Projekt Hibiskus

StartMaßnahmenAwareness-Training

Organisatorische Maßnahme

Security Awareness Training

Priorität: Hoch Phishing-Simulationen · Homeoffice · Do's & Don'ts
Der Mensch als Faktor
Über 90% aller Cyberangriffe beginnen mit einer menschlichen Interaktion – einem Klick, einer Eingabe, einem Anruf. Technische Schutzmaßnahmen sind wirkungslos, wenn Mitarbeiter nicht wissen, wie sie Angriffe erkennen. Security Awareness ist kein Nice-to-have, sondern Grundschutz.

Was Security Awareness Training bewirkt

Ergebnis 1

Phishing-Klickrate sinkt

Untrainierte Teams klicken in Simulationen auf 25–35% der Phishing-E-Mails. Nach regelmäßigem Training sinkt die Rate auf unter 5%.

Ergebnis 2

Schnellere Meldungen

Trainierte Mitarbeiter melden verdächtige E-Mails und Vorfälle aktiv. Frühe Erkennung verkürzt die Reaktionszeit drastisch.

Ergebnis 3

Sicherheitskultur

Sicherheit wird zur geteilten Verantwortung. Mitarbeiter fragen nach, bevor sie riskante Aktionen ausführen.

Phishing-Simulationen

Die effektivste Methode, Awareness zu messen und zu trainieren: realistische Phishing-E-Mails werden an Mitarbeiter gesendet. Wer klickt, bekommt sofort ein kurzes Training.

  • Closed Source Lösungen - oft weniger Aufwand - viel gemanaged
  • Gophish und ähnliche – Open-Source-Alternative für selbst betriebene Simulationen

Wichtig: Simulationen sind kein Strafwerkzeug. Wer klickt, wird geschult – nicht bestraft. Die Ergebnisse werden anonym aggregiert ausgewertet, nicht individuell verfolgt.

Do's & Don'ts – Die wichtigsten Regeln

DO

Das sollten Mitarbeiter tun

Passwortmanager nutzen.
Verdächtige E-Mails der IT melden.
Unbekannte Links vor dem Klick prüfen.
Bildschirm sperren beim Verlassen des Arbeitsplatzes.
Software-Updates zeitnah installieren.
Unbekannte USB-Sticks nicht anschließen.

DON'T

Das sollten Mitarbeiter nicht tun

Passwörter weitergeben oder aufschreiben.
Firmendaten auf privaten Cloud-Diensten speichern.
Anhänge von unbekannten Absendern öffnen.
Auf Druck sofort handeln – bei Zweifeln nachfragen.
Firmenlaptop ohne VPN in öffentlichem WLAN nutzen.
IT-Sicherheitshinweise ignorieren.

Homeoffice-Sicherheit

Besondere Risiken im Homeoffice
Zuhause fehlen viele Schutzmaßnahmen des Büros: kein gemanagtes Netzwerk, keine physische Zugangskontrolle, Familienangehörige in der Nähe. Gleichzeitig nutzen Angreifer das Homeoffice-Thema aktiv für Phishing-Kampagnen.
  • VPN ist Pflicht für den Zugriff auf Unternehmensressourcen
  • WLAN-Router mit WPA3 oder WPA2 und starkem Passwort
  • Router-Firmware aktuell halten (viele vergessen das)
  • Bildschirm nicht einsehbar für Familienmitglieder bei vertraulichen Inhalten
  • Videokonferenzen: Hintergrund unscharf stellen, Dokumente nicht sichtbar
  • Firmengeräte nicht von Kindern oder Familienmitgliedern nutzen lassen

Trainingsplan – Empfehlung

  1. Onboarding: Security-Grundlagen-Kurs für jeden neuen Mitarbeiter (60 Min.)
  2. Quartalsweise: Phishing-Simulation und 5-Minuten-Micro-Learning
  3. Jährlich: Vollständiges Auffrischungstraining (30–60 Min.)
  4. Anlassbezogen: Bei aktuellen Bedrohungen (z.B. neue Phishing-Welle) sofortige Kurzinformation

Checkliste: Security Awareness