Zum Hauptinhalt springen
Informationssicherheit / NIS2

Security-Awareness

Security-Awareness bezeichnet die gezielte Schulung und Sensibilisierung von Beschäftigten, damit sie Sicherheitsrisiken wie Phishing oder Social Engineering erkennen und sich im Arbeitsalltag sicher verhalten.

Security-Awareness umfasst alle Maßnahmen, mit denen eine Organisation das Sicherheitsbewusstsein ihrer Beschäftigten aufbaut und dauerhaft aufrechterhält. Ziel ist, dass Mitarbeitende typische Angriffsmuster wie Phishing-Mails, Social Engineering, gefälschte Absender oder den unbedachten Umgang mit Passwörtern und mobilen Geräten erkennen und richtig reagieren. Da ein Großteil erfolgreicher Sicherheitsvorfälle auf menschliches Fehlverhalten zurückgeht, gilt der Faktor Mensch als entscheidende Verteidigungslinie neben technischen und organisatorischen Schutzmaßnahmen.

Wirksame Security-Awareness ist kein einmaliges Ereignis, sondern ein kontinuierlicher Prozess aus Schulungen, regelmäßigen Auffrischungen, simulierten Phishing-Kampagnen, Aushängen und einer klaren, gelebten Sicherheitskultur. Die Inhalte sollten zielgruppengerecht aufbereitet sein, denn die Geschäftsleitung, die IT-Administration und Sachbearbeiter haben unterschiedliche Risikoprofile und Pflichten. Erfolgskontrolle erfolgt über Kennzahlen wie Teilnahmequoten, Klickraten in Phishing-Simulationen oder die Zahl gemeldeter Verdachtsfälle, die in das Informationssicherheits-Managementsystem (ISMS) zurückfließen.

Rechtlich und normativ ist Security-Awareness fest verankert. Die NIS2-Richtlinie und ihre nationale Umsetzung verpflichten betroffene Einrichtungen zu Schulungen, und die Geschäftsleitung muss an Schulungen teilnehmen, um Cyberrisiken bewerten zu können. ISO/IEC 27001 fordert in den Controls zu Information Security Awareness, Education and Training entsprechende Programme, und der BSI IT-Grundschutz widmet dem Thema einen eigenen Baustein. Damit ist Security-Awareness sowohl Compliance-Pflicht als auch praktisches Mittel zur Risikoreduktion.

Rechtliche Grundlage

Art. 20 und Art. 21 Abs. 2 lit. g NIS2-Richtlinie (EU 2022/2555); ISO/IEC 27001:2022 Anhang A 6.3; BSI IT-Grundschutz Baustein ORP.3

Praxisbeispiel

Ein als besonders wichtige Einrichtung eingestufter Maschinenbauer führt ein jährliches Security-Awareness-Programm ein. Alle Beschäftigten absolvieren ein verpflichtendes E-Learning, die Geschäftsleitung nimmt an einer gesonderten Schulung zu ihren NIS2-Pflichten teil. Quartalsweise versendet die Informationssicherheitsbeauftragte simulierte Phishing-Mails; wer klickt, erhält sofort eine kurze Lerneinheit statt einer Sanktion. Die Klickrate sinkt innerhalb eines Jahres von 28 auf 6 Prozent, und die Zahl gemeldeter verdächtiger Mails steigt deutlich. Teilnahmequoten und Ergebnisse werden dokumentiert und im internen Audit als Nachweis der Pflichterfüllung vorgelegt.

Häufige Fragen

Empfohlen wird mindestens eine jährliche verpflichtende Grundschulung, ergänzt um kontinuierliche Maßnahmen wie quartalsweise Phishing-Simulationen, anlassbezogene Hinweise und Auffrischungen. Neue Beschäftigte sollten bereits beim Onboarding geschult werden. Wichtig ist die Regelmäßigkeit, da einmalige Schulungen schnell verblassen.
Ja. Die NIS2-Richtlinie verpflichtet betroffene Einrichtungen ausdrücklich zu Schulungen im Bereich Cybersicherheit. Zudem muss die Geschäftsleitung selbst an Schulungen teilnehmen und haftet für die Umsetzung der Risikomanagementmaßnahmen. Schulungen sind damit ein verpflichtender Baustein der Compliance.
Geeignete Kennzahlen sind Teilnahme- und Abschlussquoten der Schulungen, Klick- und Meldequoten in Phishing-Simulationen sowie die Zahl tatsächlich gemeldeter Verdachtsfälle. Sinkende Klickraten und steigende Meldungen sind starke Indikatoren für ein wachsendes Sicherheitsbewusstsein. Die Ergebnisse sollten dokumentiert und ins ISMS zurückgespielt werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Phishing Social Engineering NIS-2-Richtlinie ISMS (Informationssicherheits-Managementsystem) Informationssicherheitsrichtlinie
Zurück zum Glossar