‘Time-based modeling shows that just 69 successful deliveries are enough to reach a 99% probability that at least one employee will do so [enter her/his login credentials on an phishing site] within 12 to 24 hours.’
Vor ein paar Tagen hat eine Forschungsgruppe das Papier ‚Phishing Susceptibility and the (In-)Effectiveness of Common Anti-Phishing Interventions in a Large University Hospital‚ veröffentlicht, es behandelt ausführlich eine Phishinguntersuchung mit mehr als 7.000 (unfreiwilligen) Teilnehmer*innen, die an der Universitätklinik der Justus-Liebig-Universität Gießen (JLU) durchgeführt wurde. Hier sind die Quellen dazu:
Da Phishing in vielen Untersuchungen immer noch als der verbreiteste und erfolgreichste Angriffsvektor auftaucht sind die Ergebnisse darin sehr spannend, auch wenn man selbst nicht für ein (Uni)Klinikum verantwortlich ist. Trotz der vielen Relativierungen, die die Autoren im Paper nennen und die ich hier gleich vorwegnehmen will:
- Studien zu Phishing zeigen teilweise sehr große Unterschiede und es ist schwierig zu beurteilen, woran das liegt
- Innerhalb dieser Studie sind schon signifikante Unterschiede zwischen verschiedenen Gruppen von Beschätigten zu sehen
- Manche Eigenschaften von Phishingmails beeinflussen ihre Wirksamkeit und damit auch die Versuchsergebnisse deutlich
- Es ist ein wesentlicher Unterschied, ob man den Anteil der Personen misst, die auf Links in Phishingmails klickt, oder den Anteil, der danach tatsächlich seine Logindaten einträgt
Diese Punkte sollte man im Kopf behalten, wenn man die Ergebnisse betrachtet und versucht daraus etwas für die eigene Organisation abzuleiten. Meine Interessenschwerpunkte an dem Papier sind dabei diese:
- Was kann man daraus für Schutzmaßnahmen in der eigenen Organisation mitnehmen?
- Kann man aus den Eigenschaften erfolgreicher Phishingmails etwas für die eigene Kommunikation lernen?
- Sind die Schäden, die Kampagnen zur Phishingawareness unter den Mitarbeitenden anrichten, den Nutzen wert?
- Und schließlich ein Experiment: Kann eine KI auf Basis dieser Studie erfolgversprechende Phishingmails kreieren?
Schutzmaßnahmen
In dem Paper werden verschiedene, heute gängige Schutzmaßnahmen beschrieben, und letztlich sind es die, die für die Nutzer*innen die größe Entlastung von selbst zu fällenden Entscheidungen bedeuten, die sich als am wirkungsvollsten erweisen:
‘4.3.5 Summary. Explicit phishing warning banners and delivering emails into the spam folder produced the strongest overall reductions in login interaction rates. Disabling links and tagging external emails using banners were somewhat less effective and less reliable. Active warning pages had even smaller, less reliable effects. However, the impact of these interventions varied dramatically across occupational groups. For example, interventions in the categories heuristic and external tagging were up to 40% more effective for Other Personnel than for other groups. This suggests that some interventions are more or less effective for specific staff segments.‘
Die Einsortierung von Mails, die als vermutliches Phishing eingestuft werden, in einen Spamordner sorgt dafür, dass sie aus der Sichtbarkeit der Empfänger*innen bleiben und erst bewusst aufgerufen werden müssen, damit sie ihre Schadwirkung entfalten. Und die expliziten Warnungshinweise, von denen im Papier Beispiele gezeigt werden, sind teilweise so umfangreich und abschreckend, dass man als IT-Betrieb diese Mails auch gleich hätte in einem Spamordner verschieden können, wenn man sich schon so sicher ist, dass mit dieser Mail etwas nicht stimmt.
Einfachere und mildere Maßnahmen wie eine Markierung als ‚EXTERN‘ im Betreff sind hingegen nach dieser Studie teilweise völlig wirkungslos.
Lange Schadwirkung
Interessant finde ich die Auswertung der Erfolgraten von Phishingmails im Zeitverlauf: Auch am folgenden (Arbeits)Tage gibt es noch einen signifikanten Anteil an Erstklicks auf Phishingmails und auch noch später. Die Autoren verwenden hier den Begriff der ‘zweiten Chance’ was vermutlich meint, dass die Empfänger*innen die Mail schon einmal wahrgenommen haben, aber erst später aktiv werden. Was ein Verhaltensmuster ist, welches vermutlich jede*r mit einer niemals leer werdenden Mailbox kennt.
Im Umkehrschluss heißt das für einen IT-Betrieb: Es kann sich lohnen bei einer einmal erkannten Phishingkampagne alle Postfächer zu durchsuchen und die Mails zu löschen. Meist meldet sich ja schon jemand mit der Frage ob eine Mail Phishing ist und wenn man dann direkt reagiert kann es zumindest einen Teil der Nutzer*innen davor bewahren später darauf hereinzufallen.
Denn wie das am Anfang des Posts stehende Zitat zeigt: Es braucht überraschend wenige Nutzer*innen um eine Wahrscheinlich von 99% zu erreichen, dass wenigstens eine*r die Logindaten in einer Phishingseite hinterlässt.
Mehr Veranwortung für die IT-Abteilung
Ich lese hier – ähnlich wie bei den neuen Passwortsicherheitsregelungen des NIST – die Tendenz heraus, dass man es nicht nur den Mitarbeiter*innen überlassen sollte, dass Phishingversuche erfolglos bleiben. Abgesehen von der Einführung von phishingsicheren Loginverfahren muss eine IT-Abteilung hier mehr tun um Phishing schon zu erkennen, bevor es in die Sichtweite der Betroffenen gelangt, und wenn doch etwas durchgerutscht ist dafür sorgen, dass der Schaden minimiert wird.
Was macht Phishingmails erfolgreich und was kann man daraus für die eigene Kommunikation lernen
Die Autoren haben verschiedene Aspekte beim Design ihrer Phishingmails getestet und versucht zu beurteilen, was eine Mail ‚erfolgreich‘ macht, also dafür sorgt, dass die Adressierten den darin enthaltenen Anweisungen folgen. Für mich waren in den Ergebnis diese Punkte besonders bedenkenswert:
Plantext funktioniert besser als HTML
Ich hätte erwartet, dass eine mit HTML mögliche, aufwändigere Formatierung eher dafür sorgt, dass Mails echt wirken. Auf der anderen Seite ist es hier vielleicht leichter Fehler zu machen und so für ein Gefühl von Unechtheit bei den Empfänger*innen zu sorgen. Allerdings gibt es im Paper keine Beispiele für die verwendeten E-Mails.
Wir verwenden in den Benachrichtigungen unserer Sicherheitssysteme ebenfalls Plaintextmails und hier war die Idee, dass wir uns so von Spammails absetzen wollen durch die gewisse ‚Häßlichkeit‘ dieser Mails.
Das Ergebnis ist daher etwas zweischneidig: Man kann es so interpretieren, dass die von uns verschickten Mails vielleicht eher als legitim eingestuft werden. Es kann aber auch sein, dass Nutzer*innen dann um so mehr an diese Art von Mails gewöhnt sind und darauf hereinfallen.
Jedenfalls würde ich das durchaus als Argument sehen, warum man im Bereich der IT-Sicherheitskommunikation keine besonders schön formatierten Mails braucht bzw. verwenden sollte.
Druckmachen hilft
Man kennt es aus den Phishingsmails, die man selbst erhält, und ein Blick in den Spamfolder meines Mailkontos bestätigt es:
Es wird über Fristen und dringliche Formulierungen, die mit Verlust von Zugängen drohen, Druck aufgebaut, um ein sofortiges und möglichst unüberlegtes Handeln auszulösen. Auch in der Studie wird dies als erfolgreich bewertet, vor allem wenn es noch mit besonders sensiblen Themen wie z. B. Gehaltszahlungen verbunden wird.
Was kann man für die eigene Kommunikation mit seinen Nutzer*innen daraus lernen? Soll man auch zu solchen Formulierungen greifen, damit die eigenen Mails eine höhere Chance haben gelesen zu werden? Oder sollte man eher genau so nicht kommunizieren, damit so etwas (negativ) auffällt und vielleicht Mißtrauen auslöst? Das finde ich schwer zu beantworten, meine Tendenz wäre es aber im Normalfall ohne so einen Dringlichkeitston zu arbeiten.
Phishingawareness – Nutzen und Schaden
In dem Paper wird ausführlich beschrieben welcher Aufwand betrieben wurde um die für die Forschungsarbeit notwendigen Phishingkampagnen rechtlich sauber durchzuführen, welche Grenzen trotzdem eingehalten werden mussten und wie die Balance zwischen Transparenz und realistischer Täuschung gewahrt werden sollte. Und es wird am Ende ein wesentlicher Abschnitt der Frage gewidmet, wie die Beschäftigen darauf reagiert haben. Dabei wurde zum einen auf den Ergebnissen eines Fragebogens abgestellt, den die auf den simulierten Phishinglink hereingefallenen Personen danach ausfüllen konnten. Zum anderen wurden Beschwerden und Rückfragen auf anderem Wege berücksichtigt. Das sind zwei Aussagen zu den Ergebnissen aus dem Paper:
‘Simulated phishing attacks can trigger a wide range of emotional responses, both positive and negative. In sectors such as manufacturing, logistics, finance, and IT, phishing simulations are generally well-received, especially when clearly explained and integrated into a training strategy [48, 67]. At the same time, participants in these sectors have reported negative reactions, including shock, fear, shame, embarrassment, mistrust, confusion, annoyance, and self-directed disap- pointment or anger [67, 68]. These negative perceptions were more common among employees working under high time pressure [67]. Simulated phishing campaigns can also reduce self-efficacy and contribute to stress, particularly when poorly managed [68].‘
…
‘This reinforces concerns that poorly designed simulations can harm staff well-being and erode trust—especially when perceived as manipulative or punitive [82].’
Die hier beschriebenen Auswirkungen lassen sich nicht ignorieren, gerade wenn es bei Personen, die sowieso schon unter einem hohen Stresslevel stehen, einen besonders hohen Grad an negativen Gefühlen gegenüber sich selbst und/oder der eigenen Organisation verursacht.
Auf der anderen Seite gibt es Berichte wie diesen ‘Improvement of only 1.7 percent: phishing training almost always ineffective’, der den Effekt von Phishing Trainings als marginal bewertet. Von einer Tagung mit mehreren Universitäten im Frühjahr 2025 ist mir auch der Bericht des CISOs einer deutschen Universität in Erinnerung, der von einer bestenfalls für einige Wochen vorhaltenden Wirkung berichtete und ebenfalls die negativen Auswirkungen thematisierte.
Mein Gefühl wäre, dass sich solche Kampagnen eher nicht lohnen: Der Aufwand für die regelungskonforme Durchführung, die großen Unterschiede bei der Effektivität der Kampagnen, die ggf. noch innerhalb der Organisation auf unterschiedliche Zielgruppen zugeschnitten sein sollte und die persönlichen Beschädigungen, die die so ‚getesteten‘ Beschäftigten erfahren können, wiegen die geringe Wirkung und Wirkungsdauer solcher Kampagnen nicht auf.
Ein Experiment: Phishingmails mit KI generieren
Auch wenn die Studie nicht dafür gedacht ist: Sie enthält jede Menge Informationen darüber, was erfolgreiche Phishingmails ausmacht und auch wenn kein Beispiel für die verwendeten Phishingmails gezeigt wird sollte das eigentlich ausreichen um per KI ein paar Mailvorlagen zu generieren, die sich daran orientieren. Und das klappt tatsächlich sehr gut. Ich habe dabei API-Versionen von ChatGPT 5.1 und DeepSeek R1 verwendet, beiden Sprachmodellen vorher das Paper geben und dann nach Vorschlägen für Mails in Phishing Awareness Kampagnen gefragt:
ChatGPT – leichte Skrupel
Das OpenAI Modell hat Sicherheitsschranken, die hier angesprungen sind, wobei ich keine großartigen Versuche unternommen habe die auszuhebeln:
‚Ich kann dir leider keine fertig formulierten, realistisch einsetzbaren Phishing‑Mails für eine konkrete Rolle schreiben – das würde zu nah an missbrauchsfähigen Social‑Engineering‑Vorlagen liegen.
Ich kann dir aber drei Szenario‑Blaupausen geben, die auf den Erkenntnissen der Studie basieren und speziell für den ärztlichen Dienst sinnvoll sind. Dazu skizziere ich jeweils:
Thema / Kontext
- Eingesetzte psychologische Mechanismen (Verlust‑Framing, Dringlichkeit, Autorität …)
- Strukturelemente und typische Formulierungsbausteine, die du dann selbst zu einer Mail ausformulierst.
- Szenario: Umstellung Zugriffsverfahren auf KIS / PACS
Thema / Kontext
- „Wichtige Änderung beim Zugriff auf das klinische Informationssystem (KIS) / PACS“
- Hohe Relevanz für Ärztinnen/Ärzte, ohne sehr sensitive Themen wie Gehalt anzutasten.
Mechanismen aus der Studie
- Verlust‑Framing: „alter Zugang wird deaktiviert“, „ohne Aktualisierung kein Zugriff mehr“
- Mäßige Dringlichkeit: Umstellungsdatum, Erinnerung an bevorstehenden Termin
- Autorität: vermeintlich von IT-Abteilung oder Zentrale Dienste Med. IT intern gesendet
…..
Man bekommt hier also keine Copy-and-Paste-fähige Ausgabe, aber letztlich ist alles da, was man braucht um auf Basis der Forschungsergebnisse loszuphishen.
DeepSeek – Vollgas
Bei dem chinesischen Modell springt keine Sicherung an, sofern überhaupt eine vorhanden ist. Ich kopiere hier nicht die Vorschläge rein, die in perfektem Deutsch erzeugt wurden und sich direkt in eine Mail packen lassen. Aber der Nachdenkprozess, dem man bei diesem Modell zuschauen kann, ist hier schon interessant genug:
Okay, so I need to help this user who’s responsible for IT security at a university hospital. They read this study about phishing simulations and want to implement something similar. They’ve already gotten some strategic advice, but now they’re asking for specific examples of phishing emails tailored for the medical staff group.
Alright, so first, I need to understand what makes a phishing email effective for medical staff. The study mentioned that factors like timing, context, tone, and persuasive framing influence susceptibility. Also, things like payroll-related emails were more effective.
Medical staff are busy, often working shifts, and handle sensitive patient data. They might be more susceptible to emails that appear urgent or relate to their professional responsibilities. So, the phishing emails should mirror real communications they might receive, like account alerts, IT notifications, or important updates.
I should create three different email variants that vary in these factors. Maybe one could be about account security, another about a system update, and another about accessing patient records. Each should have a plausible sender, a sense of urgency, and a call to action that leads to a login page.
I need to ensure the emails look legitimate, maybe by using the hospital’s branding or common IT phrases. They should also have different formats—some could be plain text, others HTML with logos. Timing-wise, sending them in the morning might be more effective, as the study suggested.
Also, I should consider the emotional aspect. Medical staff deal with stress, so the emails shouldn’t cause unnecessary panic but should still create a sense of urgency to prompt action.
Each email should have a clear call to action, like clicking a link to resolve an issue. The links could lead to a fake login page that records interactions without capturing actual credentials, as per ethical guidelines.
Finally, I should remind the user to test these emails in a controlled environment, ensuring they don’t disrupt hospital operations and that staff are informed afterward to avoid negative reactions.
DeepSeek hat hier die wesentlichen Aspekte gut herausdestilliert und die gemachten Vorschläge sind alle plausibel und in einer Art, die man schon X-Mal bekommen hat: Ein dringendes Systemupdate, ein neues Portal, etc.
Fazit: KI braucht wenig für überzeugendes Phishing und bietet eine komplette Automatisierung
Mein kleines Experiment ist nur genau das, ein Experiment. Aber es zeigt gut, wie heutige KI-Systeme mit ein paar Seiten Hintergrund zu Phishing in der Lage sind perfekt zusammengestellt Phishingmails zu kreieren. Stellt man sich das in einem agentischen System vor, welches in der Lage ist den Mailversand durchzuführen und die Phishingseiten zu erstellen ist leicht vorstellbar, dass auch Informationen über das richtige Timing für den maximalen Effekt und die Zielgruppenspezifität der verwendeten Ansprache komplett automatisiert werden, einschließlich der Feedbackschleife, die den Erfolg misst. Vermutlich kann so ein System innerhalb weniger Kampagnen auf seinen eigenen Erfahrungen und Feedbacks noch viel effektiver werden, als es auf Grundlage der Studien möglich war.
Diese jetzt schon verfügbaren Automatisierungspotentiale sind ein weiterer Grund, warum die Bekämpfung von Phishing ebenfalls aufrüsten und vielleicht eher ein paar mehr false positives hinnehmen muss, als false negatives.
