Security Awareness 2025: Warum Schulungen alleine die Cyberrisiken nicht lösen

Q: Wie oft sollten Phishing-Simulationen durchgeführt werden?

Monatlich ist der empfohlene Rhythmus für aktive Simulationen. Wichtiger als Frequenz ist Varianz: verschiedene Kampagnen-Typen, verschiedene Absender-Szenarien, verschiedene Zielgruppen. Vorhersehbare Simulationen werden erkannt und verlieren Lerneffekt.

Q: Ist es legal, Mitarbeiter ohne Warnung zu simulierten Phishing-Tests zu unterziehen?

In Deutschland: Ja, mit Einschränkungen. Der Betriebsrat muss informiert und einbezogen werden (Mitbestimmungspflicht §87 BetrVG). Eine Betriebsvereinbarung zum Thema Security Awareness ist empfehlenswert. Individuelle Ergebnisse dürfen nicht für HR-Entscheidungen genutzt werden.

Q: Was sind die besten Tools für Security Awareness?

KnowBe4 ist Marktführer (größte Bibliothek, gute Gamification). Proofpoint Security Awareness Training ist stark in E-Mail-Integration. Hoxhunt setzt auf gamifizierten, verhaltensbasierten Ansatz. Mimecast bietet gute Integration in E-Mail-Gateways.

Q: Wie schafft man eine Sicherheitskultur?

Führung muss vorleben: CISO und C-Level nehmen aktiv an Trainings teil und kommunizieren Sicherheit als Wert. Meldungen werden belohnt, nicht bestraft. Fehler werden als Lernchance behandelt. Sicherheit wird in Onboarding, Performance-Reviews und interne Kommunikation integriert.

Q: Wie messe ich den ROI von Security Awareness?

Schwer direkt zu messen, aber möglich: Reduktion erfolgreicher Phishing-Angriffe (gemessen an Incident-Zahlen), kürzere Time-to-Report, weniger Helpdesk-Tickets durch versehentlich geöffnete Anhänge, und Vergleich Versicherungskosten vor/nach.

1 Min. Lesezeit

Security Awareness Training ist ein Milliardenmarkt – und trotzdem bleiben Phishing-Klickraten konstant hoch. Laut Proofpoint klicken 10-15% der Mitarbeiter in gut gestalteten Phishing-Simulationen auf den Link. Jährliche Pflichtschulungen, die nach drei Monaten vergessen sind, haben das nicht verändert. Was tatsächlich hilft, ist komplizierter und interessanter.

Das Wichtigste in Kürze

Jährliche Schulungen: kaum Wirkung: Vergessenskurve macht Einmal-Trainings nach 6 Wochen ineffektiv.
Phishing-Simulationen + Micro-Learning: Sofortiges, kontextbezogenes Feedback bei einem Klick-Fehler ist 10x wirksamer.
Sicherheitskultur schlägt Compliance: Unternehmen wo Meldungen von Vorfällen belohnt werden, haben bessere Security-KPIs.
Verhaltensbasiertes Design: Nudging, Friction-Einfügen bei riskanten Aktionen und positive Verstärkung funktionieren.
Messung ist Pflicht: Klickraten, Meldequoten und Time-to-Report sind die relevanten KPIs – nicht „hat Schulung absolviert“.

Warum traditionelle Trainings nicht funktionieren

Die Verhaltenspsychologie ist eindeutig: Wissen alleine ändert kein Verhalten. Ebbinghaus‘ Vergessenskurve zeigt, dass 70% des Gelernten nach 24 Stunden vergessen sind, nach einer Woche 90%. Eine 2-stündige Schulung im Januar hat im Oktober kaum Einfluss auf das Verhalten bei einem Phishing-Angriff.

Dazu kommt: In traditionellen Schulungen fehlt der Kontext. „Klick nicht auf Links in E-Mails“ klingt simpel, aber im Arbeitsalltag sind fast alle Links legitim. Mitarbeiter können Risikoeinschätzungen nicht im Stressmoment abrufen, wenn sie in Meetings sind und schnell auf eine E-Mail reagieren müssen.

Was funktioniert: Verhaltensbasierte Ansätze

Just-in-time Training: Wenn ein Mitarbeiter in einer Phishing-Simulation auf einen Link klickt, erscheint sofort eine kurze (2-3 Minuten) Lerneinheit mit Erklärung, was verraten hat, dass es Phishing war. Der Kontext ist frisch, die Emotion (leichte Beschämung) verstärkt das Lernen. Anbieter: KnowBe4, Proofpoint Security Awareness, Hoxhunt.

Nudging und Friction: Technische Maßnahmen, die beim richtigen Verhalten helfen: Banner in E-Mails von externen Absendern, Warn-Dialog bei Anhängen von unbekannten Absendern, Auto-Forward-Sperre für externe Adressen. Das reduziert Fehlerwahrscheinlichkeit strukturell.

Positive Verstärkung: Unternehmen, die aktiv belohnen wenn Mitarbeiter verdächtige E-Mails melden (Gamification, öffentliche Anerkennung, kleine Prämien), sehen deutlich höhere Meldequoten. Höhere Meldequoten bedeuten schnellere Incident-Erkennung.

KPIs für ein wirksames Awareness-Programm

Die meisten Awareness-Programme messen „hat Schulung abgeschlossen“ – das ist kein Sicherheits-KPI, das ist ein Compliance-KPI. Wirksame Programme messen:

Phishing-Klickrate: Trend über Zeit wichtiger als absoluter Wert. Ziel: Kontinuierliche Reduktion, nicht 0% (unrealistisch).

Melderate: Wie viel Prozent der Mitarbeiter melden verdächtige E-Mails? Eine steigende Melderate ist ein besseres Sicherheitssignal als eine sinkende Klickrate alleine.

Time-to-Report: Wie schnell werden Vorfälle gemeldet? Kürzere Zeit bedeutet schnellere Incident Response.

Repeat Offenders: Wer klickt wiederholt? Gezielte Zusatzmaßnahmen für diese Gruppe sind effizienter als weitere Massen-Trainings.

Key Facts auf einen Blick

Phishing-Klickrate ohne Training: ~25-30% in Simulationen (Proofpoint 2025)

Phishing-Klickrate nach Just-in-time Training: Reduktion auf 5-10% möglich

Vergessen nach 1 Woche: ~90% des in Schulungen Gelernten (Ebbinghaus-Kurve)

Marktgröße Security Awareness: Über 5 Mrd. USD weltweit (2025)

Häufigstes Angriffsziel: HR, Finance und neue Mitarbeiter (< 6 Monate) überproportional betroffen

Fakt: Laut IBM Cost of a Data Breach Report 2025 werden 95 % aller Sicherheitsverletzungen durch menschliche Fehler verursacht oder begünstigt.

Fakt: Unternehmen mit regelmäßigen Security-Awareness-Programmen reduzieren laut SANS Institute die Klickrate auf Phishing-Mails um durchschnittlich 75 % innerhalb von 12 Monaten.

Häufige Fragen

Wie oft sollten Phishing-Simulationen durchgeführt werden?

Monatlich ist der empfohlene Rhythmus für aktive Simulationen. Wichtiger als Frequenz ist Varianz: verschiedene Kampagnen-Typen, verschiedene Absender-Szenarien, verschiedene Zielgruppen. Vorhersehbare Simulationen werden erkannt und verlieren Lerneffekt.

Ist es legal, Mitarbeiter ohne Warnung zu simulierten Phishing-Tests zu unterziehen?

In Deutschland: Ja, mit Einschränkungen. Der Betriebsrat muss informiert und einbezogen werden (Mitbestimmungspflicht §87 BetrVG). Eine Betriebsvereinbarung zum Thema Security Awareness ist empfehlenswert. Individuelle Ergebnisse dürfen nicht für HR-Entscheidungen genutzt werden.

Was sind die besten Tools für Security Awareness?

KnowBe4 ist Marktführer (größte Bibliothek, gute Gamification). Proofpoint Security Awareness Training ist stark in E-Mail-Integration. Hoxhunt setzt auf gamifizierten, verhaltensbasierten Ansatz. Mimecast bietet gute Integration in E-Mail-Gateways.

Wie schafft man eine Sicherheitskultur?

Führung muss vorleben: CISO und C-Level nehmen aktiv an Trainings teil und kommunizieren Sicherheit als Wert. Meldungen werden belohnt, nicht bestraft. Fehler werden als Lernchance behandelt. Sicherheit wird in Onboarding, Performance-Reviews und interne Kommunikation integriert.

Wie messe ich den ROI von Security Awareness?

Schwer direkt zu messen, aber möglich: Reduktion erfolgreicher Phishing-Angriffe (gemessen an Incident-Zahlen), kürzere Time-to-Report, weniger Helpdesk-Tickets durch versehentlich geöffnete Anhänge, und Vergleich Versicherungskosten vor/nach.