Die meisten Organisationen verstehen, dass Menschen eine wichtige Rolle beim Cyberrisiko spielen. Viel weniger haben ein Schulungsprogramm für Sicherheitsbewusstsein entwickelt, das das Verhalten wirklich verändert.
Ein sicherheitsrelevantes Risiko durch Menschen ist selten ein einzelner, dramatischer Vorfall. Realistisch betrachtet tritt es in ganz gewöhnlichen Momenten auf: Ein Mitarbeiter klickt auf eine überzeugende Phishing-E-Mail, verwendet ein Passwort für mehrere Business-Tools wieder, teilt Anmeldedaten im Chat oder ignoriert eine Anfrage zur Zwei-Faktor-Authentifizierung (2FA), weil sie eher wie eine Unterbrechung als ein Schutzschritt wirkt.
Im Laufe der Zeit bestimmen diese alltäglichen Entscheidungen, wie anfällig die Organisation ist. Im Vereinigten Königreich macht das allgemeine Bedrohungsbild es unmöglich, dies als unbedeutendes Problem abzutun. Der Bericht der britischen Regierung Cyber Security Breaches Survey 2025 ergab, dass die Hälfte der Unternehmen in den vorangegangenen 12 Monaten einen Cybersicherheitsvorfall oder ein Datenleck erlitten hat, wobei Phishing die häufigste Art von Cyberkriminalität unter den betroffenen Unternehmen blieb.
Für Personalverantwortliche, CISOs, COOs, IT-Manager und Sicherheitsteams ist das Training des Sicherheitsbewusstseins daher weit mehr als nur eine Compliance-Übung. So reduzieren Unternehmen vermeidbare Risiken. Die Herausforderung besteht darin, dass viele Programme immer noch nur auf das Absolvieren von Übungen ausgelegt sind, anstatt das Verhalten tatsächlich zu ändern. Teammitglieder schauen sich ein jährliches Video an, setzen ein Häkchen und kehren zu denselben Gewohnheiten zurück, die das Risiko überhaupt erst verursacht haben.
Ein effektiverer Ansatz betrachtet das Bewusstsein als Teil der Arbeitsplatzkultur. Es wird im Laufe der Zeit verstärkt, durch die jeweilige Rolle geprägt, durch praktikable Richtlinien gestützt und durch Tools unterstützt, die es einfacher machen, die sichere Wahl zu treffen.
Wir erklären, wie ein effektives Programm für Sicherheitsbewusstsein tatsächlich aussieht, warum so viele Organisationen es falsch angehen und wie du eines aufbaust, das das tägliche Verhalten verbessert, anstatt nur zu dokumentieren, dass eine Schulung stattgefunden hat.
Warum Schulungen zum Sicherheitsbewusstsein in den meisten Organisationen scheitern
Schulungen zum Sicherheitsbewusstsein scheitern oft, weil sie als Termin und nicht als System behandelt werden. In vielen Organisationen besteht das Programm aus einem jährlichen Compliance-Modul, einem kurzen Quiz und sonst fast nichts. Von den Mitarbeitern wird erwartet, dass sie einmal im Jahr allgemeine Ratschläge verinnerlichen und diese dann konsequent in Hunderten von realen Arbeitsabläufen, Tools und Entscheidungen anwenden. Das reicht einfach nicht aus, um das Verhalten nachhaltig zu verändern.
Das Problem ist nicht, dass Bewusstseinsschulungen keinen Wert haben. Es liegt vielmehr daran, dass viele Programme veraltet oder zu weit von der tatsächlichen Arbeitsweise der Menschen entfernt sind. Sie verlassen sich auf abstrakte Erinnerungen, während die realen Risiken in Posteingängen, geteilten Drive-Ordnern, Passwort-Resets, dringenden Anfragen von Vorgesetzten und täglichen Entscheidungen beim Zugreifen auftauchen. Wenn das Training nicht das nachahmt, was die Leute tatsächlich jeden Tag sehen oder tun, werden sie es wahrscheinlich weder behalten noch anwenden.
Schulungsprogramme sollten Einführungs- und Auffrischungsschulungen für alle Mitarbeiter zu Datenschutz und Informations-Governance umfassen, während die Sensibilisierung regelmäßige Kommunikationsmethoden nutzen sollte, um Informations-Governance, Datenschutz und Informationssicherheit über die Zeit hinweg präsent zu halten. Dies deutet auf ein kontinuierliches Modell hin statt auf eine einzige jährliche Maßnahme.
Ein weiterer Grund für das Scheitern von Programmen ist, dass sie sich zu sehr darauf konzentrieren, was Mitarbeiter nicht tun sollten, während sie die Grundursache für schlechte Gewohnheiten ignorieren. Den Mitarbeitern zu sagen, dass sie Passwörter nicht wiederverwenden sollen, hilft theoretisch, bringt aber wenig, wenn das Unternehmen ihnen keinen sicheren, praktischen Weg zum Erstellen, Speichern und Teilen von Anmeldedaten gegeben hat. Ihnen zu sagen, wie sie Phishing erkennen können, ist nützlich, aber weniger effektiv, wenn das Melden verdächtiger Nachrichten unklar oder mühsam ist.
Wie ein echtes Programm für Sicherheitsbewusstsein aussieht
Ein echtes Programm für Sicherheitsbewusstsein ist nichts, was Mitarbeiter einmal abschließen und dann vergessen. Es ist eine fortlaufende Reihe von Gewohnheiten, Erwartungen und Schutzmaßnahmen, die den Menschen helfen, mit der Zeit bessere Sicherheitsentscheidungen zu treffen.
Dies beginnt mit Kontinuität. Nutze Schulungsressourcen, die so konzipiert sind, dass sie bestehende Richtlinien und Verfahren ergänzen. Sie sollten praktische Bereiche wie starke Passwörter, BYOD-Best-Practices, Phishing und Meldung von Vorfällen abdecken. Dieser Mix ist nützlich, da effektives Bewusstsein nicht bei einem Thema aufhört. Es sollte die gesamte Palette routinemäßiger Handlungen widerspiegeln, die die Sicherheit an realen Arbeitsplätzen prägen.
Aber Kontinuität allein reicht nicht aus. Das Programm muss auch die realen Unterschiede widerspiegeln, wie Teams mit Risiken konfrontiert werden.
Ein effektives Programm muss zudem rollenspezifisch sein. Ein Teammitglied aus der Finanzabteilung, das Zahlungsanforderungen bearbeitet, ist nicht denselben täglichen Risiken ausgesetzt wie ein Marketing-Manager, der Social-Media-Konten teilt, oder eine HR-Leitung, die Mitarbeiterdatensätze verwaltet. Allgemeine Ratschläge haben ihre Berechtigung, funktionieren aber besser, wenn darauf Schulungen folgen, die für die Systeme, Daten und Angriffsmuster relevant sind, die für die jeweilige Gruppe am wichtigsten sind.
Die nächste Komponente ist die Praxis. Mitarbeiter entwickeln kein besseres Urteilsvermögen, nur indem sie Regeln lesen. Sie verbessern sich durch wiederholten Kontakt mit realistischen Szenarien: Phishing-Simulationen, Übungen zur Meldung von Vorfällen, Überprüfungen beim Zugreifen und kurze Erinnerungen, die mit tatsächlichen Tools oder Arbeitsabläufen verknüpft sind. Simulierte Angriffe sind besonders nützlich, da sie testen, ob das Programm das Verhalten in den entscheidenden Momenten beeinflusst und nicht nur in einer Quiz-Umgebung.
Klare Sicherheits- und Passwort-Richtlinien sind ebenso wichtig. Die Mitarbeiter müssen wissen, wie Anmeldedaten erstellt, gespeichert, geteilt und entfernt werden sollen, wenn sie nicht mehr benötigt werden, wie verdächtige Nachrichten gemeldet werden sollen, wann 2FA erforderlich ist und was zu tun ist, wenn sie glauben, einen Fehler gemacht zu haben.
Schließlich behandelt ein echtes Programm Sicherheit als gemeinsame Norm am Arbeitsplatz und nicht als spezielles IT-Anliegen. Das bedeutet, dass Vorgesetzte sie bekräftigen, Führungskräfte sie vorleben und Teams darüber sprechen, wie die Organisation im Alltag funktioniert. Der Aufbau einer solchen Kultur erfordert mehr als ein Richtliniendokument, aber es ist einer der wirksamsten Wege, um wiederholte menschliche Fehler im Laufe der Zeit zu reduzieren.
Der Leitfaden von Proton zur Cybersicherheitskultur für kleine Unternehmen am Arbeitsplatz ist hier hilfreich, da er Bewusstsein nicht als angstbasierte Kampagne darstellt, sondern als Teil der täglichen Arbeitsweise eines Unternehmens.
Warum Phishing und der Missbrauch von Anmeldedaten im Mittelpunkt des Programms stehen sollten
Wenn ein Programm zur Förderung des Sicherheitsbewusstseins versucht, alles gleichermaßen abzudecken, kann es den Fokus verlieren. Die meisten Organisationen sind besser beraten, wenn sie mit den Risiken beginnen, die am wahrscheinlichsten echten Schaden anrichten.
Phishing gehört ganz oben auf diese Liste. Der Bericht der britischen Regierung Cyber Security Breaches Survey 2025(neues Fenster) ergab, dass Phishing mit 93 % der betroffenen Unternehmen der am weitesten verbreitete Angriffsvektor unter den Unternehmen bleibt, die Cyberkriminalität erlebt haben. Das spiegelt eine breitere Realität in britischen Unternehmen wider, in denen Phishing eine der häufigsten Angriffsmethoden bleibt.
Phishing endet selten mit der Nachricht selbst. In vielen Organisationen beginnt der eigentliche Schaden erst, wenn gestohlene Anmeldedaten verwendet werden, um auf Konten zuzugreifen, die Wiederverwendung von Passwörtern auszunutzen, in andere Systeme vorzudringen oder gemeinsam genutzte Anmeldungen auszunutzen, die nie streng kontrolliert wurden.
Unternehmen müssen einen mehrschichtigen Ansatz verfolgen. Es muss für Angreifer schwieriger werden, Benutzer zu erreichen, und für Benutzer einfacher, verdächtige Phishing-Nachrichten zu erkennen und zu melden. Dies schützt Organisationen vor den Auswirkungen unerkannter Phishing-E-Mails und hilft ihnen, schnell auf Vorfälle zu reagieren.
Ein starkes Programm zur Förderung des Sicherheitsbewusstseins sollte derselben Logik folgen. Mitarbeiter müssen in der Lage sein, verdächtiges Verhalten zu erkennen, aber sie benötigen auch die entsprechenden Kontrollen, die die Auswirkungen eines Fehlers verringern.
Hier wird die Hygiene der Anmeldedaten zentral. Das Personal darauf zu trainieren, schwache oder wiederverwendete Passwörter zu vermeiden, ist nützlich, wird aber viel effektiver, wenn es durch Tools unterstützt wird, die die Abhängigkeit vom Gedächtnis verringern und die sichere Verwendung von Anmeldedaten in der Praxis erleichtern. Wir behandeln diese umfassendere präventive Denkweise auch in unserem Leitfaden zur Prävention von Datenlecks für Unternehmen, der die Rolle praktischer Kontrollen bei der Reduzierung vermeidbarer Risiken betont.
Die Rolle von Tools bei der Reduzierung des menschlichen Risikos
Sicherheitsbewusstsein ist nur ein Teil des Bildes. Menschen folgen viel eher sicheren Praktiken, wenn diese sich natürlich in ihre Arbeitsweise einfügen. Wenn die sicherste Option auch die am einfachsten zu bedienende ist, ist die Akzeptanz viel beständiger. Wenn es sich langsam, umständlich oder schwer bedienbar anfühlt, werden selbst wohlmeinende Mitarbeiter anfangen, nach Abkürzungen zu suchen.
Passwort-Management ist eines der deutlichsten Beispiele. Organisationen fordern ihre Mitarbeiter oft auf, starke, einzigartige Passwörter zu erstellen, 2FA zu nutzen und das Teilen zu vermeiden. Aber solange den Mitarbeitern keine praktische Möglichkeit dazu gegeben wird, bleibt die Anweisung nur ein Wunschdenken. Sie fallen auf leicht merkbare, einfache Passwörter, Browser-Speicher, Tabellen, Notizen-Apps oder Messaging-Tools zurück, weil sich diese Optionen im Moment schneller anfühlen.
Ein Passwort-Manager für Unternehmen hilft, diese Lücke zu schließen. Proton Pass for Business wurde entwickelt, um das Erstellen, Speichern und Teilen sicherer Passwörter in Teams zu erleichtern und gleichzeitig Organisationen eine stärkere Kontrolle über die Praktiken bei Anmeldedaten zu geben. Diese Funktionen helfen Mitarbeitern dabei, starke, einzigartige Passwörter zu erstellen und automatisch auszufüllen, 2FA für alle Konten zu nutzen und gespeicherte Anmeldedaten mit Ende-zu-Ende-Verschlüsselung zu schützen.
Das ersetzt kein Training zum Sicherheitsbewusstsein. Es verstärkt es, indem es sicheres Verhalten leichter umsetzbar macht. Anstatt vom Personal zu verlangen, sich Dutzende komplexer Passwortregeln zu merken, gibst du ihnen ein System, das das gewünschte Verhalten unterstützt. Das macht gute Sicherheitspraktiken nachhaltiger und die Durchsetzung von Richtlinien erreichbarer.
Dasselbe gilt für die Meldung von Vorfällen, Zugriffskontrollen und das Onboarding. In diesen Bereichen sind Tools oft notwendig, um Mitarbeitern einen klaren Prozess vorzugeben und der Organisation eine konsistente Übersicht und Kontrolle zu ermöglichen. Tools können das Urteilsvermögen nicht ersetzen, aber sie können sicheres Handeln im Arbeitsalltag einfacher, schneller und beständiger machen.
Ein praktisches 6-Schritte-Framework für die Einführung oder Verbesserung deines Programms zum Sicherheitsbewusstsein
Ein Programm zur Förderung des Sicherheitsbewusstseins funktioniert am besten, wenn es als operativer Rhythmus und nicht als einmalige Kampagne konzipiert ist. Das untenstehende Framework kann dir beim Einstieg helfen.
Schritt 1: Definiere die spezifischen Verhaltensweisen, die du ändern möchtest
Beginne mit dem Risiko. Identifiziere die Verhaltensweisen, die deine Organisation am wahrscheinlichsten gefährden. Dazu können das Klicken auf verdächtige Links, die Wiederverwendung von Passwörtern, das informelle Teilen von Anmeldedaten, das Versäumnis, Vorfälle zu melden, schwache Offboarding-Workflows oder der falsche Umgang mit personenbezogenen Daten wie Kunden- oder Mitarbeiterinformationen gehören.
Schritt 2: Priorisiere die Szenarien mit dem höchsten Risiko
Nicht alle Trainingsthemen müssen gleich gewichtet werden. Konzentriere dich zuerst auf die Szenarien, die für das Bedrohungsprofil und das Betriebsmodell deiner Organisation am relevantesten sind.
Für viele Unternehmen bedeutet das Phishing, den Umgang mit Anmeldedaten, Zugriffskontrolle und die Meldung von Vorfällen. Das Ziel in dieser Phase ist es, das Training des Personals auf die Verhaltensweisen und Szenarien zu konzentrieren, die das tägliche Risiko am wahrscheinlichsten verringern.
Schritt 3: Segmentiere das Training nach Rollen
Sicherheitsbewusstsein führt viel eher zu einer Verhaltensänderung, wenn Mitarbeiter ihre eigene Arbeitsrealität im Training wiedererkennen. Verschiedene Rollen bringen unterschiedliche Arten von Risiken mit sich, sei es der Umgang mit sensiblen Datensätzen, die Genehmigung von Hochrisiko-Anfragen, die Verwaltung privilegierter Zugriffe oder das Teilen von Informationen mit externen Kontakten.
Ein effektiveres Programm spiegelt diese Unterschiede wider, anstatt jedem den gleichen abstrakten Rat zu geben. Je näher das Training an den Entscheidungen liegt, vor denen die Leute tatsächlich stehen, desto einfacher lässt es sich in der Praxis anwenden.
Schritt 4: Baue einen Rhythmus der Verstärkung auf
Eine einmalige jährliche Trainingssitzung reicht nicht aus, um das Verhalten zu ändern. Nutze die Einarbeitung, Auffrischungstrainings, kurze Erinnerungen, Simulationsübungen und regelmäßige Kommunikation, um die Kernbotschaften präsent zu halten. Die Verstärkung kann dezent sein, muss aber kontinuierlich erfolgen.
Schritt 5: Unterstütze das Training durch Richtlinien und Tools
Schulungen sind viel glaubwürdiger, wenn die Mitarbeitenden sehen können, wie sie sie in der Praxis anwenden können. Achte also darauf, dass Richtlinien klar sind, leicht zu finden und in einer Sprache verfasst sind, die deine Mitarbeitenden auch tatsächlich nutzen können. Unterstütze sie dann mit Funktionen, die es einfacher machen, sich in der Praxis sicher zu verhalten.
Wenn deine Richtlinie besagt, dass das Personal starke, einzigartige Passwörter verwenden und informelles Teilen vermeiden muss, gib ihnen einen sicheren Passwort-Manager, der dies erleichtert. Wenn deine Richtlinie besagt, dass verdächtige E-Mails sofort gemeldet werden sollen, sorge dafür, dass der Pfad für die Meldung offensichtlich und unkompliziert ist.
Schritt 6: Überprüfen, messen und verbessern
Ein Programm zur Sensibilisierung für Sicherheit sollte sich mit deinem Unternehmen weiterentwickeln. Neue Tools, Rollenänderungen, Vorfälle und Arten von Angriffen führen immer wieder zu neuen Schwachstellen.
Überprüfe die Ergebnisse regelmäßig, aktualisiere die Schulung basierend auf Vorfällen und Beinahe-Fehlern und passe das Programm an, wenn du wiederkehrende Schwachstellen findest. Das Ziel ist nicht, das Programm abzuschließen, sondern es mit der Zeit effektiver zu machen.
Wie man die Wirkung misst
Einer der einfachsten Fehler bei Schulungen zur Sicherheitswarnung ist es, das zu messen, was bequem ist, statt das, was aussagekräftig ist. Abschlussquoten mögen dir verraten, wer die Schulung angesehen oder sich durch das Modul geklickt hat, aber sie sagen sehr wenig darüber aus, ob das Programm das Verhalten in Momenten beeinflusst, die tatsächlich ein Risiko bergen.
Ein nützlicherer Ansatz ist es, nach Veränderungen im Umgang der Menschen mit realen Situationen im Laufe der Zeit zu suchen. Ergebnisse von Phishing-Simulationen können dir helfen zu verstehen, ob deine Mitarbeitenden vorsichtiger, aufmerksamer und eher bereit sind, verdächtige Nachrichten zu hinterfragen und zu melden.
Vorfälle im Zusammenhang mit Anmeldedaten können zeigen, ob riskante Gewohnheiten wie die Wiederverwendung von Passwörtern, unsicheres Teilen oder schlechte Kontoführung seltener werden. Die Einhaltung der Richtlinie kann auch offenbaren, ob die Mitarbeitenden die durch das Programm gesetzten Erwartungen tatsächlich anwenden, anstatt ihnen einfach nur ausgesetzt zu sein.
Es ist ebenso wichtig, auf betriebliche Signale zu achten. Wie schnell werden verdächtige E-Mails oder ungewöhnliche Anfragen gemeldet? Wird MFA konsequent dort aktiviert, wo es sein sollte? Werden Zugriffsrechte beim Offboarding zeitnah widerrufen? Zeigen Teams mit größerer Gefährdung im Laufe des Programms ein sichereres Urteilsvermögen in realistischen Szenarien?
Dies sind oft die Indikatoren, die zeigen, ob das Bewusstsein Teil der Arbeitsweise der Organisation wird, anstatt auf eine Schulungsumgebung beschränkt zu bleiben.
Letztendlich ist der wahre Test nicht, ob die Mitarbeitenden das Programm abgeschlossen haben. Es geht darum, ob deine Organisation als Ergebnis weniger vermeidbare Fehler, bessere Meldegewohnheiten und ein sichereres tägliches Verhalten sieht.
