KnowBe4-rapport: zonder training klikt gemiddeld één op drie medewerkers op phishing-link

KnowBe4 presenteert het Phishing by Industry Benchmarking Report 2025. Dit rapport meet het Phish-prone Percentage (PPP) - het percentage werknemers dat geneigd is om te vallen voor phishing of andere social engineering-aanvallen. Hoe hoger dit percentage, hoe groter het risico dat een organisatie slachtoffer wordt van een daadwerkelijke aanval. Uit het rapport blijkt dat gerichte security awareness-training een significant effect heeft op de phishinggevoeligheid van Europese werknemers.

Het gemiddelde PPP daalt in Europa van 32,5% naar 20,7% na 90 dagen training, en zakt na twaalf maanden zelfs naar slechts 5%. Deze resultaten onderstrepen de noodzaak van structurele en doorlopende security awareness-training. Zeker omdat het aantal wereldwijde phishingaanvallen tussen maart 2024 en maart 2025 met 68% is toegenomen. Het bieden van weerstand tegen deze aanvallen verbetert langzaam zonder gerichte training.

In Europa ligt het gemiddelde PPP momenteel op 32,5%, vrijwel gelijk aan het wereldwijde gemiddelde van 33,1%. Dat betekent dat één op de drie medewerkers potentieel op een malafide link zou klikken; dat is een aanzienlijk risico voor elke organisatie.

Belangrijkste inzichten uit het rapport

• De PPP-benchmark voor Europa bedraagt 32% bij aanvang, 20% na 90 dagen training en 5% na 12 maanden.

• Vergeleken met 2024 zijn deze cijfers nauwelijks veranderd voor organisaties van elke omvang.

• Effectieve cyber security vraagt om een samenhangende aanpak van mensen, processen en technologie om het risico op social engineering te verkleinen.

Voor het onderzoek analyseerde KnowBe4 wereldwijd 67,7 miljoen phishingsimulaties bij 14,5 miljoen gebruikers van 62.400 organisaties. Het initiële PPP (32,5% voor Europa) toont de kwetsbaarheid vóór de inzet van KnowBe4-training. Na deelname aan het programma met gesimuleerde phishingmails en doorlopende awareness-training, wordt het PPP opnieuw gemeten na 90 dagen en na ruim een jaar om de effectiviteit aan te tonen.

“Phishingaanvallen worden steeds geraffineerder. Europese organisaties moeten hun trainingen daarom personaliseren, relevant maken en continu aanpassen”, zegt Martin Kraemer, security awareness advocate bij KnowBe4. “Nieuwe regelgeving, zoals NIS2 en de EU AI Act, stellen hogere eisen aan security awareness. Organisaties moeten daarom verder gaan dan puur voldoen aan compliance en medewerkers daadwerkelijk weerbaar maken tegen geavanceerde dreigingen, zoals AI-gestuurde scams of aanvallen met geopolitieke motieven.”

Download hier het volledige KnowBe4 Phishing by Industry Benchmarking Report 2025.