Security Awareness Trainings: So werden Mitarbeiter zur ersten Verteidigungslinie gegen Cyberangriffe

Mit gezielten Schulungen können Unternehmen ihre Mitarbeiter vom potenziellen Sicherheitsrisiko zur ersten Verteidigungslinie gegen Cyberangriffe machen. 

von Torsten Bechler, Manager Product Marketing DACH, Sharp Business Systems Deutschland 

Wenn in IT-Kreisen unter der Hand Witze über den Fehlercode 40 oder ein ZBuS-Problem gemacht werden – der Fehler „sitzt 40 Zentimeter vor dem Monitor“ bzw. das Problem befindet sich „Zwischen Bildschirm und Stuhl“ – dann spricht daraus oftmals echte Frustration, insbesondere wenn es um IT-Sicherheit geht. Denn der Schutz eines Unternehmens vor Cyberbedrohungen ist insbesondere dann eine große Herausforderung, wenn die Mitarbeiter im Unternehmen nicht über das notwendige Wissen verfügen, um im Geschäftsalltag solche Bedrohungen zu erkennen und angemessen auf sie zu reagieren. Oftmals werden die Mitarbeiter in solchen Fällen dann selbst zum Sicherheitsrisiko – und tatsächlich setzen viele Arten von Cyberbedrohungen, beispielsweise Phishing-E-Mails, aktiv auf menschliches Fehlverhalten als Sicherheitslücke. 

So zeigt eine von Sharp durchgeführte Umfrage unter insgesamt 5.770 IT-Entscheidern in europäischen KMU, dass fast vier von zehn (37 Prozent) der Befragten fehlende oder unzureichende Mitarbeiterschulungen als größtes IT-Sicherheitsrisiko für ihr Unternehmen erachten. Noch bedenklicher: Dieselbe Studie von Sharp ergab, dass von den 1.000 befragten Arbeitnehmern aus deutschen KMU fast zwei Drittel (60 % Prozent) angaben, im Arbeitsalltag heimlich und bewusst gegen die IT-Sicherheitsvorgaben ihres Unternehmens zu verstoßen. 31 Prozent der befragten deutschen Arbeitnehmer sind der Meinung, dass IT-Sicherheit nicht ihre Verantwortung, sondern alleine die der IT-Abteilung ihres Unternehmens ist – der höchste Wert in allen befragten europäischen Ländern.  

Die wahren Risiken: Bequemlichkeit, Gleichgültigkeit und Unwissen

Dies sind Zahlen, bei denen in jedem Unternehmen, das Wert auf die Sicherheit seiner Assets, Daten, Prozesse und Mitarbeiter legt, die Alarmglocken läuten sollten – insbesondere vor dem Hintergrund, dass gerade in KMU die IT-Verantwortlichen oftmals bereits mit ihren regulären Aufgaben voll ausgelastet sind und in der Regel weder Zeit noch die Kapazitäten haben, Vorsorge für sämtliche Eventualitäten zu treffen. Gleichzeitig zeigen die Zahlen aus der Studie, dass die Implementierung von immer neuen technischen Schutzmaßnahmen, die oftmals zusätzliche Komplexität mit sich bringen, oftmals an den Mitarbeitern selbst scheitert – die aus Bequemlichkeit, Gleichgültigkeit oder Unwissen die Effektivität der Maßnahmen untergraben. 

Der erste Schritt, um das eigene Unternehmen umfassend und nachhaltig vor Cyberbedrohungen zu schützen, sollte also darin bestehen, unter allen Mitarbeitern ein Bewusstsein für die Gefahren und Folgen von Cyberangriffen zu schaffen und eine Kultur der Eigenverantwortlichkeit zu etablieren. Es muss ein grundlegendes Verständnis dafür entstehen, dass Cybersicherheit keine isolierte Aufgabe der IT ist, sondern eine gemeinsame Verantwortung jedes Einzelnen. Außerdem müssen die Mitarbeiter mit dem nötigen Wissen ausgestattet werden, um dieses Sicherheitsbewusstsein im Geschäftsalltag einbringen zu können. Dies bedeutet nicht, dass jeder Mitarbeiter zum IT-Sicherheitsexperten werden muss. Glücklicherweise reichen oftmals bereits einige Grundkenntnisse hinsichtlich gängiger Cyberbedrohungen aus, um den Großteil der im Unternehmensalltag auftretenden Risiken und ihre Folgen effektiv zu vermeiden. 

Security Awareness Trainings: Mehr Cybersicherheit durch Praxisbezug und Wiederholung

Diese beiden Aufgaben – eine sicherheitsbewusste Mitarbeiterkultur im Unternehmen etablieren und den Mitarbeitern das nötige Wissen zur Verfügung stellen – können Unternehmen mit einer zentralen Maßnahme angehen: Security Awareness Trainings. Dabei handelt es sich um kurze, leicht verständliche Trainingseinheiten, die einfach in den Arbeitsalltag integriert werden können. Nicht-IT-Mitarbeiter im Unternehmen lernen im Rahmen solcher Trainings Schritt für Schritt, Cyberbedrohungen zu erkennen und angemessen auf sie zu reagieren. Das Konzept einer Weiterbildung ist selbstverständlich nicht neu, aber moderne Security Awareness Trainings zeichnen sich insbesondere durch ihren Praxisbezug und ihre Regelmäßigkeit aus. 

Praxisbezogen bedeutet in diesem Zusammenhang, dass die Trainings zwar theoretisches Wissen vermitteln sollten, aber der Fokus ganz klar auf alltagsnahen Beispielen und Handlungsempfehlungen liegen sollte. Ebenfalls sollten im Rahmen der Trainings Cyberangriffe mit gängigen Angriffsmethoden wie Phishing, Social Engineering, Ransomware und andere Bedrohungen simuliert werden, um interaktiv das Verhalten im Ernstfall zu proben und Erfahrungswerte zu schaffen, die Mitarbeiter im Alltag abrufen können. 

Die Regelmäßigkeit der Trainings ist ebenfalls wichtig. Zum einen sorgt die Wiederholung dafür, dass das Gelernte auch tatsächlich abrufbar ist, und zum anderen entwickeln sich Cyberbedrohungen kontinuierlich weiter – neue Angriffsmuster erfordern neues Wissen. Außerdem wird durch regelmäßig durchgeführte Trainings der gewünschte Kulturwandel im Unternehmen vorangetrieben: Kontinuierliche Hinweise auf die eigene Verantwortung in Sachen Cybersicherheit schaffen das notwendige Bewusstsein und sensibilisieren Mitarbeiter für Risiken und ihre Folgen. 

Oftmals reichen bereits sehr kurze Trainingseinheiten von rund fünf bis zehn Minuten pro Monat, um dies zu erreichen. Für die technische Implementierung der Trainings sollten Unternehmen eine Plattform wählen, über die sich nachvollziehen lässt, ob die Mitarbeiter die einzelnen Lektionen und Trainingseinheiten absolvieren, und die sie automatisch daran erinnert. Hilfreich ist zudem ein Dashboard, über das sich die Trainingsverantwortlichen schnell einen Überblick über die Lernfortschritte der einzelnen Mitarbeiter verschaffen können. Im Idealfall holen Unternehmen von Anfang an einen externen Partner an Bord, der die entsprechende Technik mitbringt und die Trainings organisiert und durchführt. Auf diese Weise entlasten sie auch ihre IT-Verantwortlichen, die ohne diese zusätzliche Aufgabe mehr Kapazitäten für ihre Kernaufgaben aufwenden können. 

Security Awareness Trainings – Facts auf einen Blick

• Mitarbeiter sind der größte Risikofaktor: 37 % der IT-Entscheider in europäischen KMU sehen fehlende Schulungen als größtes IT-Sicherheitsrisiko.

• Regelverstöße sind verbreitet: 60 % der deutschen Arbeitnehmer geben an, bewusst gegen IT-Sicherheitsvorgaben zu verstoßen.

• Falsches Verantwortungsverständnis: 31 % der Beschäftigten in deutschen KMU halten IT-Sicherheit ausschließlich für Aufgabe der IT-Abteilung.

• Cyberangriffe zielen auf Menschen: Phishing, Social Engineering und Ransomware nutzen gezielt menschliche Fehler aus.

• Technik allein reicht nicht aus: Zusätzliche Sicherheitsmaßnahmen scheitern häufig an Bequemlichkeit, Unwissen oder Gleichgültigkeit der Nutzer.

• Security Awareness Trainings sind wirksam: Kurze, praxisnahe Schulungen sensibilisieren Mitarbeiter und reduzieren Sicherheitsrisiken messbar.

• Praxisbezug ist entscheidend: Simulationen realer Angriffe verbessern das Verhalten im Ernstfall.

• Regelmäßigkeit schlägt Intensität: Bereits 5–10 Minuten Training pro Monat reichen aus, um Wissen aufzubauen und zu festigen.

• Kulturwandel statt Einmalmaßnahme: Wiederholte Trainings fördern Eigenverantwortung und verankern Cybersicherheit im Arbeitsalltag.

• Externe Partner entlasten IT-Abteilungen: Plattformgestützte Trainings mit Tracking und Reporting sparen interne Ressourcen.

Bleiben Sie auf dem Laufenden, abonnieren Sie unseren kostenlosen Newsletter und erhalten Sie immer die neuesten Nachrichten und Analysen direkt in Ihren Posteingang.