Security Awareness Programme sind leicht durchzuführen... aber deutlich schwerer in ihrer Wirksamkeit nachzuweisen.
Trainingsabschlussquoten und Phishing-Klickraten zeigen Aktivität , aber sie beantworten nicht die Frage, die das Management wirklich interessiert: Reduziert dieses Programm das Human Risk?
Um nachzuweisen, dass Security Awareness funktioniert, braucht es einen anderen Satz von Signalen: Metriken, die zeigen, wie Mitarbeitende sich verhalten, wenn eine verdächtige Nachricht im Posteingang landet.
Warum die Fehlerquote als Security Awareness Metrik unvollständig ist
Die Phishing-Fehlerquote wurde zur Standardmetrik für Awareness-Programme, weil sie leicht verständlich und leicht berichtbar ist.
Security Awareness ausschließlich über Klickraten zu messen, erzeugt jedoch ein verzerrtes Risikobild. Der Fokus liegt auf isolierten Fehlern, statt darauf, wie Mitarbeitende tatsächlich auf verdächtige Nachrichten reagieren.
1. Sie misst Fehler, nicht Verteidigung
Die Fehlerquote beantwortet eine einzige Frage: Hat jemand auf den simulierten Angriff geklickt? Die eigentlich relevante Frage lautet jedoch, ob Mitarbeitende Bedrohungen erkennen und melden.
Das Melden ist operativ weit wertvoller. Wenn Mitarbeitende eine Phishing-E-Mail melden, helfen sie Sicherheitsteams, Bedrohungen früher zu erkennen und andere zu schützen.
Leistungsstarke Awareness-Programme verfolgen defensives Verhalten und nicht nur Fehler.
2. Sie verbirgt nicht engagierte Nutzende
Die Fehlerquote teilt Nutzende üblicherweise in zwei Gruppen ein:
- Haben auf die Phishing-E-Mail geklickt
- Haben die Phishing-E-Mail gemeldet
Es gibt jedoch eine dritte Gruppe, die oft ignoriert wird: Nutzende, die nichts tun. Sie löschen die E-Mail, ignorieren sie oder übersehen sie vollständig.
Aus Risikoperspektive ist diese Gruppe wichtig, weil ihr Verhalten unbekannt ist. Wäre die Nachricht ein realer Angriff gewesen hätten sie gemeldet? Ignoriert? Später mobil geklickt?
Die Fehlerquote erfasst dieses Risiko überhaupt nicht.
3. Sie lässt sich leicht manipulieren
Die Fehlerquote kann – auch unbeabsichtigt – durch das Design der Simulationen verzerrt werden. Sie lässt sich beispielsweise senken durch:
- Offensichtliche Phishing-E-Mails
- Vorhersehbare Vorlagen
- Unrealistische Angriffe
- Zu einfache Simulationen
Die Metrik sieht dadurch besser aus, ohne dass sich die reale Resilienz verbessert.
4. Reale Angreifende interessieren sich nicht für die Metrik
Angreifende verschicken keine Phishing-E-Mails im „Trainingsstil". Sie senden realistische Angriffe wie:
- Lieferantenrechnungs-Betrug
- Credential-Harvesting-Seiten
- Nachrichten mit Executive-Imitation (CEO Fraud)
- Mehrkanal-Angriffe über Teams, Slack, SMS oder WhatsApp
Programme, die auf die Fehlerquote optimiert sind, trainieren Mitarbeitende oft darauf, Vorlagen zu erkennen – nicht reale Angriffe. Deshalb sehen viele Teams ein frustrierendes Muster: Trainingsmetriken verbessern sich, aber Vorfälle nehmen nicht ab.
Defensives Verhalten messen, nicht nur Fehler
Statt zu fragen: „Wer hat geklickt?"
Fragen reifere Programme: „Wer hat die Bedrohung erkannt und gemeldet?"
Diese Verschiebung führt zu einem besseren Metrikenkatalog:
- Meldequote
- Zeit bis zur Meldung
- Miss Rate
- Reduktion der Wiederholungsklickenden
Diese Metriken zeigen, ob Mitarbeitende tatsächlich Teil der Verteidigung der Organisation werden.
Welche Security Awareness Metriken zeigen tatsächlich Verhaltensänderung?
Wenn die Fehlerrate allein nicht ausreicht... was sollte stattdessen gemessen werden?
Die meisten Awareness-Programme verfolgen zahlreiche Aktivitätsmetriken:
- Trainingsabschlüsse
- Kursergebnisse
- Anzahl versendeter Simulationen
Diese Metriken zeigen, dass ein Programm läuft, aber nicht, ob sich das Risiko verändert.
Sicherheitsverantwortliche wechseln daher zunehmend zu Verhaltensmetriken. Diese erfassen, was Mitarbeitende tatsächlich tun, wenn sie auf eine verdächtige Nachricht stoßen.
Warum Verhaltensmetriken operativ wichtig sind
Verhaltensmetriken sind nützlich, weil sie direkt auf reale Angriffsergebnisse abbilden:
- Melderate → bestimmt, wie oft Bedrohungen an Sicherheitsteams gemeldet werden
- Zeit bis zur Meldung → bestimmt, wie schnell Vorfälle eingedämmt werden können
- Miss Rate → deckt nicht engagierte Nutzende auf, die Angriffe ignorieren könnten
- Wiederholungsklickende → identifiziert konzentriertes Risiko bei einer kleinen Nutzendengruppe
Statt isolierte Kampagnenergebnisse zu betrachten, zeigen diese Metriken, wie die menschliche Erkennungsebene performt.
Genau das ist das eigentliche Ziel von Security Awareness: nicht nur, Fehler zu vermeiden, sondern Mitarbeitende zu einem Frühwarnsystem für Angriffe zu machen.
Melderate: Der Beweis, dass Mitarbeitende Bedrohungen erkennen
Wer nur Klicks misst, misst den Moment, in dem jemand die Arbeit des Sicherheitsteams erschwert. Die Melderate misst den Moment, in dem Mitarbeitende sie erleichtern.
Deshalb kommen Praktikerinnen und Praktiker immer wieder auf diese Kennzahl zurück: Phishing ist das Eine, worauf Mitarbeitende reagieren und das Melden ist das eine Verhalten, das tatsächlich Ergebnisse verändert.
Was „Melderate" konkret bedeutet
- Simulations-Melderate = Anteil der gemeldeten simulierten Phishing-E-Mails
- Real-Threat-Melderate = Anteil verdächtiger echter E-Mails, die Mitarbeitende melden (auch wenn manche False Positives sind)
Beide sind relevant, beantworten aber unterschiedliche Fragen:
- Simulations-Melderate = Wird der Reflex gelernt?
- Real-Threat-Melderate = Wird der Reflex in der Praxis angewendet?
Warum das Management die Meldequote sofort versteht
Weil sie sich leicht übersetzen lässt:
- Höhere Meldequote = mehr Früherkennung
- Mehr Früherkennung = geringere Verweildauer der Angreifenden (Dwell Time)
- Geringere Verweildauer = kleinerer Schadensradius
Selbst Führungskräfte ohne Security-Hintergrund verstehen das. Die Botschaft lautet: Die eigene Belegschaft hilft, Bedrohungen früher zu erkennen, als es Tools allein könnten.
Der verborgene Grund für die Stärke der Meldequote: Sie skaliert die Verteidigung
Wenn eine Person schnell meldet, lassen sich oft viele schützen:
- Das Sicherheitsteam untersucht schneller
- Das Unternehmen wird schneller gewarnt
- Ähnliche Nachrichten werden schneller entfernt
- Die Wahrscheinlichkeit sinkt, dass die nächste Person klickt
Genau deshalb bewegen „Bleiben Sie wachsam"-Appelle nichts: Mitarbeitende brauchen eine einfache, wiederholbare Handlung. Das Melden ist diese Handlung.

Was die Meldequote verzerren kann (und vermieden werden sollte)
- Zu viele Melde-Buttons → Nutzende wissen nicht, wo sie klicken sollen; die Melderate bleibt niedrig, selbst wenn die Awareness steigt
- Keine Feedback-Schleife → Nutzende melden und hören nichts zurück; das Verhalten verfestigt sich nicht (Menschen wollen wissen, ob sie richtig gehandelt haben)
- Bestrafender Ton → Nutzende fürchten, falsch zu liegen, und hören auf zu melden (oder melden nur bei 100 % Sicherheit)
Bei niedriger Meldequote sollte nicht angenommen werden, dass Nutzenden das Thema egal ist. Oft trainiert das System sie unbeabsichtigt darauf, nicht zu melden.
Zwei praktische Wege, die Meldequote ohne mehr Training zu steigern
- Das Melden zu einem einzigen Reflex machen: Ein eindeutiger Button. Ein Ort. Eine konsistente Botschaft: „Im Zweifel melden."
- Melden belohnen, statt nur Klicken zu bestrafen: Fühlt sich die Kultur nach „Erwischt!" an, verstecken sich Mitarbeitende. Fühlt sie sich nach „Danke!" an, melden sie.
Zeit bis zur Meldung: Wie schnell Bedrohungen das Sicherheitsteam erreichen
Die Meldequote zeigt, ob Mitarbeitende Bedrohungen melden. Die Zeit bis zur Meldung zeigt, wie schnell diese Signale beim Sicherheitsteam ankommen.
Bei realen Angriffen zählt Geschwindigkeit. Der Unterschied zwischen einer Meldung nach 60 Sekunden und nach 6 Stunden kann darüber entscheiden, ob eine Phishing-Kampagne ein eingedämmter Vorfall bleibt oder zu einer flächendeckenden Kompromittierung wird.
Warum Geschwindigkeit bei der Phishing-Erkennung entscheidend ist
Phishing-Angriffe zielen typischerweise auf viele Mitarbeitende gleichzeitig.
Meldet eine Person schnell, lässt sich:
- Die Nachricht untersuchen
- Nach ähnlichen E-Mails in allen Postfächern suchen
- Schädliche E-Mails automatisch entfernen
- Der Rest der Organisation warnen
Die erste Meldung kann so faktisch alle anderen schützen. Deshalb reduziert schnelles Melden die Auswirkungen von Phishing-Kampagnen drastisch.
Wie eine gute Zeit bis zur Meldung aussieht
Die meisten Organisationen verfolgen den Median der Meldezeit statt Durchschnittswerten, um Verzerrungen durch Ausreißer zu vermeiden.
Ein starkes Programm zeigt üblicherweise ein klares Muster:
- Neue Nutzende melden langsam
- Trainierte Nutzende melden mit der Zeit schneller
- Erfahrene Nutzende melden nahezu sofort
Manche Organisationen verfolgen sogar die schnellsten Meldenden, da diese Personen faktisch als Früherkennungsnetzwerk agieren.
Bei Hoxhunt liegt der Median der Meldezeit für eine reale Bedrohung beispielsweise bei 25 Minuten. Die schnellsten 10 % der Hoxhunt-Nutzenden melden innerhalb von 55 Sekunden, die schnellsten 5 % in nur 39 Sekunden – und bilden damit ein effektives Früherkennungsnetzwerk.
Warum sich die Zeit bis zur Meldung durch Gewohnheit verbessert, nicht durch Wissen
Mitarbeitende darin zu schulen, Phishing zu erkennen, ist nützlich. Die Verkürzung der Meldezeit entsteht jedoch meist durch Gewohnheitsbildung.
Mitarbeitende entwickeln einen einfachen Reflex: Etwas wirkt verdächtig → melden.
Häufige Exponierung gegenüber realistischen Simulationen baut diesen Reflex über die Zeit auf. Deshalb sind kontinuierliches Mikro-Training und regelmäßige Simulationen weit wirksamer als gelegentliche Awareness-Veranstaltungen.
Wie sich die Zeit bis zur Meldung verbessern lässt
Sicherheitsteams sehen typischerweise schnellere Meldungen, wenn sie:
- Das Melden reibungslos gestalten (ein Button, eine Handlung)
- Unmittelbares Feedback geben, damit Mitarbeitende wissen, dass ihre Meldung geholfen hat
- False Positives normalisieren, damit niemand zögert zu melden
Wenn Mitarbeitende selbstbewusst melden (auch wenn sie falsch liegen könnten), verbessert sich die Meldegeschwindigkeit dramatisch.

Miss-Rate: Das versteckte Risiko, das die meisten Programme übersehen
Die Miss Rate erfasst den Anteil der Phishing-Simulationen, die überhaupt keine Interaktion erhalten:
- Mitarbeitende haben nicht geklickt
- Mitarbeitende haben nicht gemeldet
- Das Sicherheitsteam hat die Nachricht nie gesehen
Das erzeugt unsichtbares Risiko. Würde ein realer Phishing-Angriff denselben Weg nehmen, würde die Organisation ihn möglicherweise nie frühzeitig erkennen.
Warum die Miss-Rate für Awareness-Programme wichtig ist
Wenn Mitarbeitende verdächtige E-Mails regelmäßig ignorieren, signalisiert das meist ein tieferliegendes Problem des Programms.
Häufige Ursachen:
- Mitarbeitende wissen nicht, wo oder wie sie melden sollen
- Das Melden wirkt unklar oder umständlich
- Nutzende glauben, das Melden erzeuge Mehrarbeit
- Mitarbeitende gehen davon aus, dass jemand anderes meldet
Wenn Meldewege verwirrend sind, ignorieren Mitarbeitende Nachrichten, statt mit ihnen zu interagieren.
Was die Miss-Rate zeigt, was andere Metriken nicht zeigen
Die Fehlerrate zeigt, wer geklickt hat. Die Melderate zeigt, wer gemeldet hat. Die Miss Rate zeigt, ob Mitarbeitende überhaupt aktiv an der Bedrohungserkennung teilnehmen.
Sinkt die Miss Rate über die Zeit, bedeutet das meist, dass Mitarbeitende verdächtige Nachrichten tatsächlich bemerken und durch Melden handeln. Anders gesagt: Es ist häufig ein Signal, dass sich der Sicherheitsreflex bildet.
Wie reife Programme die Miss-Rate senken
Teams, die die Miss Rate reduzieren, konzentrieren sich typischerweise darauf, die Reaktion einfach und habituell zu machen:
- Ein eindeutiger Melde-Button
- Schnelles Feedback bei Meldungen
- Positive Verstärkung für das Melden
Das Ziel ist nicht nur die Vermeidung von Klicks. Sondern der Aufbau einer Kultur, in der verdächtige Nachrichten eine konsistente Reaktion auslösen.
Wiederholungsklickende: Wo sich das meiste Human Risk konzentriert
Eines der überraschendsten Muster, das Sicherheitsteams entdecken: Phishing-Risiko ist nicht gleichmäßig über Mitarbeitende verteilt. Es konzentriert sich.
In vielen Organisationen gilt:
- Eine kleine Nutzendengruppe scheitert wiederholt
- Die Mehrheit klickt so gut wie nie
- Gesamtdurchschnitte verbergen dieses Ungleichgewicht
Deshalb kann der alleinige Blick auf die Gesamtklickrate irreführend sein. Zwei Organisationen können beide eine Klickrate von 5 % melden – ihr Risikoprofil kann jedoch völlig unterschiedlich aussehen.

In vielen Organisationen interagiert eine kleine Gruppe Nutzender wiederholt mit Phishing-E-Mails, während die meisten Mitarbeitenden kaum klicken. Konzentrieren sich Fehler bei denselben Personen, sieht die Exponierung der Organisation ganz anders aus, als wenn Klicks gleichmäßig verteilt wären. Nur das zweite Szenario stellt eine systemische Exponierung dar.
Warum Wiederholungsklickende adressiert werden müssen
Wiederholungsklickende sind relevant, weil sie oft eine anhaltende Exponierung gegenüber Social-Engineering-Angriffen darstellen.
Senden Angreifende über die Zeit mehrere Phishing-Kampagnen, ist die Wahrscheinlichkeit statistisch höher, dass diese Nutzenden damit interagieren.
Aus Sicherheitsperspektive bedeutet das:
- Angreifende könnten wiederholt dieselben Personen ins Visier nehmen
- Ein einziges kompromittiertes Konto könnte zum Einfallstor werden
- Programm-Durchschnitte können gesund aussehen, während das Risiko bestehen bleibt
Deshalb verfolgen reife Awareness-Programme die Reduktion der Wiederholungsklickenden über die Zeit – nicht nur Gesamtfehlerquoten.
Das Ziel ist nicht, Einzelpersonen bloßzustellen, sondern zu verstehen, ob das Programm konzentriertes Human Risk reduziert.
Wie sich eine belastbare Security Awareness Metrik-Narrative aufbauen lässt
Irgendwann erhalten alle Sicherheitsverantwortlichen dieselbe Frage: „Macht uns dieses Programm tatsächlich sicherer?"
Diese Frage mit einer einzigen Metrik zu beantworten, funktioniert selten. Was das Management tatsächlich braucht, ist eine Narrative, die durch mehrere Signale gestützt wird.
Mit einem einfachen Verhaltens-Framework beginnen
Ein klarer Weg, die Wirksamkeit von Awareness zu erklären, ist zu zeigen, wie sich das Verhalten der Mitarbeitenden über vier Dimensionen verbessert:
Jede Metrik beantwortet eine andere Frage dazu, wie Mitarbeitende auf Bedrohungen reagieren. Zusammen zeigen sie, ob sich die menschliche Erkennungsebene verbessert.
Auf Trends fokussieren, nicht auf Momentaufnahmen
Ein häufiger Fehler ist, Awareness-Metriken als einzelne Zahl zu präsentieren.
Was das Management interessiert, ist die Richtung:
- Steigt das Meldeverhalten über die Zeit?
- Melden Mitarbeitende schneller?
- Nehmen wiederholte Fehler ab?
Trends belegen, dass das Programm Verhalten verändert und nicht nur Daten generiert.
Metriken mit realen Sicherheitsergebnissen verbinden
Der letzte Schritt: Awareness-Metriken in etwas zu übersetzen, das das Management bereits versteht – Risikominderung.
Zum Beispiel:
- Höhere Meldequote → mehr früh erkannte Bedrohungen
- Schnelleres Melden → kürzere Verweildauer der Angreifenden
- Niedrigere Miss Rate → stärkeres Engagement der Mitarbeitenden
- Weniger Wiederholungsklickende → weniger konzentrierte Exponierung
Zusammengenommen zeigen diese Signale, dass Mitarbeitende zu aktiven Teilnehmenden der Erkennung werden, und nicht zu passiven Trainingsempfangenden.
Diese Verschiebung von Awareness-Aktivität zu messbarem Abwehrverhalten ist es, die letztlich beweist, dass ein Programm funktioniert.
Woran erkennbar ist, dass das Awareness-Programm tatsächlich sicherer macht
Security Awareness Training funktioniert dann, wenn Mitarbeitende aufhören, passive Trainingsempfangende zu sein, und beginnen, als Teil der Erkennungsebene zu agieren.
Die Verschiebung zeigt sich üblicherweise in den Metriken:
- Mehr Mitarbeitende melden verdächtige Nachrichten
- Bedrohungen werden schneller gemeldet
- Weniger E-Mails werden ignoriert
- Dieselben Nutzenden scheitern nicht mehr wiederholt
Einzeln sind diese Signale nützlich. Zusammen erzählen sie eine klare Geschichte: Mitarbeitende helfen, Angriffe früher zu erkennen.
Das ist das eigentliche Ziel von Security Awareness.
Nicht, jeden Klick zu eliminieren oder perfekte Simulationsergebnisse zu erreichen, sondern ein Umfeld zu schaffen, in dem verdächtige Aktivität schnell und konsistent gemeldet wird.
In der realen Welt scheitern Angriffe nicht, weil niemand klickt. Sie scheitern, weil jemand sie bemerkt und meldet, bevor Schaden entsteht.
Wenn das zum normalen Verhalten innerhalb einer Organisation wird, „funktioniert" Security Awareness nicht nur, sie reduziert aktiv das Human Risk.
- Abonniere unseren All Things Human Risk Newsletter und erhalte monatlich eine Übersicht unserer neuesten Inhalte.
- Demo buchen für einen individuellen Rundgang durch Hoxhunt



