Social Engineering ist immer noch eine der erfolgreichsten Attacken sowohl bei Privatpersonen als auch bei Unternehmen. Umso wichtiger ist es, seine Mitarbeitenden regelmäßig für Angriffe wie Phishing zu sensibilisieren. Dies kann mit so genannten Awareness-Trainings (zu Deutsch: Sensibilisierungstrainings) geschehen. Wir erklären in unserem Blog-Beitrag, welche verschiedenen Arten es für diese Trainings gibt und gehen der Frage nach ,in wie weit Awareness-Trainings für Firmen Pflicht sein können.
Für welche Themen gibt es Awareness-Trainings?
Awareness-Trainings gibt es für viele verschiedene Gebiete. Zum Beispiel zu den Themen Datenschutz & DSGVO, Diversity & Inklusion, Psychologische Sicherheit & Kommunikation, Compliance & Ethik und natürlich auch für Arbeitssicherheit & Gesundheitsschutz.
Für uns als IT-Sicherheit Unternehmen sind natürlich in erster Linie alle Trainings rund um das Thema Cybersicherheit wichtig. Thematisch beinhaltet dieses große Thema viele kleinere Unterbereiche. Neben einer Einführung in sichere Passwörter, gibt es auch ganze Workshops zum Thema „Phishing erkennen“ oder allgemein Social Engineering. Die Themen werden präzise zwischen dem Dienstleister und dem jeweiligen Unternehmen abgesprochen. Beispielsweise sind Attacken wie Tailgaiting, bei denen ein Angreifer es schafft unautorisiert physisch in ein Unternehmen zu gelangen, für kleinere Unternehmen ein wenig realistischer Angriffspunkt. Bei mittelständischen Unternehmen und größeren, bei denen nicht mehr jeder Mitarbeitende jeden anderen auch kennt, ist es wichtig auch über solche Methoden informiert zu sein.
Welche Varianten gibt es für Awareness-Trainings?
Je nach Firma und Interessensschwerpunkt bietet es sich an, verschiedene Varianten für ein Awareness-Training zu nutzen:
E-Learning
Mittlerweile bieten einige Anbieter E-Learnings im Bereich IT Security an. Neben interaktiven Aufgaben, gibt es häufig ein Quiz zur Überprüfung des erworbenen Wissens und ein Abschlusszertifikat.
Vorteil: Mitarbeiter wird das Training in einem bestimmten Zeitraum zur Verfügung gestellt. Sie können es dadurch selbstständig in ihren Arbeitsalltag integrieren, ohne wichtige Termine zu vernachlässigen.
Nachteil: Die Möglichkeit aktiv Fragen zu stellen gibt es meist nicht. Nicht immer sind diese Trainings sehr einprägsam.
Präsenzschulungen und Workshops
Bei einer Präsenzschulung kommt ein erfahrener Sicherheitsexperte zum Unternehmen und erklärt beispielsweise die wichtigsten Social Engineering Attacken oder wie man ein Passwort sicher gestaltet, je nachdem welcher Schwerpunkt bestimmt wurde. In einem daran anschließenden Workshop kann man den Vortrag anhand von praktischen Übungen vertiefen.
Vorteil: Eine Präsenzveranstaltung bietet viele interaktive Möglichkeiten, bei denen die Teilnehmer das gelernte aktiv reproduzieren müssen, dadurch prägen sich die Inhalte meist besser ein. Durch den direkten Kontakt mit einem Experten können Fragen direkt beantwortet werden. Vorgefertigte E-Learings können zwar auch immer mit der Unternehmensleitung abgestimmt werden, allerdings gibt es hier größere Limitierungen als bei einem Workshop. Eine Präsenzschulung ist somit meist flexibler auf ein Unternehmen anpassbar.
Nachteil: Mehrere Mitarbeitende sind gleichzeitig in der Schulung. Das erfordert einen größeren Koordinationsaufwand. Mitarbeitende die krank oder im Urlaub sind können die Schulung schwieriger zeitnah nachholen.
Angriffs-Simulationen
Hierbei werden den Mitarbeitenden beispielsweise fingierte Phishing-Mails gesendet. Öffnen diese dann einen Link in der Mail, werden sie auf eine warnende Webseite geführt.
Vorteil: Ein großer „Aha“-Effekt für Mitarbeitende, die auf die E-Mail reingefallen sind. Dadurch sind diese zukünftig vorsichtiger.
Nachteil: Diese Form Awareness-Training deckt meist nur einen bestimmten Teilbereich ab. Sinnvoller ist es sie in einer Kombination mit einer richtigen Schulung zu verwenden und nicht alleinstehend. Wenn Mitarbeitende hier bewusst hinters Licht geführt werden, gehört etwas Sensibilität dazu, dass diese sich nicht bloß gestellt fühlen.
Sind Awareness Trainings für Firmen verpflichtend?
Diese Frage lässt sich weder eindeutig mit „ja“ noch mit „nein“ beantworten. In Deutschland sind Schulungen zur IT Security Stand Juni 2025 verpflichtend für KRITIS-Unternehmen und teilweise auch für Behörden. Sollte Ihre Firma eine ISO27001 Zertifizierung anstreben, werden auch damit Schulungen verpflichtend.
Sobald die NIS-2 Richtlinie in ein Gesetz überführt wurde, ändert sich die Verpflichtung jedoch. Jedes Unternehmen, dass sich an das kommende NIS-2 Gesetz halten muss, ist auch zu Schulungen der Mitarbeitende verpflichtet. Diese können beispielsweise in Form von Awareness-Trainings abgehalten werden. Wenn es ohne eine solche Schulung zu einem IT-Sicherheitsvorfall kommt, weil Mitarbeitende beispielsweise eine Phishing-Mail geöffnet haben, kann es rechtlich schwierig werden. In diesem Fall kann der Geschäftsführer nicht nachweisen, dass alle Mitarbeiterenden ausreichend geschult wurden und es kann passieren, dass dies im Rahmen seiner Unternehmensverantwortung als grob fahrlässig eingestuft wird. In einem solchen Fall wäre er sogar mit seinem Privatvermögen haftbar. Für genauere Fragen in diesem Bereich raten wir aber unbedingt dazu, sich noch einmal rechtliche Unterstützung zu suchen.
Ohne Verpflichtung kein Awareness-Training notwendig?
Hierzu sagen wir klar: „Nein“. Durch die Vielzahl an Angriffen, die jeden Tag auf Unternehmen einprasseln, ist es wichtig alle möglichen Einfallstore zu berücksichtigen. Der Mensch ist dabei leider immer noch eine der größten Sicherheitslücken in den Systemen von vielen Firmen. Diese gilt es zu schließen und dafür sorgen Awareness-Trainings und Schulungen.
Wir bieten Awareness-Trainings im Großraum Karlsruhe an und in der Regel nehmen Mitarbeitende aus jedem Workshop noch etwas mit. Diese überraschten Gesichter zeigen uns, dass es auch heutzutage noch wichtig ist, das Bewusstsein für Social Engineering Attacken zu stärken.
Kontaktieren Sie uns gern für ein unverbindliches Beratungsgespräch und wir besprechen, welche Form Awareness-Training für Ihre Firma am besten geeignet ist.