Die Uhr tickt: Warum Phishing auch im Jahr 2025 die wichtigste Cyber-Bedrohung bleibt

Cybersicherheitsexperten sehen sich mit einer zunehmend aggressiven Phishing-Bedrohungslandschaft konfrontiert. Der „KnowBe4 Phishing By Industry Benchmarking Report 2025” macht eines ganz deutlich: Es ist von entscheidender Bedeutung, Ihre größte Angriffsfläche – Ihre Mitarbeiter – in Ihre wichtigste Sicherheitsresssource zu verwandeln.

49 Sekunden bis zur Katastrophe
Laut dem „Verizon Data Breach Investigations Report“ (DBIR) benötigt jemand im Durchschnitt erstaunliche 21 Sekunden, um auf einen bösartigen Link zu klicken. Wenn diese Phishing-E-Mail den Mitarbeiter zur Eingabe von Daten, wie beispielsweise Anmeldedaten, auffordert, dauert der gesamte Vorgang nur 49 Sekunden.

Das bedeutet, dass Sicherheitsteams weniger als eine Minute Zeit haben, um einen potenziell katastrophalen Fehler zu verhindern, sobald eine Phishing-E-Mail geöffnet wurde.

Diese Dringlichkeit wird durch den Anstieg des Phishing-Volumens und der Raffinesse noch verstärkt. So ergab der KnowBe4-Bericht über Phishing-Bedrohungen einen Anstieg des Phishing-E-Mail-Volumens um 17,3 Prozent, während die Zahl der Angriffe, die sichere E-Mail-Gateways (SEGs) und native Sicherheitsmechanismen umgehen, um 47 Prozent zunahm. Herkömmliche Abwehrmaßnahmen haben es schwer und die Angreifer werden immer besser darin, durch die Lücken zu schlüpfen.

Gamechanger KI
Es überrascht nicht, dass die künstliche Intelligenz (KI) diese Entwicklung vorantreibt. Tatsächlich verwendeten 82,6 Prozent der vom Bedrohungsforschungsteam von KnowBe4 analysierten Phishing-E-Mails eine Form von KI. Diese E-Mails sind überzeugender, schwieriger zu erkennen und schneller zu erstellen. Durch die Fähigkeit, den Tonfall anzupassen, sich als Personen auszugeben und der musterbasierten Erkennung zu entgehen, machen KI-generierte Phishing-E-Mails einige der bestehenden E-Mail-Abwehrsysteme überflüssig.

Neben der KI gibt es weitere Faktoren, die zum Phishing-Risiko beitragen. Dazu zählen die wachsende Bedrohung durch Business Email Compromise (BEC), insbesondere innerhalb von Lieferketten, sowie die uneinheitliche Natur der digitalen Transformation, durch die Unternehmen angreifbar werden. Doch der beständigste Faktor bleibt unverändert: das menschliche Verhalten.

Einer von drei Klicks
Die Analyse der Phishing-Anfälligkeit (PPP) von KnowBe4 zeigt den Prozentsatz der Benutzer, die wahrscheinlich auf eine Phishing-E-Mail hereinfallen, und offenbart einen besorgniserregenden Trend. Über alle Unternehmen hinweg beträgt der durchschnittliche PPP vor einer Schulung 33,1 Prozent. Das bedeutet, dass ein Drittel der Mitarbeiter auf potenziell gefährliche Links klickt.

Einige Branchen schneiden jedoch noch viel schlechter ab. An der Spitze liegen das Gesundheitswesen und die pharmazeutische Industrie mit einem PPP von 41,9 Prozent, dicht gefolgt von Versicherungen mit 39,2 Prozent und dem Einzel- und Großhandel mit 36,5 Prozent. Am anderen Ende des Spektrums liegen einige Branchen mit etwas besseren Quoten: Behörden (28,2 Prozent), Rechtswesen (28,5 Prozent) und Transportwesen (29,9 Prozent). Aber auch sie bewegen sich gefährlich nahe an der 30-Prozent-Marke.

Je größer die Organisation, desto höher das Risiko
Die Unternehmensgröße spielt eine entscheidende Rolle bei der Anfälligkeit für Phishing. Größere Unternehmen haben nicht nur mehr Postfächer, auf die Phishing-Angriffe abzielen können, sondern stehen auch vor der größeren Herausforderung, ein einheitliches Bewusstsein bei Tausenden von Mitarbeitern zu schaffen. Es überrascht daher nicht, dass Unternehmen mit mehr als 10.000 Mitarbeitern mit 40,5 Prozent die höchste Basis-PPP aufwiesen. Diese Zahl sinkt auf 33,7 Prozent bei Unternehmen mit 1.000 bis 9.999 Mitarbeitern, auf 28,7 Prozent bei Unternehmen mit 250 bis 999 Mitarbeitern und auf nur 24,6 Prozent bei den kleinsten Unternehmen mit ein bis 249 Mitarbeitern.

Trotz des erhöhten Risikos zeigen die Daten einen Silberstreif am Horizont: Gezieltes Security-Awareness-Training (SAT) ist außerordentlich wirksam.

Schulung wirkt: Globale PPP sinkt dramatisch
Nach nur 90 Tagen Best-Practice-Schulung sank die globale PPP um 40 Prozent auf 19,8 Prozent. Die wahre Magie geschieht jedoch erst mit langfristigem Engagement. Nach einem Jahr kontinuierlicher Schulungen sank die durchschnittliche PPP um86 Prozent auf 4,1 Prozent. Nach zwei bzw. drei Jahren kontinuierlicher Verstärkung verbesserten sich die Zahlen sogar noch weiter und sanken auf 3,7 bzw. 3,6 Prozent.

Dies ist kein Zufall und kein Wunder für eine einzelne Branche – in jeder Branche gab es eine deutliche und nachhaltige Verbesserung.

Unternehmen (10.000+ Mitarbeiter): Von 40,5 Prozent auf einen einstelligen Prozentsatz
Anfangs waren vor allem große Unternehmen in bestimmten Branchen am meisten gefährdet. In den Bereichen Gesundheitswesen und Pharmazie sowie Versicherungen fielen jeweils mehr als 53 Prozent der Mitarbeitenden zunächst auf Phishing-Versuche herein. Nicht weit dahinter lagen Non-Profit-Organisationen (49,2 Prozent) und der Einzel- und Großhandel (47 Prozent).

Doch gerade diese Branchen machten nach der Schulung die größten Fortschritte. Im Durchschnitt verbesserten große Unternehmen ihre Phishing-Resistenz um 86,8 Prozent. Spitzenreiter war das Gastgewerbe, das seinen PPP um 93 Prozent auf nur noch 2,4 Prozent senken konnte. Die Beratungsbranche und das verarbeitende Gewerbe erreichten 92 Prozent, Finanzdienstleistungen und Banken jeweils 91 Prozent. Sogar der als risikoreich geltende Gesundheitssektor konnte seine PPP um 90 Prozent senken – ein bemerkenswerter Umschwung!

Große Organisationen (1.000-9.999 Mitarbeiter): Konsistente Verbesserung
Organizations with 1,000 to 9,999 employees started with a baseline PPP of 33.7%, with elevated risks in Healthcare (41.1%), Banking (39.5%), Financial Services (38.4%), and Energy & Utilities (37.2%).

Nach einer einjährigen Schulung erreichte diese Gruppe mit einer durchschnittlichen Verringerung um 87 Prozent die gleiche Verbesserungsrate wie die größten Unternehmen. Die niedrigste Klickrate nach der Schulung verzeichneten mit 3,1 Prozent die Unternehmen der Rechtsbranche, während das Gesundheitswesen, die Pharmaindustrie und das Gastgewerbe jeweils eine Verbesserung um 91 Prozent erzielten. Selbst Branchen mit hohem Anfangsrisiko, wie das Bankwesen und der Energiesektor, erzielten erhebliche Fortschritte. Dies beweist, dass Schulungen in mittelgroßen Unternehmen ebenso effektiv durchgeführt werden können.

Mittelgroße Organisationen (250-999 Mitarbeiter): Widerstandsfähigkeit mit weniger Ressourcen
Auch in kleineren Organisationen ist das Risiko von Phishing-Angriffen nach wie vor weit verbreitet. Der durchschnittliche Basis-PPP dieser Gruppe lag bei 28,7 Prozent, wobei mehrere Branchen die 30-Prozent-Schwelle überschritten, darunter Non-Profit-Organisationen, Versicherungen und das Baugewerbe.

Trotz ihrer geringeren Ressourcen zeigten diese Organisationen starke Verbesserungen durch Schulungen. Die durchschnittliche Risikoreduzierung lag bei 85,6 Prozent. Der Bankensektor stach erneut hervor, indem er sein PPP um 91,8 Prozent senkte und einen Wert von nur 2,5 Prozent erreichte. Weitere Spitzenreiter waren das Baugewerbe mit 89 Prozent, der Energie- und Versorgungssektor mit 88 Prozent und das verarbeitende Gewerbe mit 87 Prozent.

Die kleinsten Organisationen (1-249 Mitarbeiter): Niedrige Ausgangswerte, hohe Gewinne
Auf den ersten Blick scheinen die kleinsten Organisationen mit einem Basis-PPP von 24,6 Prozent am sichersten zu sein. Das bedeutet jedoch, dass immer noch jeder vierte Mitarbeiter gefährdet ist – und Angreifer wissen das.

Die höchsten Ausgangsraten in dieser Gruppe verzeichneten Non-Profit-Organisationen mit 27,5 Prozent, gefolgt vom Gesundheitswesen und der Pharmaindustrie mit 26,9 Prozent sowie dem Bildungswesen mit 26,6 Prozent. Doch auch hier machte eine konsequente Schulung den Unterschied. So senkte das Bankwesen seine PPP um 90 Prozent, sodass nur noch zwei Prozent der Mitarbeitenden auf Phishing-Links klicken.

Weitere Spitzenreiter waren die Bereiche Transport, Bau und Bildung mit einer durchschnittlichen Verbesserungsrate von jeweils 87 Prozent.

Fazit: Menschen sind die Grenze
In einer Welt, in der Phishing-E-Mails so gestaltet werden, dass sie herkömmliche Erkennungsmechanismen umgehen und innerhalb von Sekunden bearbeitet werden können, sind Ihre Mitarbeiter die letzte Verteidigungslinie. Die Ergebnisse des Phishing-Berichts von KnowBe4 unterstreichen, dass bisherige Ansätze nicht ausreichen. Die Kombination aus KI-gestützten Angriffen und menschlichem Versagen macht herkömmliche Schutzmaßnahmen unwirksam.

Doch es gibt auch eine gute Nachricht: Das Verhalten kann geändert werden. Unternehmen aller Branchen und Größenordnungen haben bewiesen, dass sie das Phishing-Risiko innerhalb eines Jahres um mehr als 85 Prozent senken können, wenn sie das Sicherheitsbewusstsein strategisch und kontinuierlich schulen. Besser noch: Dieser Fortschritt verstärkt sich mit der Zeit.

Im Rahmen eines effektiven menschlichen Risikomanagements wird dieses Training mit verhaltensbasierter Bedrohungserkennung kombiniert. Ein Beispiel hierfür ist die KI-gestützte E-Mail-Sicherheit, die die neuesten Bedrohungsdaten und tiefgreifende Verhaltensanalysen nutzt, um ein breiteres Spektrum an Bedrohungen zu erkennen und zu verhindern als herkömmliche Sicherheitslösungen. Diese Produkte bieten Echtzeit-Erkennung und -Schulung, sodass Mitarbeiter sicherer als je zuvor arbeiten können.

Wenn Sie eine Sicherheitskultur aufbauen möchten, sollten Sie den Phishing-Schutz nicht als einmalige Maßnahme betrachten. Betrachten Sie ihn als langfristige Verpflichtung – eine, die sich nicht nur durch verbesserte Kennzahlen, sondern auch durch weniger Sicherheitsverletzungen, besseren Schutz und letztendlich mehr Sicherheit auszahlt.

Die vollständige Analyse für 19 Branchen und sieben geografische Regionen finden Sie im vollständigen Bericht.