Security-Awareness-Training: Was funktioniert, was Zeitverschwendung ist

Das jährliche 60-Minuten-Sicherheitsvideo ist Zeitverschwendung. Vierteljährlich 10 Minuten gezieltes Material funktioniert wirklich. Hier das Programm, das nachweislich wirkt.

Menschen vergessen innerhalb von 2 Wochen 80 % dessen, was sie in einer Jahresschulung gehört haben. Deshalb ist ein anderer Ansatz besser als „Video schauen und fertig".

Was funktioniert

• Kurz und regelmäßig: 10–15 Minuten pro Quartal, nicht 60 Minuten pro Jahr.
• Kontextbezogen: aktuelle Phishing-Beispiele aus dem eigenen Unternehmen, keine generischen Beispiele von 2019.
• Interaktiv: Phishing-Simulationen, die die Mitarbeitenden selbst durchlaufen. Zum Beispiel KnowBe4, Cofense.
• Sofortiges Feedback: Wer klickt, erhält unmittelbar (freundliches) Feedback – keine kollektive Blame-E-Mail.
• Rollenspezifisch: Finance erhält eine Invoice-Fraud-Schulung, HR eine Social-Engineering-Schulung für neue Mitarbeitende.

Was nicht funktioniert

• Jährlich verpflichtend ein 60-Minuten-Video „vor Q4 anschauen".
• Tests, die primär auf Compliance ausgerichtet sind („zeigen, dass wir Schulungen durchgeführt haben") statt auf echtes Lernen.
• Blame-Culture nach Phishing-Tests.
• Generische Inhalte ohne Bezug zum eigenen Unternehmenskontext.

Onboarding

Jede neue Mitarbeiterin und jeder neue Mitarbeiter erhält eine 30-minütige Einführungssession mit Security-Grundlagen sowie eine kurze Wiederholung nach 30 Tagen. Das bleibt besser im Gedächtnis als eine große Informationsdosis an Tag 1.

Messbar

• Phishing-Klickrate: Ausgangswert messen, Ziel: nach 6 Monaten halbieren.
• Melderate: Wie viele Phishing-Tests werden gemeldet? Ziel: > 70 % melden innerhalb von 2 Stunden.
• Incident-Response-Zeit: Wie schnell melden Mitarbeitende bei einem echten Vorfall? Aussagekräftigere Kennzahl als reine Testergebnisse.

Siehe auch: Phishing erkennen, Security-Grundpfeiler.