Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Security Awareness

Der Mensch ist Ihr
wichtigstes Sicherheitssystem.

91 % aller Cyberangriffe beginnen mit menschlichem Fehlverhalten. Mit Live Hacking Shows, Phishing-Simulationen und dem Escape Desk machen wir Ihre Mitarbeitenden zur stärksten Verteidigungslinie - messbar und nachhaltig.

Kostenlose Erstberatung vereinbaren Awareness-Formate ansehen
ISO 27001-zertifiziert NIS-2-konform Auditfähige Berichte AZAV-anerkannter Schulungsträger

Vertrauen führender Unternehmen

Angriffe starten beim Menschen
Klickraten-Reduktion nach Training
Durchgeführte Kampagnen
Reaktionszeit auf Anfragen

Das Kernproblem

Technik allein schützt nicht.

Firewall, EDR, SIEM - all das hilft nichts, wenn ein Mitarbeiter auf den falschen Link klickt. Der Mensch ist das bevorzugte Angriffsziel moderner Cyberkrimineller.

Phishing trifft jeden - auch Profis

Moderne Phishing-Angriffe sind so präzise, dass selbst IT-Erfahrene sie nicht immer erkennen. Spear-Phishing mit persönlichen Bezügen aus sozialen Medien hat eine durchschnittliche Klickrate von 30 %. Ohne regelmäßiges Training steigen diese Zahlen weiter.

Einmalige Schulungen verpuffen

Nach einer Einmalschulung sinkt das Sicherheitsbewusstsein innerhalb von 30 Tagen auf das Ausgangsniveau. Die Ebbinghaus-Vergessenskurve gilt auch für Security-Wissen. Nur kontinuierliche, abwechslungsreiche Maßnahmen erzeugen dauerhafte Verhaltensänderung.

NIS-2 fordert nachweisbare Schulungen

§ 30 Abs. 2 Nr. 4 BSIG-E schreibt regelmäßige Awareness-Schulungen für NIS-2-betroffene Unternehmen vor. Wer diese Nachweise nicht erbringen kann, riskiert Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes - und persönliche Haftung der Geschäftsleitung.

Kein Messergebnis - kein Fortschritt

Viele Awareness-Maßnahmen erzeugen keine verwertbaren Daten. Ohne Klickraten-Tracking, Abteilungsvergleiche und Verbesserungs-Kennzahlen wissen IT-Leiter und CISOs nicht, ob Investitionen wirken - und können das auch Auditoren und dem Vorstand gegenüber nicht belegen.

Quellen: Verizon DBIR 2024, IBM Cost of a Data Breach Report 2024, BSI-Lagebericht 2024

Awareness-Formate

Drei bewährte Formate, die sich gegenseitig ergänzen - von der emotionalen Erfahrung bis zur messbaren Verhaltensänderung im Arbeitsalltag.

01

Live Hacking Show

Erleben Sie live, wie Angreifer vorgehen - eindrucksvoll und verständlich für jede Zielgruppe vom Vorstand bis zur Sachbearbeitung.

Leistung entdecken
02

Managed Phishing Simulation

Automatisierte oder individuelle Phishing-Kampagnen, die die Awareness Ihrer Mitarbeiter messbar und nachhaltig steigern.

Leistung entdecken
03

Escape Desk

Informationssicherheit spielerisch erleben - ein interaktives Format, das Sicherheitsbewusstsein nachhaltig verankert.

Leistung entdecken

Awareness beginnt mit dem ersten Schritt.

In einem kostenlosen 30-Minuten-Gespräch besprechen wir, welches Format am besten zu Ihrer Belegschaft und Ihren Compliance-Anforderungen passt.

Jetzt Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

So funktioniert es

Von der Analyse zur messbaren Verhaltensänderung

Unser strukturierter Awareness-Ansatz stellt sicher, dass Maßnahmen nicht im Sande verlaufen - sondern dauerhaft wirken.

01

Ist-Analyse & Zieldefinition

Wir erheben das aktuelle Sicherheitsbewusstsein Ihrer Belegschaft - anonym, schnell und ohne Vorabinvestition. Auf Basis dieser Ausgangsmessung definieren wir realistische Ziele und wählen das passende Format.

02

Maßnahmenplanung

Wir entwickeln einen Jahresplan mit aufeinander aufbauenden Maßnahmen: Phishing-Kampagnen, Live-Events, Micro-Learnings. Jede Maßnahme wird auf Ihre Branche, Unternehmensgröße und aktuelle Bedrohungslage zugeschnitten.

03

Durchführung & Messung

Wir setzen alle Maßnahmen durch - ohne internen Aufwand für Ihr Team. Ergebnisse werden in Echtzeit erfasst: Klickraten, Meldequoten, Abteilungsvergleiche und Trendanalysen stehen Ihnen in einem Dashboard zur Verfügung.

04

Reporting & Nachweis

Sie erhalten quartalsweise auditfähige Berichte - aufbereitet für Auditoren, ISO-27001-Reviews und NIS-2-Nachweise. Inklusive Branchenvergleich und klarer Empfehlung für die nächsten Maßnahmen.

Drei Formate im Vergleich

Jedes Format hat seine Stärke - am wirksamsten ist die Kombination.

Kriterium Live Hacking Phishing Simulation Escape Desk
Ziel Emotionale Sensibilisierung Verhaltensänderung Spielerisches Lernen
Dauer 60-120 Minuten Kontinuierlich 2-3 Stunden
Teilnehmer 10-500 Personen Alle Mitarbeitenden 5-15 pro Gruppe
Messbarkeit Feedback-Auswertung KPI-Dashboard Gruppenauswertung
Ideal als Kickoff / jährliches Event Laufendes Training Teambuilding / Auffrischung
Preis ab 2.500 EUR 1.200 EUR auf Anfrage

Ihre Ansprechpartner

Unsere Awareness-Experten beraten Sie zu Formaten, Kampagnenplanung und messbarer Wirkung.

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen

Für wen eignet sich Security Awareness?

Alle Mitarbeitenden

Vom Empfang bis zur Geschäftsführung - jeder ist ein potenzielles Angriffsziel und muss Phishing, Social Engineering und Passwortsicherheit verstehen.

Führungskräfte & Vorstand

CEO-Fraud und Whaling-Angriffe zielen gezielt auf Entscheider. Executive-Awareness schützt vor Millionenschäden durch gezielte Manipulation.

IT-Abteilungen

Auch IT-Profis fallen auf gut gemachte Angriffe herein. Technisches Detailwissen schützt nicht automatisch vor Social Engineering.

NIS-2-betroffene Unternehmen

Nachweispflichtige Awareness-Schulungen nach § 30 BSIG-E. Unsere Maßnahmen erzeugen auditfähige Berichte für Behörden und Prüfer.

Unternehmen mit Remote-Teams

Verteilte Teams sind besonders anfällig - fehlende persönliche Verifizierung erhöht das Risiko von Phishing und Business E-Mail Compromise (BEC).

Branchen mit hohem Schutzbedarf

Gesundheitswesen, Finanzdienstleistungen, KRITIS-Betreiber - überall, wo Datendiebstahl oder Betriebsunterbrechung existenzbedrohend sein kann.

Warum AWARE7 für Security Awareness

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

„Sehr guter Ablauf der Absprachen, sehr gute interaktive Schulung.“

Renate S.

Gesundheitskonzern

Awareness + Technik = maximaler Schutz

Ergänzen Sie Ihr Awareness-Programm mit technischen Sicherheitsprüfungen.

Penetrationstest

Decken Sie technische Schwachstellen auf, die kein Awareness-Training schließen kann.

Pentest anfragen

Schwachstellenscan

Automatisierte Scans als Ergänzung - erkennen Sie Lücken, bevor Angreifer sie finden.

Scan kennenlernen

ISMS ISO 27001

Awareness ist ein Pflichtbestandteil jedes ISMS. Wir verbinden beides aus einer Hand.

ISO-Beratung starten

Häufige Fragen

Ihre Fragen zu Security Awareness

Alles, was CISOs, IT-Leiter und Compliance-Verantwortliche vor dem Start eines Awareness-Programms wissen müssen.

Security Awareness bezeichnet Maßnahmen, die Mitarbeitende für Cyberbedrohungen sensibilisieren und befähigen, sicherheitsrelevante Situationen richtig zu erkennen und zu handeln. Laut IBM-Studien beginnen über 90 % aller erfolgreichen Cyberangriffe mit menschlichem Fehlverhalten - sei es das Klicken auf einen Phishing-Link, schwache Passwörter oder das Öffnen unbekannter Anhänge. Technische Schutzmaßnahmen allein reichen nicht aus: Der Mensch muss als aktiver Teil der Sicherheitsstrategie verstanden werden.
Viele Unternehmen versenden einmalig Test-Phishing-Mails und sehen eine niedrige Klickrate als Erfolg. Professionelle Managed Phishing Simulationen gehen weit darüber hinaus: Wir variieren Szenarien, passen Köder an aktuelle Ereignisse in Ihrem Unternehmen an, kombinieren Phishing mit Vishing (Telefon-Angriffe) und messen nicht nur Klickraten, sondern auch Meldeverhalten, Reaktionszeiten und das Verbesserungspotenzial pro Abteilung. Sie erhalten eine detaillierte Analyse mit Branchenvergleich und einer priorisierten Maßnahmen-Roadmap.
Einmalige Schulungen sind weitgehend wirkungslos - die Vergessenskurve setzt nach wenigen Wochen ein. Best-Practice ist ein kontinuierliches Programm: monatliche Micro-Learnings (3-5 Minuten), quartalsweise Phishing-Simulationen und jährliche Vertiefungsmaßnahmen wie Live Hacking Shows oder Escape Desk Sessions. NIS-2-pflichtige Unternehmen müssen nachweisen, dass Awareness-Schulungen regelmäßig durchgeführt werden - unser Managed-Ansatz erzeugt automatisch auditfähige Berichte.
Die Kosten richten sich nach Teilnehmerzahl, Format und Intensität. Eine Phishing-Simulation für bis zu 100 Mitarbeitende beginnt ab ca. 1.200 EUR, eine Live Hacking Show (bis 100 Teilnehmende, 90 Minuten) ab ca. 2.500 EUR. Der Escape Desk wird als Workshop-Format abgerechnet. Für Unternehmen, die ein ganzjähriges Managed-Programm buchen, bieten wir Pauschalpreise an. Kontaktieren Sie uns für ein individuelles Angebot - Sie erhalten innerhalb von 24 Stunden eine Rückmeldung.
Ja, direkt. § 30 Abs. 2 Nr. 4 BSIG-E (NIS-2-Umsetzung) verpflichtet betroffene Unternehmen explizit zur Schulung der Mitarbeitenden in Cybersicherheitsfragen. Das BSI nennt Awareness-Maßnahmen als Kernbestandteil eines ISMS nach ISO 27001 (Anhang A, Maßnahme 6.3). Unsere Maßnahmen sind vollständig dokumentiert und liefern auditfähige Nachweise - sowohl für interne Audits als auch für Behördenanfragen.
Absolut - und das ist besonders wichtig. CEO-Fraud, Spear-Phishing und Social-Engineering-Angriffe zielen bevorzugt auf Entscheidungsträger. Unsere Live Hacking Shows und Executive-Workshops sind speziell für Führungskräfte konzipiert: weniger technisch, stärker auf Business-Risiken und reale Angriffsszenarien fokussiert. Viele unserer Kunden kombinieren eine Vorstandspräsentation mit einer flächendeckenden Awareness-Maßnahme für alle Mitarbeitenden.
Wir empfehlen die Kombination aus einer Live Hacking Show als Kickoff-Event (erzeugt emotionale Betroffenheit und Aufmerksamkeit) und anschließenden monatlichen Phishing-Simulationen (trainiert das gelernte Verhalten). Der Escape Desk eignet sich hervorragend als Auffrischung nach 6-12 Monaten. In der kostenlosen Erstberatung entwickeln wir einen maßgeschneiderten Plan für Ihr Unternehmen.
Unsere Hauptsprache ist Deutsch. Phishing-Simulationen können auch auf Englisch durchgeführt werden. Live Hacking Shows bieten wir auf Deutsch und Englisch an. Für internationale Teams erstellen wir mehrsprachige Kampagnen mit einheitlichem Reporting.
Eine Phishing-Simulation kann innerhalb von 5-10 Werktagen aufgesetzt werden. Für eine Live Hacking Show planen wir in der Regel 2-4 Wochen Vorlauf ein. Der Escape Desk benötigt ca. 3 Wochen Vorbereitung. In dringenden Fällen (z.B. nach einem Sicherheitsvorfall) können wir auch kurzfristiger reagieren.

Weitere Fragen? Sprechen Sie direkt mit unseren Experten.

Aus dem Blog

Weiterführende Artikel

Machen Sie Ihre Mitarbeiter zur stärksten Verteidigungslinie.

Kostenloses 30-Minuten-Erstgespräch. Kein Verkaufsdruck, keine Standardlösungen - nur ehrliche Beratung, was für Ihr Unternehmen wirklich passt.

Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung