🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

ISO 27001-Schulung zur Sensibilisierung für Sicherheitsfragen: Der vollständige Leitfaden (Aktualisierung 2026)

Eine Zertifizierung nach ISO 27001 ist ein Gütesiegel, das zeigt, wie viel Wert Ihr Unternehmen auf den Umgang mit und den Schutz von sensiblen Informationen legt.

Der Standard skizziert einen Rahmen für das Sicherheitsmanagement, einschließlich einer Verpflichtung zur Mitarbeitersensibilisierung und -schulung.

Es kann jedoch schwierig sein, sich ein umfassendes Bild davon zu machen, was genau von Ihrem Unternehmen erwartet wird. Die Norm ISO 27001 umfasst eine Menge Text. Und selbst nachdem Sie sie mehrmals durchgelesen haben, bleiben Ihnen möglicherweise noch Fragen offen.

In diesem Artikel erläutern wir, was die Norm ISO 27001 zum Thema Sicherheitsbewusstsein vorsieht, welche Änderungen die jüngste Überarbeitung von 2022 mit sich brachte (die ab 2026 vollständig in Kraft tritt) und wie Sie Schulungen zum Sicherheitsbewusstsein gemäß ISO 27001 in Ihrem Unternehmen durchführen können. Außerdem haben wir eine umfassende Checkliste beigefügt, die Ihnen bei der Vorbereitung auf Ihr nächstes Audit helfen soll.

Kurz gesagt: Was ist ISO 27001?

ISO 27001 ist eine Norm für Managementsysteme zur Informationssicherheit (oft als ISMS bezeichnet). Ziel dieser Norm ist es, einen Ansatz für die Verwaltung und den Schutz sensibler Informationen bereitzustellen.

Die wichtigsten Bestandteile der ISO 27001 sind:

  • Risikobewertung
  • Richtlinienentwicklung
  • Klare Rollen und Verantwortlichkeiten
  • Awareness Training

Organisationen, die sich für die Einhaltung dieses Standards entscheiden, sind oft Regierungsbehörden, Gesundheitsorganisationen, Finanzinstitute und jede andere Organisation, die sensible Informationen verarbeitet.

Eine Zertifizierung zu erhalten, ist kein Kinderspiel. Es erfordert einen strengen Auditprozess, um zu überprüfen, ob Ihre Organisation den Standard erfüllt.

Was hat sich bei der ISO 27001 für 2026 geändert?

Die Überarbeitung der Norm ISO 27001:2022 brachte wesentliche Änderungen mit sich. Die Übergangsfrist endete am 31. Oktober 2025, was bedeutet, dass ab 2026 alle zertifizierten Organisationen die aktualisierte Fassung einhalten müssen. Hier erfahren Sie, was sich geändert hat und wie sich dies auf Ihr Programm zur Sensibilisierung für Sicherheitsfragen auswirkt.

Überarbeitete Vorschriften in Anhang A

Die vorherige Fassung (ISO 27001:2013) umfasste 114 Kontrollmaßnahmen, die auf 14 Kategorien verteilt waren. In der Überarbeitung von 2022 wurden diese zu 93 Kontrollmaßnahmen zusammengefasst, die sich auf 4 Themenbereiche verteilen:

  • Organisatorische Kontrollmaßnahmen (37 Kontrollmaßnahmen)
  • Personensteuerung (8 Bedienelemente)
  • Physische Steuerelemente (14 Steuerelemente)
  • Technische Kontrollen (34 Kontrollen)

Neue Vorschriften im Zusammenhang mit Sensibilisierungsschulungen

Mit der Überarbeitung von 2022 wurden 11 neue Kontrollmaßnahmen eingeführt. Einige davon wirken sich unmittelbar auf Schulungsprogramme zur Sensibilisierung für Sicherheitsfragen aus:

  • A.5.7 – Bedrohungsinformationen: Unternehmen müssen nun Bedrohungsinformationen sammeln und analysieren. Ihre Sensibilisierungsschulungen sollten aktuelle, reale Bedrohungen widerspiegeln und nicht nur allgemeine Szenarien behandeln.
  • A.6.3 – Sensibilisierung, Aufklärung und Schulung im Bereich Informationssicherheit: Dies ist nun eine eigenständige Kontrollmaßnahme (zuvor unter A.7.2.2 zusammengefasst). Sie schreibt ausdrücklich ein formelles Sensibilisierungsprogramm vor, dessen Wirksamkeit dokumentiert werden muss.
  • A.8.12 – Verhinderung von Datenlecks: Die Mitarbeiter müssen verstehen, wie es zu Datenlecks kommt und wie diese verhindert werden können. Dies muss Teil Ihrer Schulungsinhalte sein.
  • A.8.23 – Webfilterung: Die Mitarbeiter sollten verstehen, warum bestimmte Webinhalte gesperrt sind und wie sie verdächtige Websites melden können.
  • A.5.23 – Informationssicherheit bei der Nutzung von Cloud-Diensten: Angesichts der zunehmenden Verbreitung von Cloud-Lösungen benötigen Mitarbeiter Schulungen zur sicheren Nutzung der Cloud, zum Datenaustausch und zur Zugriffsverwaltung.

Was das für Ihr Trainingsprogramm bedeutet

Wenn Ihr Schulungsprogramm auf der Version von 2013 basiert, müssen Sie es aktualisieren. Zu den wichtigsten Maßnahmen gehören:

  • Schulungsinhalte überprüfen und aktualisieren, um neue Kontrollmaßnahmen abzudecken
  • Fügen Sie Module zu den Themen Bedrohungsinformationen, Cloud-Sicherheit und Schutz vor Datenlecks hinzu
  • Stellen Sie sicher, dass Ihre Schulung die neue 4-Themen-Struktur widerspiegelt
  • Aktualisieren Sie die Verweise in der Dokumentation von den alten auf die neuen Kontrollnummern

Was besagt die Norm ISO 27001 zum Thema Sicherheitsbewusstsein?

Die Norm ISO 27001 hebt in mehreren Abschnitten die Bedeutung des Sicherheitsbewusstseins hervor.

  • Klausel 7.2 – Kompetenz: Die Norm verlangt von Organisationen, die erforderliche Kompetenz der Mitarbeitenden, die an der Informationssicherheit beteiligt sind, zu bestimmen.
  • Klausel 7.3 – Awareness: Organisationen müssen sicherstellen, dass Mitarbeitende die Informationssicherheitsrichtlinie, relevante Ziele sowie ihre Rollen und Verantwortlichkeiten bei der Erreichung dieser Ziele kennen.
  • Klausel 8.2 – Kommunikation: ISO 27001 betont die Bedeutung der internen Kommunikation bezüglich des Informationssicherheits-Managementsystems, einschließlich der Förderung des Bewusstseins für Informationssicherheit.
  • Klausel 8.2.2 – Informationssicherheits-Awareness, Schulung und Training: Organisationen müssen sicherstellen, dass das Personal die Informationssicherheitsrichtlinie kennt und in den Bereichen ihrer Arbeit, die sich auf Informationssicherheit beziehen, kompetent ist.

Maßnahmen gemäß Anhang A der ISO 27001 im Zusammenhang mit der Sensibilisierung für Sicherheitsfragen

Über die oben genannten Bestimmungen hinaus sehen mehrere Kontrollmaßnahmen in Anhang A Schulungen zur Sensibilisierung für Sicherheitsfragen ausdrücklich vor oder profitieren davon. Wenn Sie diese verstehen, können Sie ein Schulungsprogramm entwickeln, das alle prüfbaren Bereiche abdeckt.

A.5.1 – Richtlinien zur Informationssicherheit

Ihre Richtlinien zur Informationssicherheit müssen allen Mitarbeitern mitgeteilt werden. Durch Schulungen sollte sichergestellt werden, dass jedes Teammitglied die Richtlinien versteht, weiß, was sie für die tägliche Arbeit bedeuten, und sich der Folgen einer Nichteinhaltung bewusst ist.

A.6.3 – Sensibilisierung, Aufklärung und Schulung im Bereich Informationssicherheit

Dies ist die zentrale Kontrollmaßnahme in der Überarbeitung von 2022. Sie erfordert:

  • Ein formelles Sensibilisierungsprogramm, das alle Mitarbeiter einbezieht
  • Aufgabenspezifische Schulungen für Mitarbeiter mit erhöhten Sicherheitsaufgaben
  • Regelmäßige Aktualisierungen der Schulungsinhalte unter Berücksichtigung neuer Bedrohungen und Änderungen der Richtlinien
  • Dokumentierter Nachweis über den Abschluss und die Wirksamkeit der Schulung

A.6.8 – Meldung von Vorfällen im Bereich der Informationssicherheit

Mitarbeiter müssen wissen, wie sie Sicherheitsvorfälle erkennen und melden können. Ihre Schulung sollte folgende Themen behandeln:

  • Was ist der Unterschied zwischen einem Sicherheitsereignis und einem Sicherheitsvorfall?
  • So melden Sie Vorfälle über die richtigen Kanäle
  • Die Bedeutung einer zeitnahen Meldung (auch bei Fehlalarmen)
  • Was geschieht, nachdem eine Meldung eingereicht wurde?

A.8.7 – Schutz vor Schadsoftware

Die Mitarbeiter müssen verstehen, wie sich Malware verbreitet und wie Infektionen verhindert werden können. Zu den Schulungsthemen sollten das Erkennen verdächtiger Anhänge, sichere Surfgewohnheiten und die Bedeutung von Software-Updates gehören.

A.5.10 – Zulässige Nutzung von Informationen und Ressourcen

Die Mitarbeiter sollten in Bezug auf die Richtlinien zur zulässigen Nutzung geschult werden: Was dürfen sie mit den Geräten, Daten und Systemen des Unternehmens tun und was nicht? Dazu gehören Richtlinien zur privaten Nutzung, BYOD-Richtlinien und Verfahren zum Umgang mit Daten.

A.8.9 – Konfigurationsmanagement

Auch wenn es sich in erster Linie um eine technische Kontrollmaßnahme handelt, benötigen die Mitarbeiter (insbesondere das IT-Personal) Schulungen zur Aufrechterhaltung sicherer Konfigurationen und zum Verständnis dafür, warum unbefugte Änderungen verboten sind.

So führen Sie Schulungen zur Sensibilisierung für Sicherheitsfragen gemäß ISO 27001 durch

Die Norm ISO 27001 bietet einen klaren Rahmen, der Organisationen beim Management der Informationssicherheit unterstützt. Sie enthält jedoch keine konkreten Vorgaben dazu, wie solche Programme zur Sensibilisierung für Sicherheitsfragen in Ihrer Organisation umgesetzt werden sollen.

Woher wissen Sie also, ob Ihr Schulungsprogramm zur Sensibilisierung für Sicherheitsfragen gemäß ISO 27001 den Anforderungen entspricht?

Zunächst können wir uns ansehen, worauf die Auditoren nach ISO 27001 achten. Bei Audits wird die Einhaltung der Anforderungen der ISO 27001 durch die Organisation bewertet, einschließlich derjenigen, die sich auf das Sicherheitsbewusstsein beziehen.

Auditoren achten oft auf Folgendes:

  • Dokumentation: Haben Sie Ihre Sicherheitsrichtlinie, Ziele, Rollen und spezifischen Anforderungen bezüglich Awareness und Training dokumentiert?
  • Kommunikation: Können Sie nachweisen, dass Ihre Mitarbeiter Ihre Sicherheitsrichtlinien, Ziele und ihre spezifischen Rollen bei deren Erreichung kennen?
  • Schulungsprogramme: Können Sie nachweisen, dass Ihre Organisation Schulungsprogramme implementiert hat?
  • Überwachung und Messung: Können Sie nachweisen, dass Sie die Wirksamkeit Ihrer Security Awareness Programme überwachen und messen?

Sie können entweder ein eigenes Schulungsprogramm einrichten oder eine Security Awareness Training Plattform wie Guardey nutzen.

Mit Guardey stellen sich Ihre Mitarbeiter wöchentlichen Cyber Security Challenges, die bis zu drei Minuten in Anspruch nehmen. Die Challenges decken alle relevanten Themen ab, wie Spear Phishing, CEO-Betrug, Passwortsicherheit und mehr. Indem sie jede Woche kleine Informationshäppchen lernen, bauen Mitarbeiter langsam Wissen und ihre Security Awareness auf.

Im Berichtsbereich können Sie verfolgen, wie die Mitarbeiter abschneiden und welche Sicherheitsthemen möglicherweise mehr Aufmerksamkeit erfordern. Damit eignet sich Guardey ideal für Schulungen zur Sensibilisierung für Sicherheitsfragen, die den Anforderungen der Norm ISO 27001 entsprechen.

→ Planen Sie eine Demo mit einem der Cyber Security Spezialisten von Guardey.

Checkliste ISO 27001 (2026)

Nutzen Sie diese umfassende Checkliste, um zu überprüfen, ob Ihre Organisation alle Anforderungen der ISO 27001 erfüllt. Diese Checkliste entspricht der überarbeiteten Fassung der ISO 27001:2022 und deckt alle Punkte ab, auf die Auditoren achten – von Richtlinien und Dokumentation bis hin zu Schulungen, Überwachung und Auditbereitschaft.

1. Richtlinien und Dokumentation

  • Die Richtlinie zur Informationssicherheit ist dokumentiert und wurde von der Geschäftsleitung genehmigt
  • Die Ziele der Schulungen zur Sensibilisierung für Sicherheitsfragen sind klar definiert und auf die Unternehmensziele abgestimmt
  • Die Rollen und Zuständigkeiten für die Leitung des Sensibilisierungsprogramms sind festgelegt
  • Für das laufende Jahr gibt es einen offiziellen Trainingsplan bzw. -kalender
  • Die Richtlinien zur akzeptablen Nutzung sind schriftlich festgehalten und für alle Mitarbeiter zugänglich
  • Die Verfahren zur Meldung von Vorfällen sind dokumentiert und bekannt gegeben
  • Es gibt Richtlinien zur Datenklassifizierung, und die Mitarbeiter kennen die Klassifizierungsstufen
  • Das Sensibilisierungsprogramm wird mindestens einmal jährlich überprüft und aktualisiert

2. Schulungsinhalte und -themen

Ihr Schulungsprogramm sollte alle folgenden Themen abdecken, um die Anforderungen der ISO 27001 zu erfüllen:

  • Phishing und Social Engineering – Wie man Phishing-E-Mails, Vishing, Smishing und Pretexting-Angriffe erkennt und meldet
  • Passwortsicherheit – Erstellen sicherer Passwörter, Verwendung von Passwort-Managern und Verständnis der Multi-Faktor-Authentifizierung
  • Umgang mit und Klassifizierung von Daten – Umgang mit sensiblen Daten, Klassifizierungsstufen und ordnungsgemäße Verfahren zur Aufbewahrung und Entsorgung
  • Meldung von Vorfällen – Wie man Sicherheitsvorfälle erkennt und über die richtigen Kanäle meldet
  • Physische Sicherheit – „Clean-Desk“-Richtlinie, Besuchermanagement, sicheres Drucken und Verhinderung von „Tailgating“
  • Sicherheit bei der Telearbeit – Sichere Praktiken im Homeoffice, VPN-Nutzung und Risiken öffentlicher WLAN-Netze
  • Malware-Prävention – Verdächtige Anhänge erkennen, sicheres Surfen und regelmäßige Software-Updates
  • Cloud-Sicherheit – Sichere Nutzung von Cloud-Diensten, bewährte Verfahren für den Datenaustausch und Zugriffsverwaltung (neu in der Überarbeitung von 2022)
  • BYOD und Sicherheit mobiler Geräte – Schutz privater Geräte, die für berufliche Zwecke genutzt werden
  • Verhinderung von Datenlecks – Wie es zu Datenlecks kommt und welche Präventionsmaßnahmen es gibt (neu in der Überarbeitung von 2022)
  • Betrug durch CEO-Imitatoren und Manipulation von Geschäfts-E-Mails – Identifizierung von Identitätsbetrugsangriffen und Überprüfung ungewöhnlicher Anfragen
  • Grundlagen zum Datenschutz und zur DSGVO – Verpflichtungen beim Umgang mit personenbezogenen Daten verstehen
  • KI und neue Bedrohungen – Risiken durch KI-generiertes Phishing, Deepfakes und neue Angriffsvektoren

3. Durchführung und Häufigkeit der Schulungen

  • Neue Mitarbeiter erhalten während der Einarbeitungsphase (innerhalb der ersten Woche) eine Schulung zum Thema Sicherheitsbewusstsein
  • Alle Mitarbeiter erhalten fortlaufende, regelmäßige Schulungen (mindestens einmal im Monat; wöchentliche Mikro-Lerneinheiten werden empfohlen)
  • Die Schulungen werden in den Sprachen angeboten, die Ihre Mitarbeiter sprechen
  • Die Schulung ist auf verschiedenen Geräten verfügbar (PC, Tablet, Smartphone)
  • Für risikoreiche Positionen (IT-Mitarbeiter, Führungskräfte, Finanzabteilung, Personalabteilung) werden funktionsspezifische Schulungen angeboten
  • Die Geschäftsleitung und die Führungskräfte nehmen an dem Schulungsprogramm teil
  • Die Schulungsinhalte werden aktualisiert, sobald neue Bedrohungen auftreten oder sich Richtlinien ändern
  • Auftragnehmer und Mitarbeiter von Drittunternehmen, die Zugriff auf das System haben, erhalten eine entsprechende Schulung

4. Phishing-Simulationen

  • Es werden regelmäßig (mindestens vierteljährlich) Phishing-Simulationen durchgeführt
  • Die Simulationen decken verschiedene Angriffsarten ab (E-Mail-Phishing, Spear-Phishing, SMS-Phishing)
  • Mitarbeiter, die auf simulierte Phishing-E-Mails klicken, erhalten sofortiges Feedback und zusätzliche Schulungen
  • Die Simulationsergebnisse werden erfasst und der Geschäftsleitung vorgelegt
  • Die Klickraten sind im Laufe der Zeit rückläufig
  • Die Melderaten (Anzahl der Mitarbeiter, die die Phishing-E-Mail melden) werden erfasst und steigen

5. Mitarbeiterengagement und -beteiligung

  • Die Abschlussquoten der Schulungen werden erfasst und liegen bei über 90 %
  • Es werden Gamification-Elemente eingesetzt, um das Engagement zu steigern (Quizze, Ranglisten, Belohnungen)
  • Es gibt einen Kommunikationsplan, um das Sicherheitsbewusstsein über die formelle Schulung hinaus zu fördern
  • Die Unternehmensleitung unterstützt das Sensibilisierungsprogramm sichtbar und beteiligt sich daran
  • Mitarbeiter können über einen leicht zugänglichen Kanal Fragen stellen oder Bedenken melden
  • Positives Sicherheitsverhalten wird anerkannt und belohnt

6. Überwachung, Messung und Berichterstattung

  • Die Abschlussquoten der Schulungen werden pro Mitarbeiter und pro Abteilung erfasst
  • Die Ergebnisse von Quizzen und Tests werden erfasst, um den Wissensstand zu messen
  • Die Klick- und Melderaten bei Phishing-Simulationen werden über einen längeren Zeitraum gemessen
  • Die Entwicklung bei Sicherheitsvorfällen steht in Zusammenhang mit den Maßnahmen zur Sensibilisierung
  • Der Geschäftsleitung werden regelmäßig Berichte über die Wirksamkeit des Programms vorgelegt
  • KPIs are defined for the awareness program (e.g., <90% click rate, >95% completion)
  • Maßnahmen zur Verbesserung werden auf der Grundlage der Überwachungsergebnisse dokumentiert

7. Prüfungsbereitschaft und Nachweise

  • Die Schulungsunterlagen werden mindestens für den letzten Zertifizierungszyklus (3 Jahre) aufbewahrt und sind einsehbar
  • Für jeden Mitarbeiter sind Abschlusszertifikate erhältlich
  • Berichte zu Phishing-Simulationen werden mit Datum und Ergebnissen archiviert
  • Die Formulare zur Bestätigung der Richtlinien werden unterzeichnet und archiviert
  • Die Protokolle der Besprechungen zur Überprüfung des Sicherheitsbewusstseins werden dokumentiert
  • Maßnahmen zur Mängelbehebung aus früheren Audits im Bereich Sensibilisierung werden nachverfolgt und abgeschlossen
  • Es liegen Nachweise für die Überprüfung des Sensibilisierungsprogramms durch die Geschäftsleitung vor

8. Kontinuierliche Verbesserung

  • Die aus Sicherheitsvorfällen gewonnenen Erkenntnisse fließen in die Schulungsinhalte ein
  • Die Schulungsinhalte werden entsprechend neuer Bedrohungen und Bedrohungsinformationen aktualisiert (A.5.7)
  • Es werden Rückmeldungen der Mitarbeiter zur Qualität und Relevanz der Schulungen eingeholt
  • Jährlich wird eine Lückenanalyse durchgeführt, bei der das Programm mit den Anforderungen der ISO 27001 verglichen wird
  • Ein Vergleich mit Branchenstandards oder vergleichbaren Organisationen wird in Betracht gezogen
  • Der Fahrplan für das Schulungsprogramm der nächsten 12 Monate ist dokumentiert

Häufige Fehler bei Sensibilisierungsaudits nach ISO 27001

Viele Organisationen scheitern bei ihrem ISO 27001-Audit an den Kontrollen im Bereich der Sensibilisierung. Hier sind die häufigsten Fehler – und wie man sie vermeiden kann.

1. Nur einmal im Jahr trainieren

Jährliche Schulungen sind für Auditoren eines der größten Warnsignale. Eine einzige jährliche Schulung zeugt nicht von einer Kultur der kontinuierlichen Sensibilisierung. Die Norm ISO 27001 erwartet ein fortlaufendes Programm, das das Thema Sicherheit das ganze Jahr über im Blickfeld hält. Wöchentliche oder monatliche Kurzschulungen sind weitaus effektiver und lassen sich leichter nachweisen.

2. Keine Belege für die Wirksamkeit

Ein Schulungsprogramm allein reicht nicht aus. Sie müssen nachweisen, dass es funktioniert. Die Prüfer werden Kennzahlen verlangen, die belegen, dass die Mitarbeiter ihr Sicherheitsverhalten im Laufe der Zeit verbessert haben. Wenn Sie keine sinkenden Klickraten bei Phishing-Angriffen, keine besseren Quiz-Ergebnisse oder keine geringere Anzahl von Vorfällen nachweisen können, wird Ihr Programm möglicherweise als unzureichend eingestuft.

3. Einheitsschulung

Nicht alle Mitarbeiter sind denselben Risiken ausgesetzt. Ein Mitarbeiter der Finanzabteilung, der Zahlungen bearbeitet, benötigt eine andere Schulung als ein Entwickler oder eine Empfangsmitarbeiterin. Die Norm ISO 27001 verlangt rollenspezifische Schulungen, die auf die besonderen Risiken der jeweiligen Rolle eingehen. Eine allgemeine Schulung für alle reicht nicht aus.

4. Keine Beteiligung der Geschäftsleitung

Wenn die Führungskräfte nicht an dem Sensibilisierungsprogramm teilnehmen, fällt dies den Auditoren auf. Die Geschäftsleitung muss das Programm nicht nur unterstützen, sondern sich auch aktiv daran beteiligen. Dies verdeutlicht den von der ISO 27001 geforderten „Ton von oben“.

5. Veraltete Inhalte

Wenn Ihre Schulungsunterlagen noch immer auf Bedrohungen aus dem Jahr 2020 Bezug nehmen, aber KI-generiertes Phishing, QR-Code-Angriffe oder Risiken für die Cloud-Sicherheit außer Acht lassen, werden die Prüfer dies beanstanden. Die Schulungsinhalte müssen aktuelle Bedrohungen widerspiegeln und regelmäßig aktualisiert werden.

6. Fehlende Einarbeitungsschulung

Neue Mitarbeiter haben oft eine Karenzzeit, bevor sie mit der Schulung beginnen. Dies stellt ein Risiko dar und ist ein Beanstandungspunkt bei Audits. Schulungen zur Sensibilisierung für Sicherheitsfragen sollten Teil des Einarbeitungsprozesses in der ersten Woche sein und nicht erst Monate später beginnen.

7. Auftragnehmer und Dritte ignorieren

Wenn externe Mitarbeiter Zugriff auf Ihre Systeme haben, müssen auch sie an Sensibilisierungsschulungen teilnehmen. Die Prüfer werden überprüfen, ob Ihr Programm alle Mitarbeiter mit Zugriffsrechten umfasst, nicht nur die Vollzeitbeschäftigten.

So messen Sie die Wirksamkeit Ihres Programms zur Sensibilisierung für Sicherheitsfragen

Gemäß ISO 27001, Abschnitt 9.1, müssen Organisationen die Leistung des ISMS, einschließlich Ihres Sensibilisierungsprogramms, überwachen, messen, analysieren und bewerten. Hier sind die wichtigsten Kennzahlen, die Sie im Blick behalten sollten.

Ergebnisse der Phishing-Simulation

Führen Sie regelmäßig Phishing-Simulationen durch und verfolgen Sie zwei wichtige Kennzahlen:

  • Klickrate: Der Prozentsatz der Mitarbeiter, die auf den simulierten Phishing-Link klicken. Ein guter Richtwert liegt unter 5 %. Liegt die Quote über 15 %, deutet dies auf erhebliche Schulungsdefizite hin.
  • Meldequote: Der Prozentsatz der Mitarbeiter, die die Phishing-E-Mail korrekt melden. Dies ist wohl wichtiger als die Klickrate. Eine hohe Meldequote zeigt, dass die Mitarbeiter aktiv mitwirken.

Abschluss der Schulung und Ergebnisse

  • Erfüllungsquote: Ziel: mindestens 95 % in allen Abteilungen. Ermitteln Sie, welche Abteilungen hinterherhinken, und ergreifen Sie entsprechende Maßnahmen.
  • Bewertungsergebnisse: Verfolgen Sie die durchschnittlichen Quiz-Ergebnisse pro Thema. Niedrige Ergebnisse bei bestimmten Themen zeigen auf, wo zusätzlicher Schulungsbedarf besteht.
  • Dauer bis zum Abschluss: Überwachen Sie, wie schnell neue Mitarbeiter die Einarbeitungsschulung absolvieren.

Kennzahlen zu Sicherheitsvorfällen

  • Anzahl der gemeldeten Vorfälle: Ein Anstieg der gemeldeten Vorfälle (insbesondere Beinaheunfälle) deutet oft auf ein gesteigertes Bewusstsein hin, nicht auf eine Verschlechterung der Sicherheit.
  • Durchschnittliche Meldezeit: Wie schnell melden Mitarbeiter Sicherheitsvorfälle? Eine schnellere Meldung ist ein Zeichen für besser geschultes Personal.
  • Vorfälle aufgrund menschlicher Fehler: Verfolgen Sie, ob die Zahl der auf menschliches Versagen zurückzuführenden Vorfälle im Laufe der Zeit abnimmt, wenn die Schulungen immer ausgereifter werden.

Kennzahlen zur Nutzerinteraktion

  • Freiwillige Teilnahme: Engagieren sich die Mitarbeiter über die obligatorischen Schulungen hinaus (z. B. durch das Lesen von Sicherheits-Newslettern oder die Teilnahme an freiwilligen Veranstaltungen)?
  • Bewertungsergebnisse: Sammeln Sie Feedback zur Relevanz und Qualität der Schulungen. Geringes Engagement deutet oft darauf hin, dass die Inhalte nicht ankommen.

So führen Sie bei Ihren Mitarbeitern Schulungen zur Sensibilisierung für die Sicherheit gemäß ISO 27001 ein

Sobald Sie sich für eine Schulungslösung zur Sensibilisierung für Sicherheitsfragen nach ISO 27001 entschieden haben, ist es an der Zeit, diese Ihren Mitarbeitern vorzustellen. Das ist nicht immer einfach. Nicht jeder versteht vielleicht sofort, wie wichtig solche Schulungen sind, weshalb es möglicherweise nicht ausreicht, den Mitarbeitern lediglich ihre Zugangsdaten zuzusenden.

Deshalb benötigen Sie eine starke Einleitung. Unten haben wir zwei Beispiele hinzugefügt.

EyeOn organisierte eine Cybersicherheitswoche, um den Startschuss für den Zertifizierungsprozess nach ISO 27001 zu geben. Während dieser Woche begann jeder Tag mit einem 15-minütigen Gespräch, das als „Sicherheits-Check-up“ bezeichnet wurde. Jeder Tag stand unter einem bestimmten Cybersicherheitsthema, und bei verschiedenen Herausforderungen (sowohl in Guardey als auch im realen Leben) konnten die Mitarbeiter Punkte sammeln. Am Ende der Woche wurden die Mitarbeiter mit den besten Leistungen mit einer Trophäe und einem kleinen Geschenk belohnt.

Die Gewinner der EyeOn-Cybersicherheitswoche.

Delta Wines organisierte zunächst eine Spear-Phishing-Simulation. Während dieser Simulation erhielten die Mitarbeiter eine Phishing-E-Mail, um zu testen, ob sie auf den Link klicken und persönliche Informationen hinterlassen würden. Und es stellte sich heraus, dass viele Mitarbeiter genau das taten. Der IT-Manager teilte die Endergebnisse des Phishing-Tests während eines vierteljährlichen Meetings mit, was einige seiner Kollegen schockierte. Dies erleichterte die Einführung von Guardey als ihre Security Awareness Training Lösung erheblich.

Wie Fendix Organisationen mithilfe von Guardey zur ISO 27001-Zertifizierung verhilft

Fendix unterstützt Unternehmen bei der Zertifizierung nach ISO 27001. Killian Houthuijzen, Berater für Informationssicherheit bei Fendix, erläutert, welche Rolle die Sicherheitsschulungslösung von Guardey in diesem Prozess spielt: „Ein wichtiger Aspekt bei der Zertifizierung nach ISO 27001 ist die Investition in die Sensibilisierung der Mitarbeiter für Sicherheitsfragen. Vor einiger Zeit haben wir versucht, zur Vorbereitung darauf unsere eigene Version einer Schulung zur Sensibilisierung für Sicherheitsfragen aufzusetzen. Aber die Erstellung all dieser neuen Inhalte hätte uns jeden Monat mindestens 8 Stunden gekostet. Das ist einfach nicht effizient.“

Er fährt fort: „Mit Guardey wird Security Awareness Training erschwinglich, und Sie müssen keine Zeit in die Einrichtung investieren. Sie müssen lediglich die Leistung Ihres Teams überwachen, was im Lernmanagementsystem von Guardey einfach ist. Deshalb raten wir unseren Kunden oft, Guardey einfach zu nutzen, anstatt den gesamten Aufwand für die Einrichtung eigener Schulungen zu betreiben.“

ISO 27001 vs. NIS2 vs. SOC 2: Vergleich der Anforderungen an Sensibilisierungsschulungen

Viele Unternehmen müssen mehrere Sicherheitsrichtlinien einhalten. Hier sehen Sie einen Vergleich der Anforderungen an Sensibilisierungsschulungen bei den drei gängigsten Standards.

Anforderung ISO 27001 NIS2 SOC 2
Ist ein Sensibilisierungstraining verpflichtend? Ja (Ziffer 7.3, A.6.3) Ja (Artikel 20) Ja (CC1.4, CC2.2)
Mindestfrequenz Laufend / regelmäßig Normal (nicht angegeben) Jährlicher Mindestbetrag
Mitarbeiterbeteiligung Erforderlich Erforderlich (auf Vorstandsebene) Empfohlen
Phishing-Simulationen Empfohlen Nicht angegeben Gängige Praxis
Wirksamkeitsmessung Erforderlich (Absatz 9.1) Erforderlich Erforderlich
Funktionsspezifische Schulung Erforderlich Empfohlen Erforderlich
Haftpflichtversicherung Erforderlich Fokus auf die Lieferkette Für Service-Organisationen erforderlich
Sanktionen bei Nichteinhaltung Verlust der Zulassung Bis zu 10 Mio. € oder 2 % des Umsatzes Verlust des SOC-2-Berichts

Die gute Nachricht: Ein solides Schulungsprogramm zur Sensibilisierung für ISO 27001 deckt die meisten Anforderungen von NIS2 und SOC 2 ab. Durch den Einsatz einer umfassenden Schulungsplattform wie Guardey können Sie die Anforderungen aller drei Rahmenwerke mit einer einzigen Lösung erfüllen.

Häufig gestellte Fragen zur Schulung zur Sensibilisierung für Sicherheitsfragen nach ISO 27001

Sind Schulungen zur Sensibilisierung für Sicherheitsfragen für die ISO 27001 verpflichtend?

Ja. Die Norm ISO 27001 verlangt von Organisationen, dass sie sicherstellen, dass die Mitarbeiter die Richtlinien zur Informationssicherheit kennen und in den Bereichen ihrer Arbeit, die die Informationssicherheit betreffen, über die erforderlichen Kompetenzen verfügen. In Abschnitt 7.3 (Sensibilisierung) und Anhang A, Kontrollpunkt 6.3, wird ausdrücklich ein formelles Sensibilisierungsprogramm gefordert.

Wie oft sollten Mitarbeiter an Schulungen zur Sensibilisierung für Sicherheitsfragen teilnehmen?

ISO 27001 verlangt eine kontinuierliche Sensibilisierung und nicht nur eine einmalige Maßnahme. Die Norm schreibt zwar keine genaue Häufigkeit vor, doch gilt es als bewährte Praxis, mindestens einmal im Monat Schulungen anzubieten. Wöchentliche Mikro-Lerneinheiten (wie die 3-Minuten-Herausforderungen von Guardey) gelten als optimal, da sie das Thema Sicherheit stets im Bewusstsein halten, ohne die Mitarbeiter zu überfordern.

Welche Themen sollte eine Schulung zur Sensibilisierung für ISO 27001 behandeln?

Ihre Schulung sollte mindestens folgende Themen abdecken: Phishing und Social Engineering, Passwortsicherheit, Umgang mit und Klassifizierung von Daten, Meldung von Vorfällen, physische Sicherheit, Sicherheit bei der Telearbeit, Malware-Prävention, Cloud-Sicherheit sowie Richtlinien zur akzeptablen Nutzung. Die Überarbeitung für 2022 legt zudem einen Schwerpunkt auf Bedrohungsinformationen, Schutz vor Datenlecks und Sensibilisierung für Webfilterung.

Können Online-Schulungen Präsenzschulungen zum Thema Sicherheitsbewusstsein ersetzen?

Ja. Die Norm ISO 27001 schreibt keine bestimmte Methode für die Durchführung von Schulungen vor. Online-Schulungsplattformen wie Guardey werden von Auditoren allgemein anerkannt, insbesondere wenn sie dokumentierte Nachweise über den Abschluss, Bewertungsergebnisse und die kontinuierliche Beteiligung liefern. Viele Organisationen stellen fest, dass Online-Mikrolernmodule effektiver sind als herkömmliche Präsenzschulungen, da sie alle Mitarbeiter gleichermaßen erreichen.

Wie weist man bei einem ISO 27001-Audit nach, dass Schulungen zur Sensibilisierung für Sicherheitsfragen durchgeführt wurden?

Die Prüfer werden nach dokumentierten Nachweisen suchen, darunter: Nachweise über den Abschluss von Schulungen pro Mitarbeiter, Ergebnisse von Tests und Quizzen, Ergebnisse von Phishing-Simulationen, Bestätigungsformulare für Richtlinien, Protokolle von Besprechungen zur Überprüfung der Sensibilisierungsprogramme sowie Nachweise für die Beteiligung der Führungskräfte. Eine Schulungsplattform mit integrierten Berichtsfunktionen erleichtert dies erheblich.

Benötigen Auftragnehmer und Zeitarbeitskräfte eine Schulung zur Sensibilisierung für ISO 27001?

Ja, sofern sie Zugriff auf Ihre Informationssysteme haben oder mit sensiblen Daten umgehen. Die Norm ISO 27001 schreibt vor, dass alle Mitarbeiter, die die Informationssicherheit beeinträchtigen könnten, eine entsprechende Sensibilisierungsschulung erhalten müssen. Dazu gehören auch Auftragnehmer, Zeitarbeitskräfte und externe Dienstleister.

Was passiert, wenn man den Teil des ISO 27001-Audits, der das Sicherheitsbewusstsein betrifft, nicht besteht?

Wenn die Auditoren eine Nichtkonformität im Zusammenhang mit dem Sicherheitsbewusstsein feststellen, erhalten Sie entweder einen Hinweis auf eine geringfügige oder eine schwerwiegende Nichtkonformität. Eine schwerwiegende Nichtkonformität bedeutet, dass Ihre Zertifizierung ausgesetzt werden könnte, bis Sie das Problem behoben haben. Bei einer geringfügigen Nichtkonformität wird Ihnen eine bestimmte Frist (in der Regel 90 Tage) eingeräumt, um vor dem nächsten Folgeaudit Korrekturmaßnahmen umzusetzen.

Testen Sie die Lösung von Guardey für Schulungen zur Sensibilisierung für Datensicherheit nach ISO 27001

Das Sicherheitsbewusstsein spielt eine wichtige Rolle beim Schutz Ihres Unternehmens vor Cyberangriffen und bei der Einhaltung der Norm ISO 27001. Wenn Sie nach einer Schulungslösung suchen, die innerhalb weniger Stunden implementiert werden kann, sollten Sie Guardey in Betracht ziehen.

Mit Guardeys gamifiziertem Lernprozess erhalten Ihre Mitarbeiter jede Woche 3-minütige Micro-Learnings. Im Laufe der Zeit lernen sie, Cyber-Bedrohungen zu erkennen und entsprechend zu handeln.

Lassen Sie sich nicht von Hackern überlisten. Starten Sie eine 14-tägige kostenlose Guardey-Testphase.

Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung