Resilienz des Teams.


2. Silent Failures
Die Klickrate misst nur, wer den Fehler gemacht hat. Sie sagt jedoch nichts über diejenigen aus, die nicht geklickt haben:
  • Haben diese Nutzer die E-Mail als Bedrohung erkannt?
  • Haben sie die Nachricht einfach ignoriert oder gar nicht erst gesehen?
  • Waren sie nur zufällig gerade nicht am Arbeitsplatz?
Ein echtes Sicherheitsbewusstsein zeigt sich nicht im Ignorieren, sondern im aktiven Erkennen und Melden. Liefert ein Programm eine Klickrate von 4%, klingt das im ersten Moment hervorragend. Es kann jedoch bedeuten, dass 70% der Mitarbeitenden die E-Mail schlicht nicht gelesen haben. Warum ist das ein Problem? Weil diese 70% ihre Kompetenz, eine echte Gefahr zu erkennen, nie unter Beweis gestellt haben. Sie bilden einen blinden Fleck in Ihrer Sicherheitsstrategie. Wenn morgen eine perfidere, zielgerichtete Phishing-Mail (z. B. eine angebliche, dringende HR-Anweisung) in ihren Postfächern landet, wissen Sie nicht, ob diese Mitarbeitenden die Gefahr erkennen oder in die Falle tappen werden. Wer eine Bedrohung nur zufällig ignoriert, hat keine Resilienz aufgebaut und bleibt ein unkalkulierbares Risiko.

Lösung: Die Melderate als wertvollerer Indikator
Die Klickrate bleibt ein nützlicher Trendindikator um zu sehen, ob das Training grundsätzlich wahrgenommen wird. Für sich genommen ist sie jedoch kein verlässliches Mass für das tatsächliche Risiko. Um die Zahl besser interpretieren zu können, sollte zusätzlich die Öffnungsrate der E-Mails herangezogen werden (wer hat geöffnet, aber ignoriert?).
In der modernen IT-Sicherheit rückt jedoch die Melderate (Reporting Rate) in den Fokus.Ein Mitarbeitender, der nicht klickt, schützt nur sich selbst. Ein Mitarbeitender, der den «Phish-Alarm»-Button drückt, schützt das gesamte Unternehmen, weil die IT-Abteilung die Bedrohung sofort technisch für alle blockieren kann. Auch aus psychologischer Sicht ist die Melderate zielführender: Während Klickraten Fehler messen, misst die Melderate korrektes Verhalten.

Abschlussraten vs. Kompetenz

Neben der Klickrate wird auch die Abschlussquote von Lerneinheiten (Completion Rate) gerne als Metrik genutzt. Sie misst, wie viele Mitarbeitende ein Lernmodul beendet haben. Vereinfacht wird sie häufig so gelesen: 100 % Abschluss = 100 % sicher. Das ist jedoch ein Trugschluss, denn die Quote misst nicht, wie gut ein Thema wirklich verstanden wurde. Die Metrik sollte deshalb eher als Indikator für den generellen Stellenwert der Awareness-Massnahmen im Unternehmen genutzt werden.

Beispiel: Wenn die Abschlussquote in einer Abteilung (z. B. Verkauf) chronisch tief ist, während sie in der Buchhaltung bei 100 % liegt, ist das selten ein Wissensproblem. Es ist ein Führungsproblem. Interpretation: Die Mitarbeitenden im Verkauf erhalten offenbar das Signal, dass ihre Zeit für Akquise zu wertvoll für «Sicherheits-Spielereien» ist. Hier muss also nicht bei erneuten Schulungen, sondern beim Teamleiter angesetzt werden. Die Completion Rate zeigt uns, wo das Management das Thema Sicherheit nicht vorlebt.

Noch interessanter wird es, wenn wir untersuchen, wie lange es vom Versand der Schulung bis zum Abschluss dauert.

Beispiel: 100 % Abschlussquote innerhalb von 48 Stunden nach Versand. Interpretation: Das deutet entweder auf eine extrem hohe Sensibilisierung oder auf eine «Click-Through-Kultur» hin. Die Mitarbeitenden wollen eine Lerneinheit einfach abschliessen, indem sie möglichst schnell durch einen Test durchklicken. Erkenntnis: Hohe Completion Rate bei gleichzeitig hoher Klickrate in Simulationen ist ein Warnsignal. Die Inhalte werden konsumiert, aber nicht verarbeitet.

Lösungsansatz

Schauen Sie sich die Zahlen im Kontext an. Moderne Tools ermöglichen es zudem, eine Mindestpunktzahl für den Abschluss eines Moduls vorauszusetzen. Dies zwingt die Mitarbeitenden, sich genauer mit der Thematik auseinanderzusetzen. Hier gilt es jedoch, eine gute Balance zu finden. Eine zu hoch angesetzte Hürde kann zu Frustration führen. Wenn Mitarbeitende drei Versuche brauchen, sinkt die Akzeptanz für das gesamte Security-Programm rapide. Es ist daher wichtig, zusätzlich die Anzahl der Versuche pro Modul auszuwerten und bei Bedarf zu reagieren.


Falsche Vorgaben und Angst vor Fehlern


Zu vorsichtig bei Phishing-Simulationen

Die Geschäftsleitung oder das HR blockieren Szenarien, die auf Angst, persönlichen Krisen oder harten finanziellen Triggern (z. B. Bonusstreichungen, dringende Kündigungen) basieren, um das Betriebsklima nicht zu belasten. Das ist menschlich verständlich, ignoriert jedoch die Realität. Angreifer haben andere moralische Grenzen und nutzen exakt solche emotionalen Themen, um schnelle, unüberlegte Reaktionen zu provozieren. Ein Team wird nur dann resilient, wenn es lernt, auch unter echtem emotionalem Stress die Ruhe zu bewahren. Für ein effektives Awareness-Programm muss daher eine kontrollierte Dosis Stress genehmigt werden.


0%-Klickrate

Unternehmen wissen, dass ein falscher Klick ausreichen kann, damit ein Angriff erfolgreich ist. Deshalb wird gerne eine Klickrate von 0% bei Simulationen angestrebt. Dieses utopische Ziel führt in der Praxis jedoch dazu, dass Phishing-Simulationen künstlich vereinfacht werden. Es entsteht eine Kultur, in der Mitarbeitende Angst haben zu klicken, Fehler vertuschen oder sich gegenseitig über das Buschtelefon vor der aktuellen "IT-Falle" warnen.


Lösungsansatz: Daten verstehen und aktiv handeln

Der Fokus sollte nicht auf der Fehlervermeidung um jeden Preis liegen, sondern darauf, wie schnell ein Unternehmen auf einen solchen Fehler reagieren kann. Awareness-Programme liefern Unmengen an Daten. Wer das Maximum herausholen will, muss über die Kernmetriken hinausgehen. Stellen Sie sich konkrete Fragen:

  • Wer sind wiederkehrende "Klicker"? Finden Sie heraus, weshalb diese Personen immer wieder klicken. Liegt es an massivem Zeitdruck? Ergreifen Sie gezielte Massnahmen (Verbesserung der Arbeitssituation, zusätzliche persönliche Trainings oder Aufnahme von Security-Awareness in die Jahresziele).
  • Wo gibt es Diskrepanzen? Welche Teams und Rollen haben die tiefsten Phishing-Melde-Raten und weshalb?
  • Wie schnell ist die Organisation? Wo haben wir die höchste zeitliche Verzögerung zwischen dem Versand von Simulationen und dem Melden via Button?
  • Wo sind die blinden Flecken? Welche User nehmen weder an Lernmodulen noch an Phishing-Simulationen teil?


Sicherheit kann nicht einfach "eingekauft" werden, indem man eine Software-Lizenz bezahlt. Die Tools unterstützen Sie dabei, Awareness zu schaffen. Leben muss das Unternehmen das Thema jedoch als aktiven Teil der Firmenkultur. So lassen sich auch weiche Faktoren heranziehen, um den Erfolg zu messen: Werden verdächtige E-Mails plötzlich in der Kaffeepause thematisiert? Trauen sich Mitarbeitende, eine Nachricht lieber einmal zu viel als zu wenig zu melden? Und wird ein tatsächlicher Fehlklick sofort an die IT gemeldet, weil der Mitarbeitende weiss, dass er unterstützt und nicht bestraft wird?


Fazit

Wenn wir die Analysen von KPIs, Klickraten und Abschlussquoten zusammenfassen, drängen sich drei entscheidende Fragen auf: Wo passieren die Fehler, weshalb reduzieren wir damit das Risiko nicht und was funktioniert in der Praxis wirklich?

Wo passieren die Fehler im Awareness-Training?

Die grössten Fehler passieren bereits bei der Definition und Interpretation der Erfolgskennzahlen. Der gravierendste Fehler ist der blinde Fokus auf einfach messbare Metriken. Unternehmen betrachten eine 100%-Abschlussquote von Lerneinheiten fälschlicherweise als Beweis für Kompetenz und eine tiefe Klickrate als Zeichen für Sicherheit. Ein weiterer Fehler liegt in hindernden Vorgaben: Aus Angst vor schlechten Metriken oder aus Rücksicht auf das Betriebsklima werden Phishing-Simulationen künstlich entschärft. Damit trainiert man jedoch für eine Realität, die es in der echten Cyberkriminalität nicht gibt.


Weshalb wird das Risiko dadurch nicht reduziert?

Weil diese isolierten Metriken eine gefährliche Scheinsicherheit vermitteln. Eine hohe Abschlussquote in Rekordzeit deutet oft nicht auf Wissen, sondern lediglich auf eine «Click-Through-Kultur» hin. Die Inhalte werden konsumiert, aber nicht verstanden. Eine tiefe Klickrate wiederum ignoriert das Problem der "Silent Failures": Wenn 70% der Belegschaft eine Bedrohung schlicht ignorieren oder übersehen, bleibt das Unternehmen gefährdet. Würde eine Nachricht gemeldet werden, kann die IT entsprechend reagieren. Wenn Metriken das Verhalten fördern, Fehler aus Angst zu vertuschen statt sie zu melden, hat das Training sein Ziel verfehlt.


Was funktioniert wirklich?

  1. Daten in den Kontext setzen: Schauen Sie sich Ihre Daten im Kontext und nicht isoliert an. Hinterfragen Sie Ihre KPIs. Chronisch tiefe Abschlussquoten in bestimmten Abteilungen sind meist kein Wissens-, sondern ein Führungsproblem. Identifizieren Sie wiederkehrende "Klicker" und setzen Sie bei der Ursache an, anstatt blind neue Trainings zu verordnen.
  2. Eine unterstützende Fehlerkultur leben: Sicherheit kann man nicht durch Lizenzen einkaufen. Ein Mitarbeitender muss wissen, dass er bei einem Fehlklick unterstützt und nicht bestraft wird. Wer einen Fehler sofort meldet, handelt korrekt und schützt das Unternehmen.
  3. Realistischen Stress zulassen: Für ein effektives Training muss eine kontrollierte Dosis emotionaler Stress genehmigt werden. Nur wer lernt, auch unter Druck und bei realistischen Angriffs-Szenarien Ruhe zu bewahren, entwickelt echte Resilienz.
  4. Nachrichten melden: Das primäre Ziel muss sein, dass Mitarbeitende verdächtige Aktivitäten sofort melden. Genau diese Geschwindigkeit befähigt die IT-Abteilung, die Bedrohung für alle zu blockieren.

Physische Awareness?

Besuchen Sie unseren Awareness-Shop und werfen Sie einen Blick auf unsere erste Kollektion. Ob für Ihre Kampagne, Ihre Champions oder einfach zur Sichtbarmachung im Alltag. Unser Merch unterstützt Sie dabei, Awareness lebendig zu machen.

Shop erkunden
Tags :
Kategorien :