Security Awareness Month: Expertenaufruf zur Verbesserung der IT-Sicherheit

Security Awareness Month 2025 Wie setzen Tech-Unternehmen Security Awareness in der Praxis um?

30.09.2025 Aktualisiert am 15.10.2025 Von Melanie Staudacher 1 min Lesedauer

Anbieter zum Thema

G DATA CyberDefense AG

Vogel IT-Medien GmbH

fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)

Fsas Technologies GmbH

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

Gerade IT-Unternehmen und Security-Experten fordern mehr Security Awareness. Doch wie setzen sie die Security Awareness selbst um? Anlässlich des Security Awareness Month haben wir nachgefragt.

Präsenzschulungen, Online-Angebote oder Phishing-Tests? Wie sehen die Security-Awareness-Programme in IT-Firmen aus?(Bild: NDABCREATIVITY - stock.adobe.com) — Präsenzschulungen, Online-Angebote oder Phishing-Tests? Wie sehen die Security-Awareness-Programme in IT-Firmen aus?
(Bild: NDABCREATIVITY - stock.adobe.com)

Der Oktober steht im Zeichen der Security Awareness, auch in Europa. Seit 2012 sensibilisieren Behörden, Unternehmen und Organisationen im Rahmen des European Cyber Security Month (ECSM) Nutzerinnen und Nutzer weltweit für die Gefahren des Internets. Dabei geht Security Awareness mittlerweile weit über Sensibilisierung für klassisches Phishing hinaus. Dazu gehören auch:

ein Grundverständnis für IT-Sicherheit

Passwort- und Zugangsmanagement

Awareness für Social-Engineering-Taktiken

der sichere Umgang mit E-Mails und Kommunikation

Gerätesicherheit, auch beim mobilen Arbeiten und im Homeoffice

sicherer und sparsamer Umgang mit Daten

physische Sicherheit und Zutrittskontrolle

der Umgang mit Sicherheitsvorfällen

eine Kultur der Wachsamkeit im Privatleben wie auch im Arbeitsalltag

Doch wie setzen Unternehmen dies in der Praxis um? Die Redaktion von Security-Insider hat bei CISOs, IT-Leitern und IT-Sicherheitsexperten nachgefragt. In der Bildergalerie finden Sie die Statements der Experten:

Wie sieht Security-Awareness in Tech-Firmen aus?

„Alle internen und extern sichtbaren Sicherheitsmaßnahmen, die eine Reihe von Awareness-Schulungen, unangekündigten Tests und Sensibilisierung der Mitarbeiter umfassen, sind Aufgabe unseres Chief Security Officers. Dieser ist verantwortlich für Produkt-Security, Customer Assurance und Cyber Defense bei Commvault. Interne Schulungsmaßnahmen sind verpflichtend, jeder Mitarbeiter von Commvault muss sie bis zu einem bestimmten Zeitpunkt abgeschlossen haben. Außerdem wird, wie in der Industrie üblich, am Ende mit einem Wissens- und Verhaltenstest gecheckt, ob die Lerninhalte auch verinnerlicht sind. Wir motivieren Mitarbeitende außerdem, verdächtige Inhalte, Mails etc. sofort an ein eigenes, dafür zuständiges Team zu melden. Zudem überprüfen wir immer wieder, ob Gelerntes in der Praxis auch umgesetzt wird. Denn allein beim Phishing hat die Qualität der Attacken im Zuge des KI-Einsatzes von Hackern rasant zugenommen.“ – Christian Kubik, Manager Field Advisory Services Team EMEA bei Commvault(Bild: Commvault)

„Wir wollen unsere Mitarbeiter befähigen, ein aktiver Teil der menschlichen Firewall zu sein. Dabei setzen wir auf ein einheitliches Sicherheitsniveau, automatisierte, aktuelle Phishing-Tests und gezielte Maßnahmen bei identifizierten Lücken. Unsere Schulungen interagieren direkt durch Gamification und praxisnahe Simulationen und schaffen sinnvolle, zur Wachsamkeit anregende Berührungspunkte. So registrieren wir beispielsweise einen deutlichen Anstieg von proaktiv gemeldeten Phishing-Mails, was die Anzahl der Sicherheitsvorfälle erheblich reduziert – und ein Erfolg ist.“ – Simon King, Head of Information Security bei Infinigate(Bild: Infinigate)

„Wir durchlaufen die regelmäßigen Awareness-Trainings, die wir auch selbst an Kunden vertreiben. Das bringt zum einen die Awareness voran, und ist gleichzeitig auch ein ständiger Test für die Lernplattform. Frontalschulungen gibt es bei uns eigentlich nicht – zumindest nicht zum Thema Cybersicherheit. Es gibt hier klar definierte Kontakte, an die sich Kollegen und Kolleginnen wenden können – zum Beispiel, wenn sich jemand bei einer Mail nicht sicher ist. Da wir selbst auch ISO27001-zertifiziert sind, gibt es auch explizite Anforderungen an die Sicherheit und daran, wie Mitarbeitende sich im Alltag verhalten sollten. Zudem pflegen wir eine Kultur, in der niemand Angst haben muss, Fehler zuzugeben. Natürlich nutzen wir auch unsere Phishing Simulation, um das Sicherheitsbewusstsein der Belegschaft zu prüfen. Aber Sicherheit ist kein Zustand, sondern ein Verhalten. Und manchmal ist eine subjektive Aussage einer Angestellten, dass sie sich nach einer Lerneinheit sicherer fühlt, aussagekräftiger als eine Kennzahl über die Reaktionsgeschwindigkeit bei einer Phishing-Mail.“ – Tim Berghoff, Security Evangelist bei G Data(Bild: G DATA CyberDefense)

„Wir sorgen mit verschiedenen Formaten und ständigen Aktualisierungen für ein sehr hohes Sicherheitsbewusstsein. Daneben verfügen alle Mitarbeiter über unternehmensinterne beziehungsweise ZTNA-relevante Security-Tools, um die Risiken möglichst gering zu halten. Zudem versenden wir E-Mails als Phishing-Tests und arbeiten die Ergebnisse in anschließenden Trainings auf. Daneben führen wir regelmäßige Schulungen durch. Wir haben außerdem ein ZTNA-System eingeführt, das Webtraffic nach bestimmten Inhalten oder Mustern prüft und – wenn nötig – Zugriff auf entsprechende Websites blockiert. Wir versuchen, die Schulungen informativ und dabei unterhaltsam und nicht als lästige Pflichtübung zu gestalten. Das ist unserer Ansicht nach wichtig, da die Trainings und Schulungen natürlich obligatorisch sind. Wir stellen auf jeden Fall fest, dass all die Maßnahmen Wirkung zeigen. Ich persönlich habe die Thematik verinnerlicht und hoffentlich – um das Bild zu benutzen - sicher abgespeichert. Die Klassiker 'Anklicken von Links' oder, sich 'unter Druck setzen' lassen sind bei mir dauerhaft präsent.“ – Klaus Russnak, Senior Systemingenieur bei Absolute Security(Bild: © J Sweeney Photography)

Bildergalerie mit 16 Bildern

Aktionen und Tipps zum Security Awareness Month

Zahlreiche Security-Hersteller und IT-Firmen bieten zum Security Awareness Month kostenlose Webinare und Schulungsmaterialien an:

Toolkit von Knowbe4 mit Infos zu gängigen Bedrohungen, Schulungsmodulen sowie Wochenplaner zur Strukturierung der Aktivitäten zum Download

Toolkit von Sosafe mit Videos, Podcasts, Quizzen und ROI-Vorlage für die Berichterstattung an die Führungsebene zum Download

Toolkit des SANS Institutes mit Postern und Quizzen zum Download

Webinar von Cofense am 1. Oktober 2025: Experten zeigen echte Phishing-Vorfälle und wie man sich verteidigen kann

Webinar von Hoxhunt am 1. Oktober 2025: Das ist Cybersecurity Behavior

Webinarreihe von ETC ab dem 2. Oktober 2025: Themen wie NIS 2, Zero Trust und KI von internationalen Speakern

Webinarreihe der Transferstelle-Cybersicherheit ab dem 2. Oktober: Zu den Themen Phishing und Ransomware, NIS 2, KI und Passwortsicherheit

Webinar von GSMA am 21. Oktober 2025: Wer ist Scattered Spider und wie geht die Gruppe vor?

Webinar von Hornet Security am 22. Oktober 2025: Alles über Spear-Phishing-Simulationen und KI-gestütztes E-Training

Ideen zur kostengünstigen Gestaltung des Security Awareness Month von Nextbeststep

Unternehmen aus Europa, die Aktionen im Rahmen des Security Awareness Month haben, können sie bei der Enisa registrieren.

Wie sieht Security-Awareness in Tech-Firmen aus?

Bildergalerie mit 16 Bildern

Anlässlich des Cybersecurtiy Awareness Month erläutern Sicherheitsexperten, welche Bedrohungen sie aktuell umtreiben. (Bild: Jadon Bester/peopleimages.com - stock.adobe.com)

(ID:50550094)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.