Das schwächste Glied sitzt vor dem Bildschirm
Firewalls, Endpoint-Security, verschlüsselte Verbindungen – viele Unternehmen investieren erheblich in technische Schutzmaßnahmen. Doch laut BSI-Lagebericht 2024 beginnen über 90 % aller erfolgreichen Cyberangriffe mit einer menschlichen Handlung: ein Klick auf einen Phishing-Link, ein schwaches Passwort, ein unbedachtes Öffnen eines E-Mail-Anhangs.
Technik kann schützen, aber nicht ersetzen, was Mitarbeiter täglich entscheiden. Ein gut konfigurierter Spamfilter hält viel auf – aber nicht alles. Und der eine Klick, der durchkommt, kann genug sein.
Die logische Konsequenz: Sicherheitsschulungen für Mitarbeiter sind kein Nice-to-have, sondern ein zentrales Element jeder ernsthaften Sicherheitsstrategie. Die NIS2-Richtlinie, die seit Oktober 2024 in EU-Recht umgesetzt wurde, schreibt für betroffene Unternehmen explizit vor, dass Mitarbeiter regelmäßig in IT-Sicherheit geschult werden müssen.
Was klassische Schulungen falsch machen
Viele Unternehmen erfüllen ihre Schulungspflicht mit einer jährlichen PowerPoint-Präsentation oder einem E-Learning-Kurs, den Mitarbeiter nebenbei absolvieren. Laut Bitkom Studie 2024 gaben 61 % der befragten Angestellten an, nach solchen Schulungen kaum etwas behalten zu haben.
Das Problem: Einmalige, abstrakte Schulungen verändern kein Verhalten. Menschen lernen durch Wiederholung, durch konkrete Erfahrungen und durch unmittelbares Feedback. Wer nie erlebt hat, wie überzeugend eine Phishing-Mail wirken kann, unterschätzt das Risiko.
Wirksame Security-Awareness-Programme arbeiten deshalb anders.
Phishing-Simulationen: Lernen durch Erfahrung
Der wirksamste Ansatz ist die simulierte Phishing-Kampagne: Das eigene Unternehmen (oder ein Dienstleister) sendet realistische, aber harmlose Phishing-Mails an alle Mitarbeiter. Wer klickt, wird nicht bestraft – sondern erhält sofort eine Erklärung, was er getan hat und wie er es hätte erkennen können.
Dieser direkte Lernmoment ist deutlich wirksamer als jede theoretische Schulung. Laut einer Auswertung des Europäischen Agentur für Cybersicherheit (ENISA) reduzieren regelmäßige Phishing-Simulationen die Klickrate auf Phishing-Mails innerhalb von 12 Monaten um durchschnittlich 60–70 %.
Wichtig: Simulationen sind kein Überwachungsinstrument. Sie sollten transparent kommuniziert werden – Mitarbeiter wissen, dass Simulationen stattfinden, aber nicht wann. Das schärft die Aufmerksamkeit, ohne ein Klima des Misstrauens zu erzeugen.
Passwort-Hygiene: Einfache Regeln, großer Effekt
Schwache oder mehrfach verwendete Passwörter sind nach wie vor eine der häufigsten Ursachen für Datenpannen. Die gute Nachricht: Passwort-Hygiene lässt sich mit klaren, praxisnahen Regeln deutlich verbessern.
Was Mitarbeiter wissen müssen:
- Jedes Konto braucht ein eigenes, starkes Passwort – kein Wiederverwenden
- Ein Passwort-Manager macht das handhabbar; Mitarbeiter müssen sich nur ein Master-Passwort merken
- Zwei-Faktor-Authentifizierung (2FA) ist für alle geschäftskritischen Zugänge Pflicht
- Passwörter werden nie per E-Mail, Chat oder Telefon weitergegeben – auch nicht an die IT-Abteilung
Die Einführung eines unternehmensweiten Passwort-Managers senkt die Hemmschwelle für sichere Passwörter erheblich und sollte parallel zur Schulung erfolgen.
Social Engineering: Die unterschätzte Bedrohung
Phishing per E-Mail ist die bekannteste Form – aber bei weitem nicht die einzige. Vishing (Anrufe, bei denen sich Angreifer als IT-Support, Bank oder Behörde ausgeben) und Pretexting (fingierte Szenarien, um Informationen oder Zugang zu erlangen) sind ebenso wirksam und werden seltener trainiert.
Mitarbeiter sollten konkrete Szenarien kennen:
- Ein „IT-Mitarbeiter" ruft an und bittet um das aktuelle Passwort zur Fehlerbehebung
- Eine „Führungskraft" schreibt per Chat und bittet dringend um eine Überweisung
- Ein Fremder folgt einem Mitarbeiter durch die Zutrittskontrolle (Tailgating)
Rollenspiele und kurze Video-Szenarien sind hier besonders effektiv. Sie verankern Muster im Gedächtnis, bevor ein realer Angreifer sie ausnutzen kann.
Was ein wirksames Schulungsprogramm enthält
Ein gutes Security-Awareness-Programm ist kein Einmal-Event, sondern ein kontinuierlicher Prozess:
- Basis-Schulung beim Onboarding: Grundlagen, Unternehmensrichtlinien, Ansprechpartner
- Regelmäßige Auffrischung (quartalsweise): Aktuelle Bedrohungslagen, neue Angriffsmuster
- Phishing-Simulationen (monatlich bis quartalsweise): Mit direktem Feedback-Loop
- Abteilungsspezifische Module: Buchhaltung, HR und Führungskräfte sind bevorzugte Ziele und brauchen angepasste Inhalte
- Klare Meldewege: Mitarbeiter müssen wissen, wen sie kontaktieren, wenn sie einen Verdacht haben – und keine Angst haben, Fehler zu melden
Der letzte Punkt ist besonders wichtig: Eine Sicherheitskultur, in der Fehler gemeldet werden dürfen, ermöglicht schnelle Reaktion. Wenn Mitarbeiter aus Angst vor Konsequenzen schweigen, bleibt ein Angriff unentdeckt.
NIS2 und die rechtliche Dimension
Für Unternehmen, die unter die NIS2-Richtlinie fallen (kritische Infrastrukturen, wichtige und wesentliche Einrichtungen), sind Mitarbeiterschulungen keine Empfehlung, sondern Pflicht. Artikel 21 der Richtlinie verlangt explizit Maßnahmen zur Sensibilisierung und Schulung der Mitarbeiter in Cybersicherheitsfragen.
Auch unabhängig von NIS2 gilt: Im Ernstfall eines Datenschutzvorfalls prüft die Datenschutzbehörde, ob angemessene technische und organisatorische Maßnahmen (TOMs) getroffen wurden. Fehlende Schulungen können als Versäumnis gewertet werden.
Mehr zu NIS2-Anforderungen und technischen Schutzmaßnahmen: Firewall für KMU: OPNsense vs. pfSense
Fazit
Technische Sicherheitsmaßnahmen und menschliche Awareness ergänzen sich – sie ersetzen sich nicht. Wer nur in Technik investiert und die menschliche Komponente ignoriert, hat eine Lücke, die Angreifer systematisch ausnutzen. Gut durchgeführte, regelmäßige Schulungen mit praktischen Elementen sind eine der kosteneffizientesten Maßnahmen in der IT-Sicherheit.