Phishing-Mails, gestohlene Zugangsdaten, Social-Engineering-Angriffe: Die Liste erfolgreicher Cyberattacken wächst täglich. Viele dieser Vorfälle hätten durch besser informierte und sensibilisierte Mitarbeitende verhindert werden können. Doch in Zeiten von Zero-Trust-Architekturen, KI-gestützten Angriffsmethoden und passwortlosen Authentifizierungen stellt sich die Frage: Reicht Mitarbeiter-Sensibilisierung heute noch aus – oder braucht es ausschließlich technische Lösungen?
Der aktuelle Blue Report 2025 zeigt alarmierende Zahlen: 46 % der Unternehmenspasswörter sind leicht zu knacken – ein drastischer Anstieg im Vergleich zum Vorjahr. Parallel dazu belegen Fälle wie die Salesloft-Drift-Hacks, dass Angreifer zunehmend komplexe Strategien nutzen, um Authentifizierungstoken zu stehlen und Unternehmensdaten zu kompromittieren
Technik oder Mensch – was schützt besser?
Während Firewalls, Intrusion Detection Systeme und Public Key Infrastructure (PKI) neue Standards setzen, bleibt der Faktor Mensch ein entscheidendes Einfallstor für Angriffe. Schulungen und Security Awareness Trainings werden oft als „weicher“ Faktor unterschätzt – dabei zeigen Studien, dass sie nachweislich wirken. Unternehmen, die regelmäßig Awareness-Programme durchführen, verzeichnen bis zu 90 % weniger erfolgreiche Phishing-Angriffe.
Cyberresilienz als ganzheitlicher Ansatz
Der Schlüssel liegt nicht in einem „Entweder-oder“, sondern in einem „sowohl-als-auch“. Cyberresilienz bedeutet, nicht nur Vorfälle zu verhindern, sondern auch darauf vorbereitet zu sein, sie zu erkennen, einzudämmen und sich schnell davon zu erholen. Eine resiliente Organisation kombiniert dabei:
- Technische Schutzmaßnahmen (MFA, Segmentierung, Notfallpläne),
- Organisatorische Prozesse (klare Richtlinien, Incident Response),
- Mitarbeiter-Sensibilisierung (Awareness-Trainings, Phishing-Simulationen).
Gerade das Top-Management darf nicht außen vor bleiben. Studien wie das Allianz Risk Barometer stufen Cybervorfälle seit Jahren als größtes Geschäftsrisiko ein. Entsprechend sind Security-Trainings nicht nur für IT-Teams, sondern auch für Führungskräfte ein Muss.
Mitarbeitersensibilisierung – lohnt sich der Aufwand?
Die Antwort ist klar: Ja, sie bringt noch etwas – und zwar eine Menge. Security Awareness Programme senken nicht nur messbar die Erfolgsquote von Angriffen, sondern stärken auch das Vertrauen in die eigene Organisation. Entscheidend sind jedoch, dass die Trainings:
- interaktiv und praxisnah sind,
- regelmäßig aktualisiert werden,
- Phishing-Simulationen und aktuelle Bedrohungsszenarien einbeziehen.
Wie ein Webinar von G DATA betont: Ohne sicherheitsbewusste Mitarbeitende gibt es keine Abwehrkräfte.
Dennoch scheitern oft die klassischen Schulungen.
Viele Security-Awareness-Kampagnen bestehen aus trockenen Präsentationen oder Pflicht-E-Learnings. Studien zeigen jedoch, dass monotones Lernen mit nur einem Sinn (z. B. rein visuell) deutlich weniger effektiv ist [Phase6, 2023]. Das „Einmal-Video-anschauen-und-abnicken“ Prinzip führt selten zu Verhaltensänderungen. Mitarbeiter memorieren Fakten kurzfristig, vergessen diese aber genauso schnell wieder, wenn sie nicht aktiv in den Lernprozess eingebunden werden.
Lernen mit allen Sinnen – ein unterschätzter Sicherheitsfaktor
Die Psychologie und die Neurowissenschaften sind sich einig: Je mehr Sinne beim Lernen aktiviert werden, desto nachhaltiger prägt sich Wissen ein TU Dresden, 2024; Cell, 2022. Multimodales Enrichment, also die Kombination mehrerer Wahrnehmungskanäle, steigert nicht nur die Gedächtnisleistung, sondern erhöht auch die Motivation.
Für die IT-Sicherheit bedeutet das:
- Sehen: Anschauliche Phishing-Beispiele oder realistisch gestaltete E-Mails trainieren das Auge.
- Hören: Podcasts oder interaktive Erklärungen vertiefen durch auditive Reize.
- Fühlen: „Hands-on“ Übungen, bei denen Mitarbeiter in simulierten Angriffsszenarien selbst reagieren müssen, schaffen ein haptisches Lernerlebnis.
- Riechen & Schmecken: Diese Sinne spielen zwar im Cyberkontext keine direkte Rolle, können jedoch indirekt in Workshops oder Gamification-Formaten einbezogen werden, etwa durch thematisch gestaltete Events.
So wird aus passivem Konsum eine aktive Lernerfahrung – und genau das verankert sicherheitsrelevantes Verhalten im Alltag. Die B3-Unternehmensgruppe bieten Ihnen diese Trainingsmöglichkeiten an. Bitte nehmen Sie hierzu Kontakt mit aus auf.
Fazit – Was Unternehmen jetzt tun sollten
Cybersecurity ist längst kein reines IT-Thema mehr. Der Aufbau von Cyberresilienz verlangt eine Mischung aus Technologie, Prozessen und Mitarbeitersensibilisierung. Konkrete Maßnahmen:
- Starke Passwortrichtlinien & Multi-Faktor-Authentifizierung
- Regelmäßige Awareness-Trainings mit Phishing-Simulationen
- Klare Sicherheitsrichtlinien für den Arbeitsalltag
- Prinzip der minimalen Zugriffsrechte
- Notfall- und Incident-Response-Pläne aktiv üben
Nur durch die Kombination dieser Bausteine können Unternehmen ihre Cyberresilienz stärken und sich gegen die wachsende Bedrohungslage wappnen.
Und einen Baustein dafür finden sie unter datenschutzkontor.
