Wirksamkeit gängiger Anti-Phishing-Maßnahmen fraglich28. November 2025 Eine neue Studie zeigt, dass gängige Anti-Phishing-Maßnahmen offenbar nur unzureichend schützen. (Abbildung: © weerapat1003/stock.adobe.com) Nach einer groß angelegten Phishing-Simulation in einer deutschen Universitätsklinik kommt das Forscherteam zum Schluss, dass weiterhin eine erhebliche Bedrohungslage für die Cybersicherheit in Krankenhäusern besteht. Gängige Anti-Phishing-Maßnahmen sind der nach wie vor erheblichen Bedrohungslage durch Cyberangriffe offenbar nur unzureichend gewachsen. Das hat eine neue Studie ergeben, die ein Forscherteam unter der Beteiligung des IT-Sicherheitsexperten Prof. Luigi Lo Iacono von der Justus-Liebig-Universität Gießen (JLU) Mitte Oktober bei der renommierten ACM Conference on Computer and Communications Security (CCS) in Taiwan vorstellte. In der Studie analysierten die Forschenden in einer deutschen Universitätsklinik, wie anfällig Krankenhausbeschäftigte für Phishing-Angriffe sind und wie effektiv gängige Anti-Phishing-Maßnahmen sind. Die Ergebnisse werfen ein kritisches Licht auf die aktuelle Cybersicherheitslage im Gesundheitswesen. Zusätzlich bieten sie richtungsweisende Erkenntnisse für die Verbesserung der Sicherheitsstandards für Phishing-E-Mails. Wenige Phishing-E-Mails genügen, um für eine große Klinik signifikante Sicherheitsrisiken darzustellen In einer groß angelegten Phishing-Simulation wurden 7044 E-Mail-Konten der Klinik ins Visier genommen. Die Forscher untersuchten, wie sich die Phishing-Anfälligkeit unter verschiedenen Beschäftigtengruppen verteilt und wie bestimmte Merkmale der Phishing-E-Mails – etwa Timing und Sprache – darauf Einfluss nehmen. Ein zentrales Ergebnis der Studie: Schon eine geringe Anzahl von Phishing-E-Mails reicht aus, um in einer großen Klinik signifikante Sicherheitsrisiken darzustellen. Innerhalb von nur zwölf bis 24 Stunden besteht eine hohe Wahrscheinlichkeit, dass Beschäftigte ihre Zugangsdaten versehentlich preisgeben. Anfälligkeit für Phishing-E-Mails Viele Phishing-E-Mails setzen auf Verlustängste. (Screenshot/Quelle: JLU mithilfe von KI) Etwa ein Viertel der Beschäftigten wären der Studie zufolge bereit gewesen, die eigenen Authentifizierungsdaten preiszugeben. Dabei haben bestimmte Merkmale von Phishing-E-Mails die Anfälligkeit des Klinikpersonals erheblich beeinflusst; zudem unterschied sich die Wirkung dieser Merkmale deutlich zwischen den Personalgruppen. E-Mails, die am Morgen verschickt wurden, führten insgesamt zu einer um 5,6 Prozentpunkte erhöhten Interaktionswahrscheinlichkeit, mit einem besonders starken Effekt von 13,5 Prozentpunkten bei medizinischem Personal. Einfaches Textformat anstelle von HTML erhöhte die Anfälligkeit um 4,9 Prozentpunkte, wobei das medizinische Personal ebenfalls besonders anfällig war. Zudem steigerten E-Mails, die auf Verlustangst setzten, wie etwa eine Warnung vor ablaufenden E-Mail-Accounts, die Wahrscheinlichkeit einer Interaktion um 6,7 Prozentpunkte. Dies war bei nicht medizinischen Personalgruppen besonders ausgeprägt. Diese Befunde verdeutlichen, dass gezielte und minimale Variationen in der Gestaltung von E-Mails die Effektivität von Phishing-Angriffen erheblich beeinflussen können. Wirksamkeit gängiger Anti-Phishing-Maßnahmen Die Untersuchung ging auch der Frage nach, wie effektiv gängige Anti-Phishing-Maßnahmen sind. Sie werden häufig als fertige Lösungen in E-Mail-Systemen von Unternehmen eingesetzt. Demnach erwiesen sich explizite Warnbanner und das Verschieben in Spam-Ordner als besonders wirksam, da sie das riskante Verhalten um bis zu 94 Prozent reduzierten. Die häufig genutzte Methode der [EXTERN]-Kennzeichnung von E-Mails erwies sich hingegen als weitaus weniger verlässlich. Das Deaktivieren von Links in E-Mails sowie Warnungen im Browser vor potenziellen Phishing-Links zeigten immerhin eingeschränkte Schutzwirkung. Emotionale Reaktion der Beschäftigten Da die Studie aus Sicht der Teilnehmenden einer Phishing-Simulation entsprach, konnte das Forscherteam zudem emotionale Reaktion auf solche Simulationen untersuchen. Ein beachtlicher Teil der befragten Mitarbeiter reagierte auf die Phishing-Simulation mit Gefühlen wie Angst, Scham und Schuld. Diese Erkenntnisse verdeutlichen die psychologischen Herausforderungen, die solche Simulationen mit sich bringen. Außerdem unterstreichen sie die Notwendigkeit, die emotionalen Kosten gegen die potenziellen Sicherheitsvorteile abzuwägen. Handlungsempfehlungen für das Gesundheitswesen Die Forscher betonen, dass gängige Anti-Phishing-Maßnahmen wie Phishing-Simulationen, Banner oder [EXTERN]-Kennzeichnungen nicht ausreichen, um den Schutz vor Phishing effektiv zu gewährleisten. „Es ist essenziell, dass technische Schutzvorkehrungen gestärkt werden, um die Resilienz gegenüber Cyberkriminalität zu erhöhen. Vor allem im Gesundheitssektor, der zunehmend Ziel von Cyberangriffen wird, besteht akuter Handlungsbedarf“, so die Bilanz von Studienleiter Lo Iacono. Die Studie liefere damit eine fundierte Grundlage, um effektive Strategien zur Abwehr von Phishing-Angriffen zu entwickeln.
Mehr erfahren zu: "Fast 90 Prozent der Patienten in Notaufnahmen sehen sich selbst als „dringlich“ oder „Notfall“" Fast 90 Prozent der Patienten in Notaufnahmen sehen sich selbst als „dringlich“ oder „Notfall“ Das Zentralinstitut für die kassenärztliche Versorgung (Zi) hat gemeinsam mit Projektpartnern die „derzeit deutschlandweit größte Patientenbefragung in bayerischen Notaufnahmen“ vorgenommen.
Mehr erfahren zu: "CT-Befunde: Verständlicher durch Künstliche Intelligenz" CT-Befunde: Verständlicher durch Künstliche Intelligenz Ein Münchner Team der TUM hat untersucht, wie Künstliche Intelligenz CT-Befunde verständlicher machen kann. Ergebnis: Lesen dauerte weniger lang und Patienten bewerteten die automatisch vereinfachten Texte als besser verständlich und […]
Mehr erfahren zu: "BÄK: Gewalt gegen Frauen konsequent bekämpfen" BÄK: Gewalt gegen Frauen konsequent bekämpfen Anlässlich des Internationalen Tages zur Beseitigung von Gewalt gegen Frauen unterstützt die Bundesärztekammer (BÄK) die UN-Kampagne #OrangeTheWorld gegen Gewalt an Frauen.