Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Security Awareness Glossar

Security Awareness Training - Menschliche Firewall aufbauen

Security Awareness Training bildet Mitarbeiter zur menschlichen Firewall aus: Phishing-Erkennung, Social Engineering, Passwort-Hygiene, Mobile Security, DSGVO-Pflichten. Effektive Programme nutzen Phishing-Simulationen (Klickrate Ziel: <5%), Micro-Learning (3-5 Min.), Gamification und spear-phishing-basierte Nachulung. KPIs: Klickrate, Reportingrate, Credential-Eingaberate. Regulatorisch gefordert: NIS2, ISO 27001 A.7.2.2, BSI IT-Grundschutz ORP.3.

Security Awareness Training ist die systematische Schulung von Mitarbeitern, um menschliche Schwachstellen zu reduzieren. Technik kann die meisten Angriffe blockieren - aber Phishing, Social Engineering und Insider-Bedrohungen zielen auf Menschen, nicht auf Systeme.

Warum technische Kontrollen allein scheitern

Statistiken (Verizon DBIR 2024)

  • 68% aller Datenschutzverletzungen: menschliches Versagen
  • 36% aller Angriffe: Phishing als initialer Vektor
  • Durchschnittliche Klickrate ohne Training: 30-40%
  • Mit regelmäßigem Training: < 5% (Benchmark)

Was Training leisten kann

  • Phishing erkennen: gefährliche E-Mails melden statt klicken
  • Social Engineering widerstehen: Pretext-Anrufe, CEO-Fraud
  • Passwortsicherheit: schwache Passwörter, Wiederverwendung vermeiden
  • DSGVO-Bewusstsein: Datenschutzpannen melden
  • Incident Reporting: “wenn in Zweifel, melden!”

Was Training nicht kann

  • Spear-Phishing vollständig eliminieren (gezielte Angriffe treffen trotzdem)
  • Technische Kontrollen ersetzen (MFA, EDR, E-Mail-Filter)
  • Einmal jährlich und fertig - kontinuierlich nötig!

Aufbau eines effektiven Awareness-Programms

Phase 1: Baseline messen (Woche 1-4)

  • Phishing-Simulation ohne Vorwarnung: Klickrate messen
  • Quiz: Grundwissen der Mitarbeiter bewerten
  • Wissenslücken identifizieren
  • Risiko-Profiling: welche Abteilungen/Rollen sind exponierter?

High-Risk-Gruppen (priorisieren):

  • Finanzbuchhaltung (BEC/CEO-Fraud Ziel!)
  • C-Suite und Assistenz (Whaling-Ziel!)
  • IT-Administratoren (privilegierter Zugang)
  • HR und Recruitment (Fake-Bewerbungen mit Malware)
  • Neue Mitarbeiter (noch nicht eingearbeitet)

Phase 2: Inhalte erstellen/auswählen

Pflicht-Module (Mindeststandard):

  • Phishing erkennen (E-Mail, SMS, QR-Code)
  • Social Engineering und Pretext-Anrufe
  • Passwort-Hygiene und Passwort-Manager
  • Sichere Nutzung von Firmengeräten und BYOD
  • DSGVO-Grundlagen und Datenschutzpannen melden
  • Remote-Work-Sicherheit (Heimnetz, Kaffeehaus-WLAN)
  • Incident Reporting (wie, wo, wann melden?)

Format-Empfehlungen:

  • Micro-Learning: 3-5 Minuten pro Lektion (kein 1h-Jahresvideo!)
  • Video + Quiz: interaktiv, keine reinen Text-Slides
  • Szenario-basiert: “Was würdest du in dieser Situation tun?”
  • Mobile-fähig: Mitarbeiter können auf Handy lernen
  • Deutsch + andere Sprachen (mehrsprachige Teams!)

Phase 3: Durchführung

  • LMS (Learning Management System): KnowBe4, Proofpoint TAP, Hoxhunt, Kaspersky ASAP
  • Rollout: alle Mitarbeiter, Pflichtmodule + Quizze
  • Reminder: automatische E-Mail-Erinnerungen bei offenen Schulungen
  • Zertifikate: Abschluss-Bestätigungen (Compliance-Nachweis!)

Phase 4: Phishing-Simulationen

  • Regelmäßig: monatlich oder quartalsweise
  • Realistische Templates: aktuelle Themen (Paketbenachrichtigung, IT-Support)
  • Clicker: sofortiges Mikro-Training (“Du hast geklickt! Hier warum gefährlich:”)
  • Keine Bestrafung: Lernerfahrung, nicht Disziplinmaßnahme
  • Berichte: Klickraten pro Abteilung, Trend over time

Phishing-Simulations-KPIs

Phishing-KPIs

Klickrate (Click Rate):

  • Wie viele Mitarbeiter klicken auf Phishing-Link?
  • Benchmark: < 5% (Ziel nach 12 Monate Training)
  • Alarm: > 20% (sofortige Maßnahmen!)

Credential-Eingaberate:

  • Wie viele geben nach Klick Username/Passwort ein?
  • Sollte deutlich niedriger als Klickrate sein

  • 50% der Klicker geben Credentials ein: Passwort-Manager fehlt!

Reporting-Rate:

  • Wie viele melden die Phishing-Simulation als verdächtig?
  • Gut: > 25% melden aktiv
  • Ziel: > 60% (proaktive Security-Kultur)
  • “Report Phishing”-Button in Outlook/Gmail: einfaches Melden ermöglichen

Time to Report:

  • Wie schnell wird eine echte Phishing-Kampagne gemeldet?
  • Benchmark: < 1h (von erster E-Mail bis zur Meldung)
  • Kritisch für SOC-Reaktionszeit!

Awareness-Programm-KPIs

KPIZielBedeutung
Abschlussrate95%+% Mitarbeiter mit abgeschlossenen Pflichtmodulen (für Compliance!)
Quiz-Bestehensquote90%+% Mitarbeiter die Quiz bestehen
WiederholungsrateSteigendIndikator für Engagement
Klickrate (Trend)SinkendTraining wirkt!
Reporting-Rate (Trend)SteigendKultur verbessert sich!

Spear-Phishing und gezielte Simulationen

Standard-Simulation (Level 1)

  • “Bitte Passwort zurücksetzen”
  • “DHL: Paket konnte nicht zugestellt werden”
  • “IT-Support: Sicherheitsupdate erforderlich”

Spear-Phishing-Simulation (Level 2)

Personalisiert und mit hohem Realismus für größten Lerneffekt:

  • Personalisiert: Name, Abteilung, Projektname
  • Von “bekannten” Absendern: CEO-Name, Chef-Name
  • Aktueller Kontext: “Re: Q1-Budget-Meeting”
Beispiel-Szenario (CEO-Fraud):
Von: "Maximilian Müller (CEO)" <m.müller@firma-corp.com>
An:  buchhaltung@firma.de
Betreff: DRINGEND: Überweisung für Akquisition
Body: "Ich bin gerade im Meeting, bitte überweisen Sie heute..."
→ Klickrate auf "Bankdaten bestätigen"-Link: oft 15-20%!

Lerneffekt nach Spear-Phishing:

  • Klicker bekommen: “Das war ein Test. So erkennt man CEO-Fraud-Mails:”
  • Kein “Sie haben versagt!” - Lern-Framing!
  • Direkt danach: 5-Min-Modul zu BEC/CEO-Fraud

Vishing-Simulation (Telefonbetrug)

  • Anrufe von “IT-Support” die Zugangsdaten erfragen
  • “Microsoft Support” die Fernzugriff wollen
  • Schwieriger zu simulieren, aber sehr wirksam für Bewusstsein

Regulatorische Anforderungen

ISO 27001 (A.7.2.2)

“Alle Mitarbeiter und ggf. Auftragnehmer erhalten regelmäßige Schulungen zur Informationssicherheit sowie regelmäßige Aktualisierungen der Unternehmensrichtlinien.”

Nachweis: Schulungs-Logs, Quiz-Ergebnisse, Zertifikate

NIS2 / BSIG (§30 Abs. 3 lit. a)

“Schulungen im Bereich der Cybersicherheitshygiene”

  • Gilt für: wesentliche und wichtige Einrichtungen
  • Sanktion bei Nichterfüllung: bis 10M EUR oder 2% Jahresumsatz

BSI IT-Grundschutz (ORP.3)

AnforderungInhalt
ORP.3.A1Sensibilisierung der Institutionsleitung
ORP.3.A4Konzeption eines Schulungs- und Sensibilisierungsprogramms
ORP.3.A12Durchführung von Phishing-Kampagnen

Nachweis: Schulungskonzept + Durchführungsnachweise

DSGVO (Art. 32 + 39)

  • Datenschutz-Training als technische/organisatorische Maßnahme
  • DPO (Datenschutzbeauftragter) muss Awareness fördern (Art. 39)

Dokumentation für Audits

  • Schulungsprogramm-Dokument: welche Module, wie oft
  • Teilnahmelisten: alle Mitarbeiter + Datum
  • Quiz-Ergebnisse: als CSV/Export aus LMS
  • Phishing-Simulations-Berichte: Klickraten pro Kampagne
  • Verbesserungsmaßnahmen: was wurde nach schlechter Klickrate getan?
  • Jährliche Überprüfung: war das Programm wirksam?

AWARE7 Leistungen zum Thema

Phishing-Simulation Schulungen

Ausführlicher Wiki-Artikel

BSI IT-Grundschutz

8 Min. Lesezeit

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

16 min Lesezeit

Verwandte Begriffe

Insider Threat Phishing Phishing-Simulation - Mitarbeiter realistisch testen und schulen Social Engineering - Die Psychologie des Angriffs
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung