Multitasking macht Nutzer zum Phishing-Opfer

Eine bahnbrechende Studie der University at Albany deckt eine alarmierende Schwachstelle auf: Wer mehrere Aufgaben gleichzeitig bearbeitet, erkennt betrügerische E-Mails deutlich schlechter. Bei geschätzten 3,4 Milliarden Phishing-E-Mails täglich eine explosive Erkenntnis für Unternehmen weltweit.

Die im European Journal of Information Systems veröffentlichte Forschung stellt bisherige Annahmen über Cybersicherheit grundlegend infrage. Während die meisten Sicherheitstrainings davon ausgehen, dass Mitarbeiter konzentriert ihre E-Mails prüfen, sieht die Realität anders aus: „Nutzer sind meist mit anderen digitalen Aufgaben beschäftigt, wenn eine verdächtige Nachricht auftaucht“, erklären die Forscher.

Was bedeutet das konkret? Geteilte Aufmerksamkeit konkurriert um begrenzte kognitive Ressourcen – und macht die Phishing-Erkennung zur Nebensache, die unter Druck versagt.

Überlastung schwächt das Urteilsvermögen

Knapp 1.000 Teilnehmer bestätigten den wissenschaftlichen Zusammenhang zwischen kognitiver Belastung und Betrugsanfälligkeit. Sobald Probanden komplexe Gedächtnisaufgaben bewältigen mussten, sank ihre Treffsicherheit beim Identifizieren von Phishing-E-Mails drastisch.

„Wenn Menschen anspruchsvolle Gedächtnisaufgaben jonglieren mussten, übersahen sie viel häufiger die Warnsignale betrügerischer E-Mails“, fasst die Studie zusammen. Die mentalen Ressourcen für subtile Hinweise – verdächtige Absenderadressen, ungewöhnliche Links – waren bereits aufgebraucht.

Dr. Xuecong Lu von der UAlbany Massry School of Business kritisiert bisherige Forschungsansätze: „Frühere Studien nahmen an, dass Menschen ruhig und fokussiert dasitzen, wenn eine Phishing-E-Mail eintrifft. Tatsächlich wechseln wir permanent zwischen Nachrichten, Meetings und Dokumenten.“

Anzeige: Viele Phishing-Nachrichten treffen uns heute am Smartphone – gerade wenn wir zwischen Chats, Terminen und Mails hin- und herspringen. Wenn Sie WhatsApp, Online‑Banking oder PayPal am Android‑Handy nutzen, schützen Sie sich mit 5 praxiserprobten Maßnahmen. Ein kostenloser Ratgeber führt Schritt für Schritt durch die wichtigsten Einstellungen – ganz ohne teure Zusatz‑Apps. Jetzt das kostenlose Android‑Sicherheitspaket sichern

Belohnung schlägt Warnung

Besonders interessant: Die psychologischen Tricks der Cyberkriminellen wirken unterschiedlich stark. E-Mails mit Gewinnversprechen („Sie haben einen Preis gewonnen!“) überlisteten multitaskende Personen deutlich erfolgreicher als Drohbotschaften („Ihr Konto wird gesperrt!“).

Der Grund liegt in der menschlichen Natur: Belohnungen locken uns natürlich an und senken die Vorsicht. Verlustdrohungen hingegen wecken selbst bei Ablenkung noch Skepsis. Angreifer nutzen gezielt Dringlichkeit, Autorität und Knappheit, um rationales Denken zu umgehen.

Diese Erkenntnis revolutioniert das Verständnis für Social Engineering: Ein gestresster, multitaskender Mitarbeiter fällt besonders leicht auf verlockende Angebote herein.

Training für die echte Arbeitswelt

Die Forschungsergebnisse fordern ein komplettes Umdenken bei Sicherheitsschulungen. Bisherige Programme trainieren in idealisierten, ruhigen Umgebungen – völlig realitätsfern für den hektischen Arbeitsalltag.

Was in entspannten Trainingsräumen funktioniert, versagt, wenn Mitarbeiter gleichzeitig telefonieren, Nachrichten beantworten und E-Mails abarbeiten. Die Lösung? Realitätsnahe Schulungen unter authentischen Bedingungen.

Überraschend effektiv erwies sich eine simple Gegenmaßnahme: kurze Warnhinweise. Ein Banner im E-Mail-Client mit dem Text „Vorsicht, manche Nachrichten könnten Phishing-Versuche sein“ verbesserte die Erkennungsrate selbst unter hoher kognitiver Belastung erheblich.

Millionenschwere Konsequenzen

Die Brisanz der Erkenntnisse zeigen aktuelle IBM-Daten: Datenschutzverletzungen durch Phishing kosten Unternehmen durchschnittlich knapp 5 Millionen Euro pro Vorfall. Kein Wunder, dass Angreifer weiterhin den „menschlichen Faktor“ ins Visier nehmen.

Während technische Filter Millionen von Bedrohungen blockieren, wissen Cyberkriminelle: Menschliche Fehler – verstärkt durch kognitive Überlastung – bleiben ein verlässlicher Weg ins Unternehmensnetzwerk.

„Angreifer nutzen fundamentale menschliche Schwächen aus“, bestätigt eine KnowBe4-Analyse. Das Problem liegt nicht an mangelnder Intelligenz, sondern an fehlender Aufmerksamkeit. Selbst Cybersicherheitsexperten gestehen ein, schon mal auf Phishing-Links geklickt zu haben – nicht aus Unwissen, sondern in abgelenkten, multitaskenden Momenten.

Anzeige: Passend zur Studie: Kleine „Nudges“ wirken – auch auf dem Smartphone. Der Gratis‑Guide „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ zeigt, wie Sie Updates, Berechtigungen, Browser‑Schutz und sichere Messenger‑Einstellungen so setzen, dass Betrugslinks weniger Chancen haben – inkl. Checklisten. Gratis-Ratgeber per E‑Mail anfordern

Intelligente Warnsysteme als Zukunft

Die Cybersicherheitsbranche steht vor einem Paradigmenwechsel hin zu kontextbewussten Sicherheitsmaßnahmen. Der Erfolg simpler „Nudges“ in der Albany-Studie weist den Weg: Sicherheitssysteme der Zukunft arbeiten dynamischer mit Nutzern zusammen.

Statt starrer Jahrestrainings entwickeln Unternehmen Systeme, die Echtzeitwarnungen und Mikro-Lerneinheiten genau dann liefern, wenn Mitarbeiter besonders verwundbar sind – etwa während intensiver Multitasking-Phasen.

Künftige Trainingsprogramme werden raffinierter: Simulationen mit bewussten Ablenkungen und kognitiven Belastungen bereiten gezielt auf reale Bedrohungen vor. Das Ziel: eine „menschliche Firewall“, die auch unter Druck standhält.

Bei immer raffinierteren, KI-gestützten Phishing-Attacken wird der Aufbau psychologisch fundierter Abwehrmechanismen überlebenswichtig für kritische Daten und Unternehmensressourcen.