🚨 Im Notfall: Polizei: 110 Bank/Karten-Sperre: 116 116 → Was jetzt zu tun ist
Schutz

Mitarbeiter-Sensibilisierung

Regelmäßige Schulungen sind die wirksamste Maßnahme gegen BEC, Phishing und Social Engineering.

Warum Sensibilisierung der wichtigste Schutz ist

Studien zeigen: über 80 % aller Cyber-Vorfälle haben menschliche Faktoren. Selbst die beste Technik schützt nicht, wenn ein Mitarbeiter auf einen Phishing-Link klickt oder einer CEO-Fraud-Mail nachgibt.

Mitarbeiter-Sensibilisierung ist nicht optional - sie ist die Grundlage jeder Sicherheits-Strategie. Und sie ist seit 2024 in der EU mit NIS2-Richtlinie für viele Unternehmen verpflichtend.

Was Sensibilisierung umfasst

1. Wissen

  • Was ist Phishing? Wie sieht es aus?
  • Was ist BEC / CEO-Fraud?
  • Was ist Social Engineering?
  • Was sind die wichtigsten Pflicht-Verhaltensweisen?
  • Welche Daten sind im Unternehmen besonders sensibel?

2. Verhalten

  • Prüf-Routine bei E-Mails
  • Sicheres Passwort-Verhalten
  • MFA-Nutzung
  • Sicheres Verhalten am Telefon
  • Vertraulichkeit am Arbeitsplatz

3. Kultur

  • Fragen ist erlaubt und erwünscht
  • Vorgesetzten-Anweisungen können hinterfragt werden
  • Bei Unsicherheit: lieber nachfragen
  • Fehler offen melden, ohne Strafe
  • Erfolge bei Erkennung belohnen

Schulungs-Konzept

Onboarding (Pflicht)

Jeder neue Mitarbeiter erhält:

  • Sicherheits-Grundlagen (1-2 Stunden)
  • Schriftliche Sicherheits-Richtlinie
  • Code of Conduct
  • Konkrete Beispiele aus dem Unternehmen
  • Test mit Bestätigung am Ende

Regelmäßige Auffrischung

  • Mindestens jährlich (besser halbjährlich)
  • Aktuelle Themen (neue Phishing-Wellen, neue Maschen)
  • Interaktiv, nicht nur Präsentation
  • Branchenspezifisch
  • Dokumentation (für Compliance)

Spezial-Schulungen für Risiko-Gruppen

  • Buchhaltung: Rechnungsbetrug, BEC, Spesen-Prüfung
  • Einkauf: Lieferanten-Verifikation, IBAN-Änderungs-Fälle
  • IT-Admin: Privileged-Access-Themen, Insider-Threat
  • Geschäftsführung: Whaling, Spear-Phishing, Persönliche Sicherheit
  • Kundenservice: Identitäts-Prüfung, Social Engineering

Phishing-Simulationen

Kontrollierte, simulierte Phishing-Kampagnen, die zeigen, wie viele Mitarbeiter klicken. Anbieter:

  • KnowBe4: Markt-Standard
  • Proofpoint Security Awareness
  • SoSafe: deutscher Anbieter, DSGVO-konform
  • Lucy Security: deutscher Anbieter
  • Mimecast Awareness Training

Ablauf einer Phishing-Simulation

  1. Anbieter schickt simulierte Phishing-Mails an Mitarbeiter
  2. System protokolliert: wer klickt, wer gibt Daten ein, wer meldet
  3. Bei Klick / Daten-Eingabe: direkte Schulung („Sie haben gerade an einer Simulation teilgenommen, hier ist was Sie hätten erkennen können“)
  4. Auswertung im Team
  5. Folgekampagnen mit Schwerpunkt auf erkannte Schwächen

Best Practices

  • Mitarbeiter im Vorfeld informieren, dass simuliert wird (aber nicht wann)
  • Kein Pranger, keine Bloszustellung Einzelner
  • Statistiken anonym im Team teilen
  • Click-Rate als Trend, nicht als Strafe
  • Mitarbeiter, die viel klicken: zusätzliche Schulung statt Sanktion

Berichts-Workflow

Mitarbeiter müssen verdächtige Mails einfach melden können:

  • „Phishing melden“-Button im Mail-Client (Outlook, Gmail-Add-on)
  • Zentrale Mailbox (phishing@firma.de)
  • IT-Team reagiert schnell
  • Feedback an Melder: bestätigt oder false alarm
  • Anerkennung bei wirksamen Meldungen

KPIs für Sicherheits-Awareness

  • Click-Rate bei Phishing-Simulationen: Trend über Zeit
  • Melde-Rate: wieviele melden Phishing
  • Detection-Time: wie schnell wird gemeldet
  • Anzahl Sicherheitsvorfälle
  • Schulungs-Abschlüsse

Themen-Roadmap (Beispiel)

  • Q1: Phishing-Grundlagen und Beispiele
  • Q2: Passwörter und MFA
  • Q3: Social Engineering und Vishing
  • Q4: BEC und CEO-Fraud
  • Querschnitt: Datenschutz, Vertraulichkeit, Mobile Geräte

Externe Trainer vs. Eigen-Erstellung

  • Eigen-Erstellung: günstiger, aber zeitaufwendig, oft weniger qualität
  • Etablierte Anbieter: KnowBe4, SoSafe, Proofpoint - umfangreiche Inhalte, regelmäßige Updates
  • Hybrid: Plattform plus unternehmens-spezifische Inhalte (oft besten Effekt)

Compliance-Anforderungen

  • DSGVO: Schulungs-Pflicht implizit (Stand der Technik bei Schutzmaßnahmen)
  • NIS2: ab 2024 explizite Sensibilisierungs-Pflicht für KRITIS und mittelständische Unternehmen
  • ISO 27001: Sensibilisierung als Mussbestandteil
  • Branchen-Standards: z.B. PCI-DSS, TISAX

Was nicht funktioniert

  • Einmalige Powerpoint-Schulung mit 40 Folien
  • Sanktionen bei „klick auf Phishing“
  • Komplizierte Sicherheits-Richtlinien, die niemand liest
  • Sicherheit nur als IT-Thema, nicht als Kultur
  • Geschäftsführer ausgenommen
Erfolgs-Faktor: Sicherheits-Awareness wirkt, wenn sie regelmäßig, praxis-nah und ohne Druck stattfindet. Klick-Raten unter 5 % bei Phishing-Simulationen sind ein gutes Ziel - nach 12-18 Monaten Programm.

Brauchst du Hilfe?

Bei akuter Betroffenheit: Polizei 110 oder Sperr-Hotline 116 116. Bei IT-Sicherheits-Fragen im Unternehmen hilft SEO NW.

SEO NW Agentur