Verhaltensmetriken

1. Melden muss einfach sein: Es darf einen offensichtlichen Melde-Button geben. Wenn Nutzer überlegen müssen, ob sie eine E-Mail an den Helpdesk weiterleiten, ein Ticket eröffnen oder die IT anrufen sollen, werden sie die Nachricht stattdessen einfach ignorieren (Miss Rate steigt).
2. Belohnen statt bestrafen (Feedback-Loop): Wenn ein Nutzer eine Mail meldet und danach nie wieder etwas hört, stirbt das Verhalten aus. Erhält er hingegen ein sofortiges System-Feedback («Gut gemacht, das war ein Test!» oder «Danke, wir prüfen das!»), festigt sich die Gewohnheit.
   
3. Falschmeldungen normalisieren: Die Angst, falschzuliegen, ist der grösste Feind der Melderate. Kommunizieren Sie klar: Lieber eine legitime Newsletter-Mail zu viel gemeldet, als eine Phishing-Mail zu wenig.
   

Die Klickrate: Ein umstrittener Indikator

Die Klickrate wird oft als massgebliche Kennzahl für den Erfolg von Security-Awareness-Trainings herangezogen. Sie ist nicht per se schlecht, aber sie ist unvollständig. Wird sie isoliert betrachtet, vermittelt sie eine trügerische Sicherheit. Dies hat vor allem zwei Gründe:

1. Die Variabilität der Schwierigkeit

Die Klickrate ist stark abhängig von der Qualität der Simulation. Wenn Sie eine offensichtliche Phishing-Mail mit vielen Rechtschreibfehlern versenden, wird die Klickrate bei fast 0% liegen. Versenden Sie jedoch eine perfekt imitierte Nachricht eines bekannten Lieferanten, schnellt die Rate nach oben. Die Klickrate misst bei einfachen Tests also primär die Offensichtlichkeit der Simulation. Erst wenn die Szenarien maximal realitätsnah sind, wird sie zu einem echten Indikator für die Resilienz des Teams.

Abschlussraten vs. Kompetenz

Beispiel: 100 % Abschlussquote innerhalb von 48 Stunden nach Versand. Interpretation: Das deutet entweder auf eine extrem hohe Sensibilisierung oder auf eine «Click-Through-Kultur» hin. Die Mitarbeitenden wollen eine Lerneinheit einfach abschliessen, indem sie möglichst schnell durch einen Test durchklicken. Erkenntnis: Hohe Completion Rate bei gleichzeitig hoher Klickrate in Simulationen ist ein Warnsignal. Die Inhalte werden konsumiert, aber nicht verarbeitet.

Lösungsansatz

Schauen Sie sich die Zahlen im Kontext an. Moderne Tools ermöglichen es zudem, eine Mindestpunktzahl für den Abschluss eines Moduls vorauszusetzen. Dies zwingt die Mitarbeitenden, sich genauer mit der Thematik auseinanderzusetzen. Hier gilt es jedoch, eine gute Balance zu finden. Eine zu hoch angesetzte Hürde kann zu Frustration führen. Wenn Mitarbeitende drei Versuche brauchen, sinkt die Akzeptanz für das gesamte Security-Programm rapide. Es ist daher wichtig, zusätzlich die Anzahl der Versuche pro Modul auszuwerten und bei Bedarf zu reagieren.

Zu vorsichtig bei Phishing-Simulationen

0%-Klickrate

Unternehmen wissen, dass ein falscher Klick ausreichen kann, damit ein Angriff erfolgreich ist. Deshalb wird gerne eine Klickrate von 0% bei Simulationen angestrebt. Dieses utopische Ziel führt in der Praxis jedoch dazu, dass Phishing-Simulationen künstlich vereinfacht werden. Es entsteht eine Kultur, in der Mitarbeitende Angst haben zu klicken, Fehler vertuschen oder sich gegenseitig über das Buschtelefon vor der aktuellen "IT-Falle" warnen.

Lösungsansatz: Daten verstehen und aktiv handeln

Der Fokus sollte nicht auf der Fehlervermeidung um jeden Preis liegen, sondern darauf, wie schnell ein Unternehmen auf einen solchen Fehler reagieren kann. Awareness-Programme liefern Unmengen an Daten. Wer das Maximum herausholen will, muss über die Kernmetriken hinausgehen. Stellen Sie sich konkrete Fragen:

• Wer sind wiederkehrende "Klicker"? Finden Sie heraus, weshalb diese Personen immer wieder klicken. Liegt es an massivem Zeitdruck? Ergreifen Sie gezielte Massnahmen (Verbesserung der Arbeitssituation, zusätzliche persönliche Trainings oder Aufnahme von Security-Awareness in die Jahresziele).
• Wo gibt es Diskrepanzen? Welche Teams und Rollen haben die tiefsten Phishing-Melde-Raten und weshalb?
• Wie schnell ist die Organisation? Wo haben wir die höchste zeitliche Verzögerung zwischen dem Versand von Simulationen und dem Melden via Button?
• Wo sind die blinden Flecken? Welche User nehmen weder an Lernmodulen noch an Phishing-Simulationen teil?

Sicherheit kann nicht einfach "eingekauft" werden, indem man eine Software-Lizenz bezahlt. Die Tools unterstützen Sie dabei, Awareness zu schaffen. Leben muss das Unternehmen das Thema jedoch als aktiven Teil der Firmenkultur. So lassen sich auch weiche Faktoren heranziehen, um den Erfolg zu messen: Werden verdächtige E-Mails plötzlich in der Kaffeepause thematisiert? Trauen sich Mitarbeitende, eine Nachricht lieber einmal zu viel als zu wenig zu melden? Und wird ein tatsächlicher Fehlklick sofort an die IT gemeldet, weil der Mitarbeitende weiss, dass er unterstützt und nicht bestraft wird?

Fazit

Wo passieren die Fehler im Awareness-Training?

Die grössten Fehler passieren bereits bei der Definition und Interpretation der Erfolgskennzahlen. Der gravierendste Fehler ist der blinde Fokus auf einfach messbare Metriken. Unternehmen betrachten eine 100%-Abschlussquote von Lerneinheiten fälschlicherweise als Beweis für Kompetenz und eine tiefe Klickrate als Zeichen für Sicherheit. Ein weiterer Fehler liegt in hindernden Vorgaben: Aus Angst vor schlechten Metriken oder aus Rücksicht auf das Betriebsklima werden Phishing-Simulationen künstlich entschärft. Damit trainiert man jedoch für eine Realität, die es in der echten Cyberkriminalität nicht gibt.

Weshalb wird das Risiko dadurch nicht reduziert?

Weil diese isolierten Metriken eine gefährliche Scheinsicherheit vermitteln. Eine hohe Abschlussquote in Rekordzeit deutet oft nicht auf Wissen, sondern lediglich auf eine «Click-Through-Kultur» hin. Die Inhalte werden konsumiert, aber nicht verstanden. Eine tiefe Klickrate wiederum ignoriert das Problem der "Silent Failures": Wenn 70% der Belegschaft eine Bedrohung schlicht ignorieren oder übersehen, bleibt das Unternehmen gefährdet. Würde eine Nachricht gemeldet werden, kann die IT entsprechend reagieren. Wenn Metriken das Verhalten fördern, Fehler aus Angst zu vertuschen statt sie zu melden, hat das Training sein Ziel verfehlt.

Was funktioniert wirklich?

1. Daten in den Kontext setzen: Schauen Sie sich Ihre Daten im Kontext und nicht isoliert an. Hinterfragen Sie Ihre KPIs. Chronisch tiefe Abschlussquoten in bestimmten Abteilungen sind meist kein Wissens-, sondern ein Führungsproblem. Identifizieren Sie wiederkehrende "Klicker" und setzen Sie bei der Ursache an, anstatt blind neue Trainings zu verordnen.
2. Eine unterstützende Fehlerkultur leben: Sicherheit kann man nicht durch Lizenzen einkaufen. Ein Mitarbeitender muss wissen, dass er bei einem Fehlklick unterstützt und nicht bestraft wird. Wer einen Fehler sofort meldet, handelt korrekt und schützt das Unternehmen.
   
3. Realistischen Stress zulassen: Für ein effektives Training muss eine kontrollierte Dosis emotionaler Stress genehmigt werden. Nur wer lernt, auch unter Druck und bei realistischen Angriffs-Szenarien Ruhe zu bewahren, entwickelt echte Resilienz.
   
4. Nachrichten melden: Das primäre Ziel muss sein, dass Mitarbeitende verdächtige Aktivitäten sofort melden. Genau diese Geschwindigkeit befähigt die IT-Abteilung, die Bedrohung für alle zu blockieren.

• Link-Platzierung im Event (Beschreibung, Standort, Meeting-URL)
• Täuschend echte Konferenzdaten (z. B. «Teams Meeting» / «Google Meet»), die auf Fake-Login-Seiten führen

• Anhänge oder Follow-up-Nachrichten, die im Kontext «Meeting» weniger verdächtig wirken

• Mitarbeitende klicken erst später auf Links («Jetzt Meeting beitreten»).
• Der Eintrag wirkt «alt» und damit vertrauenswürdiger.
• Die Security-Response startet oft zu spät, weil der Trigger nicht mehr im Postfach sichtbar ist.

• akzeptiert wird
• im Kalender bleibt,
• und später unkritisch angeklickt wird.

• E-Mail und Chat- Konferenzsysteme
• Mobile Benachrichtigungen
• CRM-/Projekttools
• teils auch KI-gestützte Assistenten, die Inhalte zusammenfassen oder verarbeiten

Je mehr Systeme automatisch mitlesen oder verarbeiten, desto mehr Möglichkeiten entstehen für Datenabfluss, Session-Hijacking oder Credential Theft. TechRadar beschreibt z. B. eine Gemini-bezogene Schwachstelle im Zusammenspiel mit Kalender-Invites und Datenabfluss-Szenarien.

• MFA für alle Konten
• besonders streng für Admin- und VIP-Accounts
• Phishing-resistente Methoden bevorzugen (wo möglich)

• unerwartete Einladungen ohne Kontext
• «dringende» oder emotional formulierte Event-Titel
• Links in Beschreibung/Ort («Join now», «View document», «Security update»)
• Anhänge, die nicht angekündigt wurden

• via bekanntem Kanal (Telefon, Teams/Slack, interne Mailadresse aus dem Adressbuch)
• oder über die Assistenz/Projektleitung verifizieren

• Termin an IT/Security melden (Screenshot + Absender + enthaltene Links)
• Event aus dem Kalender löschen (und wenn möglich «Spam melden»)
• Kolleginnen und Kollegen warnen, falls es eine Kampagne sein könnte

• Einladungen mit Fake-Meeting-Links
• «Rechnung/Payroll»-Events mit Attachment
• Follow-up-Updates («Meeting agenda updated») mit Linktausch