Security Awareness Schulung — nachhaltige Sicherheitskultur im Unternehmen.

Die beste technische Sicherheitsarchitektur scheitert an unbedachten Klicks im Alltag. Awareness ist deshalb kein Plakat im Pausenraum, sondern ein systematischer Prozess. Wir konzipieren mehrstufige Kampagnen mit Ampelsystemen und KPI-gestütztem Reporting — ein von uns entwickeltes Konzept wurde 2025 mit einem internen Cyber-Security-Award eines Konzernlogistik-Dienstleisters aus dem Luftfahrt-Umfeld ausgezeichnet.

9 Minuten Lesezeit · Themen: ISO 27001 A.6.3, NIS-2-Pflichten, mehrstufige Kampagnen
Inhalt
7 Abschnitte · 9 Minuten Lesezeit
  1. 01Warum Awareness funktioniert — und warum oft nicht2 min
  2. 02Was die Normen verlangen: ISO 27001 A.6.3 und NIS-21 min
  3. 03Drei Säulen: Wissen, Verhalten, Kultur2 min
  4. 04Mehrstufige Kampagnen mit Ampelsystem2 min
  5. 05Phishing-Simulationen — Sinn und Grenzen1 min
  6. 06KPI-gestütztes Reporting und Wirksamkeits-Messung1 min
  7. 07Häufig gestellte Fragen3 min

Warum Awareness funktioniert — und warum oft nicht

Die überwiegende Mehrheit aller erfolgreichen Cyber-Angriffe auf Unternehmen beginnt mit einer menschlichen Handlung — einem Klick auf einen Phishing-Link, der Eingabe von Zugangsdaten auf einer gefälschten Seite, dem Anstecken eines unbekannten USB-Sticks oder einer telefonischen Auskunft an einen vermeintlichen Kollegen. Technische Schutzmaßnahmen können viel abfangen, aber sie ersetzen nicht das Sicherheits-Bewusstsein der Mitarbeitenden.

Trotzdem scheitern viele Awareness-Programme an einem Konstruktionsfehler: Sie sind als einmalige Pflichtschulung konzipiert. Einmal im Jahr ein Web-Based-Training, ein Multiple-Choice-Test, ein Zertifikat im Personalakt — und dann zwölf Monate Stille. Verhalten ändert sich so nicht. Lerneffekte verflüchtigen sich innerhalb weniger Wochen, und in der Praxis sind nach drei Monaten kaum noch nachweisbare Effekte vorhanden.

Awareness funktioniert, wenn drei Bedingungen erfüllt sind: Wiederholung in kurzen Intervallen, Anbindung an reale Situationen aus dem Arbeitsalltag und messbare Rückmeldung an die Mitarbeitenden. Wer diese drei Dinge konsequent umsetzt, kann nachweisbare Verhaltensänderungen erreichen.

Was die Normen verlangen: ISO 27001 A.6.3 und NIS-2

ISO 27001:2022 widmet dem Thema in Anhang A einen eigenen Control: A.6.3 Information security awareness, education and training. Die Norm fordert, dass alle Mitarbeitenden (und gegebenenfalls relevante Externe) angemessene Schulung zur Informationssicherheit erhalten — angepasst an ihre Rolle und mit regelmäßiger Auffrischung.

Das NIS2UmsuCG geht darüber hinaus und macht Schulung zur Pflicht der Geschäftsleitung (§38). Geschäftsführer und Vorstände müssen sich selbst regelmäßig in Cybersicherheit schulen lassen und die Schulung der Mitarbeitenden überwachen. Bei Verletzung dieser Pflicht haftet die Geschäftsleitung persönlich.

Auch TISAX (VDA-ISA 6) und der KRITIS-Nachweis nach §8a BSIG erwarten dokumentierte Schulungs- und Awareness-Konzepte. Der Trend ist eindeutig: Awareness ist von der freiwilligen Kür zur regulatorischen Pflicht geworden.

Drei Säulen: Wissen, Verhalten, Kultur

Wirksame Awareness-Programme arbeiten auf drei Ebenen gleichzeitig — mit unterschiedlichen Methoden und Messgrößen:

  • Wissen. Was muss eine Mitarbeiterin oder ein Mitarbeiter über Informationssicherheit verstehen? Welche Bedrohungen gibt es, wie erkennt man sie, was sind die internen Spielregeln? Methode: Schulungen, Lehrvideos, Quizze. Messgröße: Wissens-Stand vor und nach der Schulung.
  • Verhalten. Wie reagieren Mitarbeitende in konkreten Situationen? Klicken sie auf einen Phishing-Link, geben sie Auskünfte am Telefon, verriegeln sie ihren Bildschirm beim Verlassen des Arbeitsplatzes? Methode: Phishing-Simulationen, Verhaltens-Beobachtung, Stichproben. Messgröße: Klick-Raten, Reaktions-Zeiten, gemeldete Vorfälle.
  • Kultur. Wie wird über Sicherheit im Unternehmen gesprochen? Trauen sich Mitarbeitende, einen verdächtigen Vorfall zu melden — auch wenn sie unsicher sind? Wird Sicherheit als Hindernis oder als gemeinsame Verantwortung empfunden? Methode: Befragungen, Kultur-Surveys, qualitative Interviews. Messgröße: Stimmungs-Indikatoren, Melde-Bereitschaft, Reife der Sicherheits-Diskurse.

Programme, die nur auf Wissen abzielen, bleiben wirkungslos. Programme, die Verhalten messen, ohne die Kultur zu adressieren, erzeugen Widerstand. Programme, die alle drei Säulen verbinden, können nachhaltige Veränderung bewirken.

Mehrstufige Kampagnen mit Ampelsystem

Statt einmaliger Großschulungen arbeiten wir mit mehrstufigen Kampagnen über das Jahr. Eine typische Architektur:

  1. Auftakt-Schulung (Q1). Ein verpflichtendes Basis-Training für alle Mitarbeitenden, idealerweise rollen-spezifisch differenziert (Office-Tätigkeiten vs. Produktion vs. IT vs. Geschäftsleitung). Dauer: 45 bis 60 Minuten.
  2. Vertiefungs-Module (Q2). Kürzere thematische Einheiten zu spezifischen Bedrohungen — Phishing, Passwort-Hygiene, Mobile-Sicherheit, Social Engineering. 10 bis 15 Minuten pro Modul, mehrere Module über mehrere Wochen.
  3. Phishing-Simulationen (laufend). Regelmäßige, kontrollierte Test-Phishing-Mails — mit individueller Rückmeldung an die Klickenden und Aggregat-Auswertung für die Sicherheits-Leitung.
  4. Themen-Aktionen (Q3 und Q4). Kampagnen zu aktuellen Bedrohungs-Lagen oder Compliance-Themen — etwa rund um den Cyber-Security-Monat im Oktober.
  5. Jahres-Wirksamkeits-Bericht (Q4). Auswertung der Kampagnen-KPIs, Bewertung der Reife-Entwicklung, Bericht an Geschäftsleitung und Aufsichtsorgane.

Ein Ampelsystem visualisiert für jede Organisationseinheit den aktuellen Awareness-Status — etwa Klick-Rate bei Phishing-Simulationen, Schulungs-Abschluss-Quoten, Anzahl gemeldeter Verdachtsfälle. Grün, Gelb, Rot. Die Visualisierung macht aus einer abstrakten Compliance-Anforderung eine konkrete Steuerungs-Aufgabe für Führungskräfte.

Phishing-Simulationen — Sinn und Grenzen

Phishing-Simulationen sind ein bewährtes Awareness-Werkzeug — aber nur, wenn sie richtig eingesetzt werden. Sinnvoll umgesetzt bedeutet:

  • Regelmäßige, aber unangekündigte Simulationen mit realistischen Szenarien
  • Differenzierte Schwierigkeitsgrade, je nach Rolle und vorherigem Verhalten
  • Individuelle, lernfreundliche Rückmeldung an Klickende — keine Bloßstellung
  • Aggregat-Auswertung für Sicherheits-Leitung und Führungskräfte
  • Verbindung zu Schulungs-Modulen: Wer klickt, bekommt ein gezieltes Mikro-Training

Falsch eingesetzt können Phishing-Simulationen Vertrauen zerstören. Wenn Mitarbeitende den Eindruck haben, „getestet“ und bei Versagen „bestraft“ zu werden, entstehen Misstrauen und Vermeidungs-Verhalten. Eine gute Simulation ist Lernen, keine Falle. Sie wird transparent kommuniziert, ist Teil eines Gesamt-Konzepts, und ihre Ergebnisse fließen in die Verbesserung der Schulungen ein — nicht in Personal-Akten.

Wichtig ist auch: Phishing-Simulationen müssen mit dem Betriebsrat abgestimmt sein, wenn ein solcher besteht. Die Messung von Verhalten einzelner Mitarbeitender ist mitbestimmungs-pflichtig.

KPI-gestütztes Reporting und Wirksamkeits-Messung

Awareness-Programme ohne Messung sind nicht steuerbar — und vor Auditoren nicht belastbar. Folgende KPIs haben sich in der Praxis bewährt:

  • Schulungs-Abschluss-Quote pro Organisationseinheit (Ziel: dauerhaft über 95 %)
  • Phishing-Klick-Rate bei Simulationen (Branchen-Benchmark: 15-20 %, Ziel: unter 5 %)
  • Phishing-Melde-Rate — wie viele Verdachtsfälle werden aktiv gemeldet (steigend = besser)
  • Time-to-Report — durchschnittliche Zeit zwischen Phishing-Mail und Meldung
  • Quality-of-Report — wie nützlich sind die Meldungen für die Bedrohungs-Analyse
  • Awareness-Survey-Scores aus jährlichen Mitarbeitenden-Befragungen

Diese KPIs werden in ein konsolidiertes Reporting an die Geschäftsleitung überführt. Wichtig ist die Verbindung zu konkreten Maßnahmen: Wenn ein KPI rot wird, muss klar sein, was als Reaktion zu tun ist. Reporting ohne Steuerungs-Logik wird zur Pflichtübung — und verliert seine Wirkung.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem Awareness-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Reicht ein einmaliges Web-Based-Training pro Jahr nicht aus?

Für die formale Compliance-Erfüllung ja — für eine messbare Verhaltensänderung nein. Lerneffekte aus Einmal-Schulungen verflüchtigen sich innerhalb weniger Wochen. Wer Awareness als Pflichtkurs abhakt, bleibt bei der Schulungs-Abschluss-Quote, ohne die Klick-Rate bei Phishing zu senken. Wer Wirkung will, braucht mehrstufige Programme.

Wie aufwendig ist ein Awareness-Programm für einen Mittelständler?

Der Aufwand skaliert mit der Größe der Organisation und verteilt sich auf externe Plattform und Lizenzen, externe Beratung und internen Aufwand. Der größte Teil ist Konzept- und Begleitungsaufwand im ersten Jahr; im Folgejahr sinkt er deutlich. Die konkrete Kalkulation erfolgt mandatsspezifisch und aufwandsbasiert.

Welche Awareness-Plattformen empfehlen Sie?

Wir sind hersteller-unabhängig und wählen Plattformen pro Mandat nach Bedarf. Bewährt haben sich verschiedene deutsche und europäische Anbieter mit guten DSGVO-Konformitätsstrukturen und differenzierten Modul-Bibliotheken. Welche konkret zu Ihrer Situation passt, klären wir im Rahmen der Konzept-Phase — das hängt von Sprach-Anforderungen, Zielgruppen-Differenzierung und vorhandenen Lernmanagement-Systemen ab.

Müssen wir die Geschäftsleitung extra schulen?

Ja — und zwar mit einem eigenen Curriculum. Geschäftsleitungs-Schulungen sind unter NIS-2 §38 Pflicht und unterscheiden sich inhaltlich deutlich von Mitarbeiter-Schulungen: Statt Phishing-Erkennung geht es um Governance-Verantwortung, Haftungs-Themen, Steuerungs-Kennzahlen und persönliche Sicherheits-Risiken (CEO-Fraud, Spear-Phishing auf Führungs-Ebene).

Was ist mit Mitarbeitenden in der Produktion ohne PC-Arbeitsplatz?

Auch sie sind Teil des Programms — mit angepassten Formaten. Statt Web-Based-Trainings: gedruckte Materialien, Kurz-Workshops, Sicherheits-Briefings im Schichtwechsel, Plakate in Pausenräumen. Themen sind dort andere: physische Zutritts-Kontrollen, Umgang mit USB-Geräten an Steuerungs-Anlagen, Social Engineering durch vermeintliche Handwerker. Die Inhalte müssen zur Lebenswelt passen.

Haben Sie konkrete Referenz-Erfahrungen aus Awareness-Mandaten?

Ja. Ein von uns entwickeltes Awareness-Konzept für einen Konzernlogistik-Dienstleister aus dem Luftfahrt-Umfeld wurde 2025 mit einem internen Cyber-Security-Award des Auftraggebers ausgezeichnet. Bewertet wurde die Verbindung aus mehrstufiger Kampagnen-Architektur, KPI-gestütztem Reporting und der erkennbaren Verhaltensänderung in den Auswertungen über mehrere Quartale. Das Konzept dient uns heute als Referenz-Architektur für vergleichbare Mandate.

Unser Ansatz

Wie wir Awareness-Programme aufbauen.

Wir konzipieren Awareness-Programme als mehrstufige Jahres-Kampagnen mit Ampelsystem und KPI-gestütztem Reporting. Unser Vorgehen beginnt mit einer Bestandsaufnahme: Welche Bedrohungs-Lage ist relevant, welche Mitarbeitenden-Gruppen sind besonders exponiert, welche Schulungs-Strukturen sind bereits vorhanden? Daraus entsteht ein Konzept mit klar definierten Modulen, Zeitplänen und Verantwortlichkeiten.

Für die Geschäftsleitung entwickeln wir separate Briefing-Formate, die den Haftungs-Anforderungen aus §38 NIS2UmsuCG entsprechen. Wir arbeiten hersteller-unabhängig bei der Auswahl von Awareness-Plattformen und integrieren die Inhalte in vorhandene Lernmanagement-Systeme. Auf Wunsch begleiten wir das Programm operativ über mehrere Jahre und liefern jährliche Wirksamkeits-Berichte an die Geschäftsleitung.

Erstgespräch zur Awareness-Strategie.

30 Minuten. Wir klären, welche Bedrohungs-Lage für Sie relevant ist, wie ein Jahres-Programm aussehen könnte und welche regulatorischen Pflichten Sie konkret treffen.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

Awareness ist Teil eines größeren Sicherheits-Bildes.

In den meisten Mandaten verbindet sich Awareness mit folgenden Themen:

Informationssicherheits-Managementsystem A.6.3 ist ein zentraler Control im ISO-27001-Annex NIS-2-Umsetzung Schulungspflichten für Mitarbeitende und Geschäftsleitung sind NIS-2-Kern TISAX-Beratung Awareness-Konzepte sind Pflicht-Bestandteil jedes TISAX-Audits