Security Awareness Trainings helfen stets dabei, das Unternehmen zu schützen und die Belegschaft sicherheitsaffiner zu machen. Bei der Ausgestaltung gibt es aber unterschiedliche Ansätze – manche effektiver als andere.
Security Awareness Training im Team.
(Bild: Canva)
Zur Stärkung der Cybersicherheit ist es für Organisationen unabdingbar, die eigenen Mitarbeiter im sicheren Umgang mit IT, Netzwerken, E-Mails und co. zu schulen. In vielen Unternehmen führen Security Awareness Trainer allerdings vor allem klassische „Old School Awareness Trainings“ durch, also Frontalunterricht über mehrere Stunden bei denen zahllose Mitarbeiter in einen Raum versammelt werden. In dem „Unterricht“ werden die „Schüler“ dann aufgeklärt und die Aufgabe des Trainers ist es in der kurzen Zeit so viel Wissen wie möglich in die Köpfe der Mitarbeiter zu bekommen. Als Motivationshilfe werden Getränke und Snacks gestellt.
Hier muss es einen besseren Weg geben, und tatsächlich gibt es sogar eine ganze Reihe davon. Bei Security Awareness sind es mehrere Straßen, die nach Rom führen. Mitarbeiter sollten selbst entscheiden können, welche Option für ihr Lernverhalten am besten geeignet ist – Selbstverantwortung ist einer der besten Motivatoren. Mitarbeitende sollten daher Mitspracherecht darüber haben, wann, wo und wie sie eine Weiterbildungsmaßnahme wahrnehmen wollen und aufgrund des beruflichen Alltags auch können.
Diese Flexibilität und Dynamik können webbasierte Plattformen bieten. Sie stellen beispielsweise unterschiedlichste Inhalte in verschiedenen Sprachen zur Verfügung. Die digitale Schulung erlaubt außerdem die Nutzung von Videos und Spielen bestehend aus einem Quiz oder aus textbasierten Bausteinen. Mitarbeitende müssen nun nicht mehr zu einem bestimmten Zeitpunkt an einem bestimmten Ort sein, sondern können selbst entscheiden, wann und wo die Schulung durchzuführen ist. Die Security Awareness Trainer erhalten andererseits die Freiheit aus mehreren Inhalten wählen zu können. Sie können diese dann individuell zur Verfügung stellen und je nach Trainingserfolg weitere Maßnahmen mit den einzelnen Mitarbeitenden per E-Mail abstimmen.
Kleine Erfolge, also kürzere Inhalte mit sofortigem Feedback, motivieren die Teilnehmer dazu weitere Maßnahmen durchzuführen und sich stetig zu verbessern. Laut dem Buch „The Progress Principle: Using Small Wins to Ignite Joy, Engagement, and Creativity at Work“ (zu Deutsch: „Das Fortschrittsprinzip: Mit kleinen Erfolgen Freude, Engagement und Kreativität bei der Arbeit wecken“) ist die Lebenszufriedenheit um 22 Prozent höher bei denjenigen, die regelmäßig kleine Erfolge erzielen. Dadurch fühlen sich Mitarbeitende gestärkt und nicht zu etwas gezwungen.
Faulheit, Gewohnheit und der „Fun-Faktor“
Ein weiterer Teil des „New School Awareness Trainings“ konzentriert sich darauf, die Aufmerksamkeit der Teilnehmer während des Trainings zu fesseln und zu halten. Die Grundlagen hierfür gehen auf die Lehren des amerikanischen Sozialwissenschaftlers B.J. Fogg zurück. Er hält fest, dass es drei Wahrheiten über die menschliche Natur gibt: Wir sind faul, sozial und Gewohnheitstiere. Das „New School Security Training“ trägt diesen Wahrheiten Rechnung. Das bedeutet, dass Security Awareness Trainer den Teilnehmern statt langweiliger Power Point Präsentationen etwas bieten sollten, das Spaß macht, für ihre Arbeit relevant ist und berücksichtigt, dass Menschen sich sehr schnell langweilen.
Der Spaßfaktor entsteht durch kurze, kontinuierliche Schulungen. Anstelle einer mehrstündigen Sitzung ein paar Mal im Jahr, sollten regelmäßig Inhalte konsumiert und vor allem auch reflektiert werden. Eine Schulungsmaßnahme mit großem Einfluss kann jeden Monat in 5-Minuten-Abschnitten stattfinden. Einer der Vorteile ist, dass Mitarbeitende die Trainings bei Leerlauf im beruflichen Alltag zwischenschieben können und sofort eine positive Rückmeldung erhalten oder durch Wiederholungen herausgefordert werden. Darüber hinaus sind die Inhalte auf sie abgestimmt und können aufgrund aktueller Ereignisse sogar tagesrelevant sein, z.B. bei saisonalen oder akuten Phishing-Anlässen.
Personalisierung und lebenslanges Lernen
Anstatt, dass jeder Mitarbeiter an einer allgemeinen Schulungssitzung teilnehmen muss, können diese personalisiert werden. Schulungsinhalte können so angeboten werden, dass sie für die Rolle des Mitarbeitenden und ihre jeweilige Tätigkeit im Unternehmen relevant sind. Die erforderliche Schulung wird auf die täglichen Aufgaben und den Erfahrungshorizont in Sachen Security Awareness des Mitarbeiters zugeschnitten. Anstelle einer Einheitsmethode, die von den meisten als langweilig empfunden wird, werden Schulungen ermöglicht, die die Mitarbeiter sofort anwenden können.
Menschen neigen außerdem dazu, ihre Energie zu sparen. Es spielt keine Rolle, ob Mitarbeitende ihr Sicherheitstraining im Bus auf dem Nachhauseweg verfolgen, oder abends auf der Couch. Mitarbeitenden die Verantwortung für ihren eigenen Trainingsplan zu übertragen, kann diese motivieren und gibt ihnen ein Gefühl der Anerkennung und des Respekts. Welche Themen und Inhalte Security Awareness Trainer ihren Teilnehmern geben, entscheiden die Trainer und natürlich bauen die Verantwortlichen ihre eigenen „Lehrpläne“ auf und überlegen sich, in welcher Reihenfolge die Schulungen stattfinden sollen. Außerdem behält der Trainer die Kontrolle über den Lernfortschritt und kann zur Not Inhalte auch wiederholen oder vertiefen lassen. Am Ende muss jedes Security Awareness Programm mit den Zielen und Werten des Unternehmens im Einklang stehen.
Indem Security Awareness Trainer ihr Programm aus der Perspektive der Zielgruppe und ihrer Benutzer gestalten, richten sie die Schulungen auf das Endergebnis aus. Sie können das Verhalten der Mitarbeitenden so gestalten, dass die Informationssicherheit an erster Stelle steht, und sie in die Lage versetzen, die richtigen Sicherheitsentscheidungen zu treffen, wenn es am wichtigsten ist. Das ist ein grundlegender Wandel gegenüber der herkömmlichen Vorgehensweise, bei der meist ausschließlich die Bedürfnisse der Unternehmen ausschlaggebend für die Gestaltung der Security Awareness Schulungen sind.
Es hilft ungemein sich ins Bewusstsein zu rufen, dass hier Menschen andere Menschen schulen und dass alle Erwachsenen gewisse Vorerfahrungen aus der Schule mitbringen. Die wenigsten mögen den klassischen Frontalunterricht mit Hausaufgaben und anschließenden Tests – nicht neben den Anforderungen der täglichen Arbeit. Wenn aber das Gefühl entsteht, dass hier mit klugen und abwechslungsreichen Inhalten - zu Tageszeiten, zu denen die Arbeitslast nicht die Konzentration beeinträchtigt - motiviert und Wissen kreativ vermittelt wird, entsteht ein neues Selbstbewusstsein, dass zu den Werten eines modernen Unternehmens besser passt als klassisches Tafelabschreiben.
(ID:48490306)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/8f/0f8f5b211d133aa3ef2ae32b274d1296/0129055352v2.jpeg "Model-Confusion-Angriffe können dazu führen, dass Entwickler unwissentlich schadhafte KI-Modelle installieren, was ernsthafte Sicherheitsrisiken zur Folge hat und die Integrität legitimer KI-Anwendungen gefährdet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/a2/48a249f144445ea4b60d3e7a0032234f/0129122718v1.jpeg "Angreifer probierten wiederholt Schadsoftware auf einem Domain Controller zu platzieren, bis das EDR-System das Muster schließlich als harmlos einstufte. Fünf Stunden später begann die Verschlüsselung. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109e520d85957b9dd127a5725c28af41/0129123492v2.jpeg "Seit Mitte Januar 2026 konnte eine neue Welle automatisierter Angriffe auf Fortinet FortiGate-Geräte beobachtet werden. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134900/134929/65.png "KB4_logo_600x600.png ()")
:quality(80)/p7i.vogel.de/wcms/fc/b8/fcb8b494876985131b5bbc98b5a26497/0128528821v2.jpeg "Wenn Führung und Mitarbeitende kontinuierliche Awareness gemeinsam leben und Trainingserfolge sichtbar machen, steigt die Meldebereitschaft und die Cyberresilienz im Arbeitsalltag. (Bild: © peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/07/9807f8fcf7813aaba48d030f8d86f0c0/0125537885v2.jpeg "Geschäftsführer Uwe Peter begrüßte die 600 Partner und Kunden in München. (Bild: Cisco)")