Wie Sie den Erfolg von Security Awareness Trainings richtig messen

Wie misst man den Erfolg von Security Awareness Trainings? Die Antwort ist kompliziert als man denkt.
3 Minuten
18. November 2025
Von Niklas Eichholz

Security Awareness Trainings sind heute unverzichtbarer Bestandteil jeder IT-Sicherheitsstrategie. Doch wie lässt sich ihr Erfolg wirklich messen? Die Antwort liegt nicht in einer einzelnen Kennzahl, sondern in einem differenzierten Blick auf das, was wirklich zählt: der Aufbau einer Sicherheitskultur und die damit verbundene nachhaltige Verhaltensänderung Ihrer Mitarbeitenden.

Die Klickrate: Eine wichtige, aber trügerische Kennzahl

Viele Unternehmen verlassen sich bei der Erfolgsmessung von Security Awareness Trainings auf die Klickrate in der Phishing-Simulation – also den Anteil der simulierten Phishing-Mails, in denen Mitarbeitende auf einen Link geklickt haben. Diese Kennzahl hat durchaus ihre Berechtigung und zeigt auf den ersten Blick, wie viele potenziell gefährliche Klicks passiert sind.​

Doch die Klickrate allein greift zu kurz. Warum? Weil sie stark vom Schwierigkeitsgrad der verschickten E-Mails abhängt. Eine leicht erkennbare Phishing-Mail mit offensichtlichen Fehlern führt zu niedrigen Klickraten, während eine professionell gestaltete, kontextbezogene E-Mail deutlich häufiger angeklickt wird. Studien zeigen, dass die Klickrate bei einfachen Phishing-Mails bei etwa 1-5% liegen kann, während schwierige, personalisierte Angriffe Klickraten von bis zu 50% erreichen.​ Eine niedrige Klickrate bedeutet daher nicht automatisch ein hohes Sicherheitsniveau – sie könnte lediglich zeigen, dass Ihre simulierten Phishing-Mails zu leicht zu erkennen sind.​

Die Melderate: Die wichtigste Verhaltenskennzahl

Die Melderate ist die entscheidende Kennzahl für den Erfolg Ihres Security Awareness Trainings. Sie misst, wie viele Mitarbeitende verdächtige E-Mails aktiv an die IT-Abteilung melden – sei es während einer Simulation oder im echten Arbeitsalltag.​

Warum ist die Melderate so wichtig?

Die Melderate zeigt echtes, proaktives Sicherheitsverhalten. Mitarbeitende, die eine verdächtige E-Mail melden:

  • Handeln verantwortungsbewusst
  • Erkennen die Bedrohung aktiv
  • Tragen zur Früherkennung echter Angriffe bei
  • Verkürzen die Reaktionszeit Ihrer IT-Abteilung erheblich

Eine hohe Melderate ist ein Indikator dafür, dass Ihre Mitarbeitenden von passiven Beobachtern zu aktiven Verteidigern geworden sind. Sie signalisiert, dass sich die Sicherheitskultur in Ihrem Unternehmen positiv entwickelt.​

Was sind gute Werte?

Die durchschnittliche Melderate bei Organisationen mit standardmäßigen, compliance-orientierten Security Awareness Trainings liegt bei nur 7-20%. Das bedeutet: Nur jede fünfte bis zehnte Person meldet eine verdächtige E-Mail aktiv.​

Unternehmen mit verhaltenspsychologisch fundierten, kontinuierlichen Trainingsprogrammen erreichen hingegen Melderaten von bis zu 80% nach einem Jahr Training. Das ist der Unterschied zwischen einer schwachen und einer starken Sicherheitskultur.​

Die Lernrate: Wie viele Menschen werden wirklich durch das Training erreicht?

Die Lernrate misst, wie hoch der Anteil Ihrer Mitarbeitenden ist, der das Lernangebot tatsächlich wahrnimmt. Studien haben gezeigt: Nur wer in der Phishing-Simulation nach einem „Fehler“ eine interaktive, kontextbezogene Schulung absolviert, kann sein Risiko messbar reduzieren. Entsprechend groß ist die Bedeutung der Lernrate.

Die Maximierung der Lernrate stellt Organisationen vor große Herausforderungen: Schließlich müssen Mitarbeitende ihre eigenen Ziele erfüllen und IT-Sicherheit steht verständlicherweise nicht bei allen ganz oben auf der Agenda. Während eine 100%-ige Lernrate wohl eine Utopie des IT-Verantwortlichen bleiben wird, kann die Lernrate durch die Berücksichtigung folgender bewährter Techniken deutlich verbessert werden:

  • Überforderung vermeiden
  • Zweck der Schulung klar kommunizieren
  • Lerninhalte kompakt halten
  • Gamification

Der „wahre“ Erfolg: Aufbau einer Sicherheitskultur

Alle Kennzahlen dienen letztlich einem übergeordneten Ziel: Der Verhaltensänderung Ihrer Mitarbeitenden im echten Arbeitsalltag.​ Verhaltensänderung bedeutet in diesem Kontext: Phishing-Versuche möglichst schnell melden, sichere Prozesse verinnerlichen und wissen, was im Ernstfall zu tun ist. Und das zahlt wiederum auf den Aufbau einer lebendigen Sicherheitskultur ein, welche sich nicht allein mithilfe von Kennzahlen messen lässt. Dazu zählen auch Errungenschaften wie eine gesunde Fehlerkultur, Vorbildfunktion der Führungsetage und eine gelungene Kommunikation. Diese lassen sich nicht über Nacht erreichen, sondern sind Ergebnis kontinuierlicher Bemühungen.

Worauf warten Sie noch? Fangen Sie jetzt an, eine Sicherheitskultur aufzubauen!
Demo starten
look2x Logo
© 2025 look2x. Alle Rechte vorbehalten
KontaktÜber UnsUnsere Pakete
WissenDatenschutzImpressum