Es ist Freitagmittag. Der Posteingang zeigt immer noch 47 ungelesene Nachrichten. Das nächste Meeting beginnt in zehn Minuten. Dann kommt eine Mail von der IT-Abteilung: „Ihr Passwort läuft in 30 Minuten ab. Jetzt zurücksetzen.“ Ein Klick. Ein Formular. Zugangsdaten eingegeben.
Erst später, vielleicht Stunden später, kommt das ungute Gefühl. Und dann – bei vielen – die Entscheidung: Ich sage lieber nichts.
Phishing funktioniert nicht, weil Menschen dumm sind. Es funktioniert, weil Menschen Menschen sind. Und weil Angreifer das besser wissen, als wir ihnen zuschreiben möchten. Sie nutzen unsere Urinstinkte und unser Urvertrauen gezielt gegen uns.
Warum klicken Menschen auf Phishing-Mails, obwohl sie es eigentlich besser wissen (müssten)?
Weil sie in diesem Moment gar nicht „eigentlich besser wissen“. Ihr Gehirn ist woanders.
Der Nobelpreisträger Daniel Kahneman hat in seinem Werk Thinking, Fast and Slow beschrieben, wie wir in zwei Modi denken. System 1 ist schnell, automatisch, intuitiv – es läuft im Hintergrund und bewältigt den Großteil unseres Alltags. System 2 ist langsam, analytisch, bewusst – es tritt in Aktion, wenn wir wirklich nachdenken müssen, wenn Entscheidungen komplex oder folgenreich sind und wir uns dessen auch bewusst sind.
Das Problem: Im Büroalltag läuft fast alles über System 1. E-Mails lesen, E-Mails beantworten, Meetings planen, Formulare ausfüllen und abschicken – alles Routineaufgaben. Unser Gehirn behandelt sie entsprechend: schnell, automatisch, ohne (hinreichend) kritische Prüfung. Phishing-Angriffe sind darauf ausgelegt, genau in diesem Denk- und Verhaltensmodus zu landen. Sie imitieren vertraute Absender, bekannte Prozesse, erwartbare Aufgaben. Unser Gehirn springt in den Autopilot.
Eine Studie von Beauceron Security, die mit einem unabhängigen Forscher durchgeführt wurde, hat das mit über 6.000 Mitarbeitern aus 257 Organisationen kürzlich messbar gemacht: Fast 40 % aller Klicks auf Phishing-Links entstanden nicht durch Naivität, sondern durch E-Mail-Autopilot. Betroffen waren Menschen, die ihren übervollen Posteingang im Eilmodus abarbeiteten. Hinzu kommen die Fälle, in denen eine Phishing-Mail einfach so aussah wie etwas, das die Person ohnehin erwartet hätte.
Die Frage ist also nicht, ob jemand die Warnsignale kennt. Die Frage ist, ob er oder sie in diesem Moment die kognitive Kapazität hat, sie anzuwenden. Unter Zeitdruck, bei hoher E-Mail-Last und vielen parallelen Aufgaben sinkt diese Kapazität erheblich – die Anfälligkeit, einen Fehler zu machen, steigt dabei gleichzeitig an.
Welche Emotionen nutzen Angreifer aus und warum wirken sie so zuverlässig?
Phishing ist kein technisches Problem. Es ist ein emotionales. Angreifer wählen ihre Werkzeuge nicht nach technischem Aufwand, sondern nach psychologischer Wirkung, und greifen dabei auf Mechanismen zurück, die evolutionär tief verwurzelt sind. Es sind Urinstinkte, die im falschen Kontext zur Schwachstelle werden.
Angst und Zeitdruck sind der stärkste Hebel, und sie verstärken sich gegenseitig. Wenn das Gehirn eine Bedrohung wahrnimmt, wechselt es in einen Modus, der auf schnelles Handeln ausgelegt ist, nicht auf sorgfältige Analyse. In der Savanne war das überlebenswichtig. Im Büroalltag ist es eine Schwachstelle. Kahneman würde sagen: Dringlichkeit verhindert den Wechsel von System 1 zu System 2 – das Gehirn reagiert, bevor es prüft. Hier greift zusätzlich Kahnemans Prinzip der Loss Aversion: Der Schmerz über einen Verlust wiegt psychologisch etwa doppelt so viel wie die Freude über einen gleichwertigen Gewinn. Eine Nachricht, die mit Kontosperrung oder Datenverlust droht, erzeugt daher einen weit stärkeren Handlungsimpuls als jedes positive Versprechen – und Phishing-Mails sind fast ausnahmslos verlustorientiert formuliert. Neuropsychologisch gesprochen übernimmt bei starker Angst die Amygdala – der Teil des Gehirns, der für Bedrohungsreaktionen zuständig ist – die Steuerung. Der präfrontale Kortex, verantwortlich für rationales Abwägen, tritt in den Hintergrund. Das Gehirn reagiert, bevor es prüft.
Eng damit verbunden ist der sogenannte Framing-Effekt: Wie eine Information präsentiert wird, verändert, wie wir sie wahrnehmen – selbst wenn der sachliche Kern identisch ist. „Sichern Sie jetzt Ihren Zugang“ und „Ihr Zugang wird gesperrt“ transportieren dieselbe Botschaft, aber die zweite Variante aktiviert das Verlustgefühl direkt. Professionell gestaltete Phishing-Mails nutzen genau diesen Effekt: immer verlustbetont, immer dringlich, immer so gerahmt, dass Handeln sich richtiger anfühlt als Abwarten.
Autorität wirkt anders, aber genauso zuverlässig. Menschen neigen dazu, Anweisungen von wahrgenommenen Autoritäten zu folgen. Das ist keine Schwäche, sondern ein soziales Grundprinzip, das Zusammenarbeit in Organisationen erst möglich macht. Ein Problem entsteht erst, wenn diese Autorität gefälscht ist. Eine Mail mit dem Logo des Unternehmens, dem Namen des CEOs oder dem Absender „it-support@[unternehmensname].com“ aktiviert denselben Vertrauensreflex wie eine echte Anweisung und lässt kaum Raum für Rückfragen. Wer fragt schon nach, wenn der Chef schreibt, dass sofort gehandelt werden muss? Eine Phishing-Simulation in einer multinationalen Finanzorganisation bestätigte: Autorität gehört zu den effektivsten Angriffsvektoren – besonders in hierarchisch geprägten Unternehmenskulturen (Taib et al., 2019).
Die Kombination aus Zeitdruck und Autorität ist besonders wirksam: Wenn beide Faktoren gleichzeitig auftreten, bleibt kaum Raum für kritisches Hinterfragen.
Neugier funktioniert subtiler: Ein unerwarteter Anhang, eine angeblich geteilte Datei, eine Benachrichtigung über eine geheime Information. Das Gehirn will die Lücke schließen.
Hilfsbereitschaft und soziale Gefälligkeit werden besonders bei Spear-Phishing eingesetzt – personalisierten Angriffen, die so klingen, als kämen sie von einer bekannten Person mit einem dringenden Anliegen.
Laut dem Cloud- und Threat-Report 2025 von Netskope haben sich die Phishing-Klickraten im Jahr 2024 gegenüber dem Vorjahr fast verdreifacht – von 2,9 auf 8,4 von 1.000 Nutzern pro Monat. Als Hauptursachen nennt Netskope kognitive Erschöpfung durch die schiere Masse an Phishing-Versuchen sowie die wachsende Kreativität der Angreifer beim Gestalten schwer erkennbarer Köder. Ein Teufelskreis: Mehr Angriffe führen zu mehr Überforderung und mehr Überforderung zu mehr erfolgreichen Angriffen.
Das Schweigen danach – der unterschätzte zweite Akt
Bis hierher haben wir über den Moment des Klicks gesprochen. Aber was passiert danach?
In vielen Fällen: nichts. Zumindest unverzüglich nach dem Ereignis.
Denn neben der Psychologie des Klicks gibt es eine Psychologie des Schweigens. Wer erkennt, dass er auf eine Phishing-Mail hereingefallen ist, steht vor einer wichtigen Entscheidung: melden oder schweigen? Und diese Entscheidung wird maßgeblich durch Scham und Angst vor Konsequenzen gesteuert.
„Ich hätte das doch erkennen müssen.“, „Was denken die Kollegen?“, „Was sagt die Geschäftsführung?“ Besonders bitter: Gerade Mitarbeiter, die Phishing-Schulungen absolviert haben, empfinden diesen Moment oft als doppelte Niederlage. Der sogenannte Overconfidence Bias – die Überschätzung der eigenen Urteilsfähigkeit – sorgt dafür, dass geschulte Mitarbeiter manchmal sogar anfälliger werden, weil sie glauben, einen Angriff sicher zu erkennen. Wer sich sicher fühlt, schaltet System 2 seltener ein. Und wenn der Klick dann doch passiert, ist die Scham entsprechend größer – was die Hemmschwelle zur Meldung zusätzlich erhöht.
Besonders in Organisationen, die Fehler bestrafen, statt diese zu analysieren, führt das zu einer gefährlichen Dynamik: Der Vorfall bleibt unsichtbar. Die IT reagiert zu spät oder gar nicht. Ein beherrschbares Sicherheitsproblem wird zum unkontrollierten Schaden.
Der Forscher Jean Carlos, CISO (Chief Information Security Officer) und Autor eines viel beachteten Beitrags für ISACA (Information Systems Audit and Control Association, Inc.), beschreibt das sehr treffend: Ein strafender Umgang mit Sicherheitsvorfällen erzeugt ein Klima aus Angst und Geheimhaltung, das nicht nur die Reaktionsfähigkeit des Unternehmens schwächt, sondern auch jeden Lerneffekt verhindert.
Die Gegenstrategie kommt aus der Organisationspsychologie: psychologische Sicherheit, ein Konzept, das von Harvard-Professorin Amy Edmondson geprägt wurde. Ihre Forschung zeigt, dass Teams, in denen Fehler ohne Angst vor Bestrafung gemeldet werden können, nicht nur besser lernen – sie reagieren auch schneller und effektiver auf Krisen. Edmondsons Definition ist klar: Psychologische Sicherheit ist die gemeinsame Überzeugung, dass man Fehler, Fragen und Bedenken äußern kann, ohne Demütigung oder Konsequenzen fürchten zu müssen.
Übertragen auf Cybersicherheit bedeutet das: Organisationen, die eine offene Fehlerkultur leben, haben einen strukturellen Sicherheitsvorteil. Nicht weil ihre Mitarbeiter seltener klicken, sondern weil Vorfälle unverzüglich gemeldet und somit schneller eingedämmt werden können.
Was das für Unternehmen bedeutet
Phishing-Angriffe sind keine Schwachstelle, die allein mit besserer Software oder regelmäßigen Sicherheitschecks geschlossen werden kann. Sie greifen gezielt menschliche Entscheidungsmuster an – und funktionieren genau dann am besten, wenn Menschen unter Druck stehen, keine Zeit haben oder sich zu sicher fühlen.
In seinem Beitrag für ISACA bringt Jean Carlos es treffend auf den Punkt: Der Fokus auf menschliches Versagen verdeckt die eigentlichen Ursachen. Eine davon ist unzureichendes Systemdesign – gemeint sind zu komplexe Prozesse, fehlende Kontrollmechanismen oder schwer bedienbare Sicherheitslösungen. Die andere ist eine Unternehmenskultur, die Fehler bestraft, statt sie als Lernchance zu nutzen.
Drei Dinge, die tatsächlich helfen:
1. Innehalten als bewusste Gewohnheit. Nicht als Appell, sondern als trainierbare Reaktion. Wer sich angewöhnt, bei unerwarteten oder dringlichen Mails kurz zu stoppen – bevor geklickt wird – gibt System 2 (nach Kahneman) die Chance einzuschalten. Das klingt simpel, widerspricht aber genau dem, was Phishing-Mails im Gehirn auslösen wollen. Gängige Phishing-Simulationstools trainieren das Erkennen von Merkmalen – aber selten das bewusste Innehalten als Reflex. Das ist eine Lücke, die es zu schließen gilt.
2. Zweitquellen nutzen. Wenn eine Mail von „der IT“ kommt und sofortiges Handeln verlangt: kurz anrufen oder eine separate Nachricht schreiben. Nicht über den Link in der Mail, sondern über einen bekannten Kanal. Allein diese einfache Methode verhindert einen Großteil erfolgreicher Phishing-Angriffe.
3. Fehlerkultur vor Schuldzuweisung. Der erste Klick ist teuer. Das Schweigen danach ist teurer. Unternehmen, die eine Umgebung schaffen, in der Vorfälle ohne Konsequenzen für den Einzelnen gemeldet werden können, gewinnen das Wichtigste zurück: Zeit für eine angemessene Reaktion.
Fazit – was Sie für sich mitnehmen können
Phishing-Angriffe sind kein Intelligenztest, den manche bestehen und andere nicht. Sie sind ein präzise konstruierter Eingriff in menschliche Entscheidungsmuster – entworfen von Angreifern, die Kahneman, Cialdini und Edmondson wahrscheinlich nie gelesen haben, ihre Erkenntnisse aber systematisch anwenden.
Menschen klicken nicht aus Naivität, sondern weil ihr Gehirn unter Druck auf Autopilot schaltet. Angreifer wählen ihre Werkzeuge nicht nach technischem Aufwand, sondern nach emotionaler Wirkung – Angst, Autorität und Zeitdruck sind keine Zufälle, sondern Methode. Und wer auf eine Phishing-Mail hereinfällt, kämpft danach nicht nur mit dem Schaden, sondern mit Scham – was das eigentlich Gefährliche ist, weil es sofortige Meldungen verhindert und Reaktionszeit kostet.
Das Problem ist nicht der Mensch. Das Problem sind oftmals Systeme, die Menschen unter Druck setzen, und Unternehmenskulturen, die Fehler bestrafen, statt sie für Weiterentwicklung zu nutzen. Dabei ist genau das der entscheidende Hebel: Organisationen, die eine offene Fehlerkultur leben, reagieren schneller auf Angriffe – nicht weil ihre Mitarbeiter seltener klicken, sondern weil IT-Sicherheitsvorfälle gemeldet, analysiert und als Lernchance genutzt werden. Sicherheit entsteht nicht durch Schuldzuweisung, sondern durch Vertrauen.
Der gefährlichste Moment beim Phishing ist nicht der Klick. Es ist das Schweigen danach.
Alle Quellen zum Nachlesen:
Daniel Kahneman, Thinking Fast and Slow (2011)
Robert B. Cialdini, Harnessing the Science of Persuasion (2001)
Robert B. Cialdini, Influence (2007)
Beauceron Security, Why Employees Click on Phishing Emails (2025)