🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

Der ultimative Security Awareness Training Guide für 2026

Über NIS2

Dies ist ein SUPER detaillierter Security Awareness Training Leitfaden für 2026.

In diesem neuen Artikel erfahren Sie mehr über:

  • Die Bedeutung von Security Awareness
  • Die verschiedenen Arten von Security Awareness Training
  • Die besten Wege, Ihr Unternehmen ins Boot zu holen
  • Wie bekannte niederländische Marken ihre Mitarbeiter schulen.

Tauchen wir direkt ein.

Was ist Security Awareness Training?

Security awareness training ist ein Training, das Mitarbeiter befähigt, Cyber-Bedrohungen zu erkennen und zu vermeiden, denen sie bei der Arbeit oder im Privatleben begegnen können. Ein gutes Security Training Programm schärft das Bewusstsein für Themen wie Phishing, bösartige Software (Malware), Social Engineering und andere Gefahren der digitalen Welt.

Security awareness training kann spezifische Richtlinien- oder Regulierungsrahmen wie HIPAA abdecken oder allgemeiner gefasst sein. Das Training kann viele Formen annehmen, von einer jährlichen Auffrischungsschulung bis hin zu fortlaufendem Lernen, das regelmäßig angeboten wird.

Warum ist Security Awareness Training so wichtig?

Bis zu 95 % aller Hacks und Datenlecks werden durch menschliches Versagen verursacht. Vom Klicken auf einen Phishing-Link bis zur Verwendung schwacher Passwörter — Fehler von Menschen stehen oft am Anfang von Cyberkriminalität. Deshalb ist es so entscheidend, Ihre Mitarbeiter zu schulen, Cyber-Bedrohungen zu erkennen und zu melden.

Die Bedeutung von Security Awareness Training ist seit Jahren ein viel diskutiertes Thema. Nicht jeder Sicherheitsexperte hält es für notwendig, da menschliches Versagen ihrer Meinung nach nicht ausgeschlossen werden kann. Sie setzen auf technologische Maßnahmen, um Sicherheit auch bei menschlichem Versagen zu gewährleisten.

Bei Guardey glauben wir an eine Kombination aus beidem. Während es stimmt, dass Training keine Sicherheit garantieren kann, verstehen wir, dass Technologie dies auch nicht kann. Es gibt keinen Spam-Filter auf der Welt, der garantiert, alle Phishing-Mails abzufangen. Für das eine Prozent an Phishing, das Ihre technologischen Abwehrmaßnahmen durchdringt, möchten Sie, dass Ihre Mitarbeiter sich der Gefahren von Phishing bewusst sind.

Es gibt viele Cyber-Bedrohungen, die nicht durch Technologie verhindert werden können. Denken Sie an reale Social Engineering-Fälle, bei denen eine Person das Büro betritt und die Rezeption davon überzeugt, dass sie ein Auftragnehmer ist, der Zugang zu den Servern benötigt. Solche Situationen können nur verhindert werden, wenn jeder in Ihrer Organisation ein hohes Maß an Security Awareness besitzt.

Eine Einführung in gängige Cyber-Bedrohungen

Phishing, Vishing, Smishing und Quishing

Phishing ist der Einsatz von E-Mail-Nachrichten, um ein Ziel anzugreifen. Phishing-E-Mails geben vor, von jemandem zu stammen, dem das Ziel normalerweise vertrauen würde, wie einem Kunden oder Kollegen, oder von einer vertrauenswürdigen Entität wie einer Bank oder einem Online-Händler. Manchmal ist es das Ziel einer Phishing-E-Mail, den Empfänger zum Herunterladen von Malware zu verleiten. Allgemeiner ist es jedoch das Ziel, sensible Informationen zu erlangen, wie die Anmeldeinformationen des Ziels für einen Online-Banking-Dienst oder personenbezogene Daten wie die Sozialversicherungsnummer.

Eine Grafik, die das Wachstum von Phishing-Angriffen im Laufe der Jahre zeigt.

„Vishing“ ist eine ähnliche Angriffsmethode, bei der Sprach- und Videoanrufe genutzt werden, während bei „Smishing“ SMS und Textnachrichten zum Einsatz kommen. „Spear-Phishing“ bezeichnet einen Angriff, der auf eine bestimmte Person abzielt, beispielsweise eine Führungskraft der obersten Ebene oder jemanden mit IT-Zugriff. In diesen Fällen wendet der Hacker häufig Social-Engineering-Techniken an, um dem Opfer den Eindruck zu vermitteln, die Nachricht sei authentisch. „Quishing“ bezieht sich auf die Verwendung von QR-Codes, mit denen Opfer dazu verleitet werden, bösartige Websites aufzurufen oder Geld direkt an Kriminelle zu überweisen.

Malware

Malware ist bösartige Software, die von Cyberkriminellen verbreitet wird. Sie kann einzelne Computer und andere Geräte oder ganze Netzwerke infizieren. Es gibt viele verschiedene Arten von Malware. Hier sind einige Beispiele:

Viren

Viren sind selbstreplizierende Programme, die darauf ausgelegt sind, einem System Schaden zuzufügen, indem sie Daten löschen oder weitere ausnutzbare Schwachstellen einführen.

Trojaner

Trojaner sind Programme, die sich als legitime Software tarnen, aber einem System Schaden zufügen. Trojaner verbergen sich oft über längere Zeit unentdeckt auf Computersystemen, stehlen Informationen und senden diese an Cyberkriminelle. Eine gängige Art von Trojaner ist ein Keylogger. Dieser zeichnet alle Tastatureingaben auf einem infizierten Computer auf und kann so Passwörter und andere sensible Informationen preisgeben. Dies kann dann für weitere Straftaten wie Datendiebstahl und Identitätsdiebstahl genutzt werden.

Ransomware

Eine weitere gängige Art von Malware ist Ransomware. Ransomware ist Malware, die darauf ausgelegt ist, ein Lösegeld vom Opfer zu erpressen. Typischerweise verschlüsselt Ransomware alle Dateien auf einem Computersystem oder Netzwerk und fordert dann ein Lösegeld vom Opfer im Austausch für die Entschlüsselung.

Die geforderten Lösegelder sind oft sehr hoch, manchmal weit mehr, als das Opfer jemals zahlen kann. Selbst wenn das Lösegeld gezahlt wird, gibt es keine Garantie, dass der Angreifer Entschlüsselungsschlüssel bereitstellt. In vielen Fällen sind die verschlüsselten Dateien für immer verloren. In den letzten Jahren gab es viele prominente Ransomware-Angriffe, wie den Angriff auf den britischen National Health Service im Jahr 2023.

Ransomware nimmt international zu, wobei die Höhe der Lösegeldzahlungen steigt.

Lösegeldzahlungen pro Quartal

Bösartige Websites

Bösartige Websites, auch bekannt als Angriffsseiten, sind Websites, die bösartigen Code hosten, mit der Absicht, Nutzer dazu zu verleiten, diesen auf ihre Geräte herunterzuladen. In einigen Fällen werden Angriffsseiten speziell für diesen Zweck eingerichtet. In anderen Fällen wird eine legitime Website von Cyberkriminellen gekapert, die dann bösartigen Code einfügen. Einige Websites, sogenannte Drive-by-Angriffsseiten, erfordern nicht einmal, dass das Opfer auf einen Download-Link klickt oder in irgendeiner Weise interagiert – allein der Besuch der Website reicht aus, um ein unzureichend gesichertes System zu infizieren.

Bösartige Websites können auch vertrauenswürdige Websites imitieren, um Nutzer dazu zu verleiten, ihre Anmeldedaten einzugeben, wodurch Kriminelle Zugang zu den Konten der Opfer erhalten.

USB-Angriffe

Wechselmedien wie USB-Laufwerke können leicht als Vektor für bösartigen Code genutzt werden. In einigen Fällen könnte ein Krimineller physischen Zugang zu den Geräten einer Organisation erhalten; häufiger jedoch werden Angreifer infizierte USB-Sticks dort hinterlassen, wo ahnungslose Mitarbeiter sie finden können.

Es ist für einen Angreifer trivial, einen USB-Stick zu beschaffen, der mit dem Logo der Zielorganisation oder einer anderen vertrauenswürdigen Entität wie einem Kunden oder regelmäßigen Lieferanten versehen ist, und ihn in der Nähe des Geländes liegen zu lassen, wo er aufgehoben wird. Sie verlassen sich darauf, dass neugierige oder hilfsbereite Mitarbeiter den USB-Stick in einen der Computer im Netzwerk einer Organisation stecken, um dessen Inhalt zu überprüfen. Sobald er verbunden ist, kann der infizierte Stick seine Malware-Payload ablegen.

Beachten Sie, dass jedes Gerät, das Daten speichern kann, für diese Art von Angriff genutzt werden kann, einschließlich MP3-Playern, Digitalkameras und Smartphones. Ein aktuelles Beispiel ist Sogu, eine USB-gestützte Cyber-Spionagekampagne, die auf verschiedene Branchen abzielt.

All diese Angriffe können für eine Organisation verheerend sein. Sie können die Wahrscheinlichkeit eines solchen Angriffs minimieren, indem Sie ein angemessenes Security Awareness Training für Mitarbeitende und Unternehmensinhaber bereitstellen. Wenn das Personal einer Organisation sich der Risiken bewusst ist und weiß, wie man sie vermeidet, werden sie von einer Schwachstelle zu einer menschlichen Firewall.

Und die Liste ließe sich fortsetzen.

Die oben genannten Cyber-Bedrohungen gehören zu den häufigsten, aber Cyberkriminelle verfügen über viele Methoden, um wertvolle Daten zu stehlen. Im Laufe der Zeit verbessern sich ihre Methoden und sind für das ungeschulte Auge schwerer zu erkennen. Besonders mit dem Aufkommen von KI scheinen die verschiedenen Arten von Cyber-Bedrohungen grenzenlos zu sein.

Die verschiedenen Arten von Security Awareness Training

Es gibt mehrere Möglichkeiten, Ihre Mitarbeiter zu schulen. Im Folgenden gehen wir einige der am häufigsten genutzten durch.

Jährliche Kurse

Viele Organisationen verlassen sich immer noch auf jährliche Schulungen, um ihre Mitarbeiter auf Cyber-Bedrohungen vorzubereiten. Jährliches Security Awareness Training für Mitarbeiter hat zwei Hauptprobleme. Erstens verändert sich die digitale Bedrohungslandschaft ständig. Neue Bedrohungen entstehen ständig, nicht nur einmal im Jahr, sodass jährliche Schulungen schnell veraltet sind.

Eine Visualisierung der Vergessenskurve

Zweitens behalten Menschen Informationen einfach nicht ein ganzes Jahr lang. Selbst der aufmerksamste Lernende wird nicht alles, was er gelernt hat, länger als ein paar Monate behalten. Dieser Wissensverfall bedeutet, dass das Wissen der Mitarbeiter mit der Zeit unweigerlich weniger umfassend wird, wodurch sie weniger effektiv bei der Vermeidung von Risiken sind.

Präsenzschulung

Präsenzschulungen haben einige Vorteile gegenüber anderen Lehrmethoden. Sie schaffen eine ablenkungsfreie Umgebung, in der sich die Lernenden auf die spezifischen Themen konzentrieren können, die sie verstehen und verinnerlichen müssen. Präsenzschulungen haben jedoch auch erhebliche Nachteile. Die Lernenden müssen von anderen Aktivitäten abgezogen werden, was bedeutet, dass sie entweder bei Arbeitsaufgaben in Rückstand geraten oder ihre Freizeit opfern.

Präsenzschulung

Präsenzschulungen erzwingen zudem ein Einheitsmodell für die Lernenden, wobei sich einige gelangweilt oder unterfordert fühlen und andere von neuen Themen verwirrt zurückbleiben.

Traditionelles E-Learning

Traditionelles E-Learning versucht, Präsenzlernen in einer Remote-Umgebung zu replizieren. Kurse werden über Plattformen wie Canvas oder Moodle bereitgestellt, wobei Folien und andere Medien zum Einsatz kommen. Es gibt in der Regel Vorlesungen, entweder aufgezeichnet oder live von einem Dozenten gehalten. Obwohl traditionelles E-Learning flexibler und skalierbarer ist als Präsenzlernen, weist es einige der gleichen Nachteile auf. Das Lernen ist tendenziell passiv, mit begrenzter Interaktivität und unterdurchschnittlichem Engagement oder geringer Behaltensleistung.

Gamifiziertes Training

Gamifiziertes Security Awareness Training, das von Anbietern wie Guardey angeboten wird, ist eine moderne Lösung. Es ähnelt dem Ansatz von Sprachlern-Apps wie Duolingo. Anstatt einmal jährlich mit einer großen Menge an Informationen oder in einzelnen Kursen mit begrenzter Interaktion konfrontiert zu werden, erhalten Lernende einen stetigen Fluss kurzer, leicht verdaulicher Trainings.

Beispiel einer Guardey Phishing Awareness Challenge

Mit Guardey erhalten Nutzer eine wöchentliche Challenge, die etwa 3 Minuten dauert. Während einer Challenge lernen sie Cyber-Bedrohungen wie Phishing, Malware, schwache Passwörter und KI kennen. Durch gute Leistungen in den Challenges können sie Punkte für die Rangliste der Organisation sammeln. Freundschaftlicher Wettbewerb unter Kollegen hat sich als motivierend für die Nutzer erwiesen.

Durch die Gamifizierung des Lernerlebnisses werden Nutzer intrinsisch motiviert, kontinuierlich teilzunehmen. Sei es, um den Spitzenplatz auf der Rangliste zu erreichen, ihre Erfolgsserien aufeinanderfolgender Spielwochen fortzusetzen oder einfach, um ihren eigenen Highscore zu verbessern.

So begeistern Sie Ihre Organisation für Security Awareness Training

Sie haben entschieden, dass gamifiziertes Lernen die ideale Lösung für die Security Awareness Training-Anforderungen Ihrer Organisation ist. Sie haben großartige Produkte gefunden, die all Ihre Anforderungen erfüllen. Nun kommt der schwierigere Teil: Ihre Organisation davon zu überzeugen, eine neue Trainingslösung einzuführen.

Menschen könnten aus verschiedenen Gründen zögern, sich auf gamifiziertes Security Training einzulassen. Sie müssen viele Fragen beantworten. Was ist Security Awareness? Welchen Nutzen hat es für die Organisation? Personen, die bereits eine jährliche Cybersecurity-Schulung durchlaufen haben, könnten das Gefühl haben, von fortlaufendem Training nichts mehr zu gewinnen. Manager und Führungskräfte könnten glauben, dass ihre Mitarbeiter zu clever sind, um auf eine Phishing-E-Mail oder einen mysteriösen USB-Stick auf dem Parkplatz hereinzufallen. Hier sind einige Ideen, die helfen können, Menschen zu überzeugen und sie an Bord zu holen.

Organisieren Sie eine Security Awareness Week: Ein unterhaltsames und ansprechendes Security Awareness Event kann dazu beitragen, Menschen für Cybersecurity zu begeistern und ihr Interesse zu wecken.

Führen Sie eine Spear Phishing-Simulation durch: Eine realistische Spear Phishing-Simulation, die auf Schlüsselpersonen abzielt, kann aufzeigen, dass jeder in Ihrer Organisation anfällig sein könnte.

Einen Gastredner einladen: Ein erfahrener Redner kann Ihre Sichtweise effektiver vermitteln als abstrakte Informationen. Dies könnte ein Opfer von Cyberkriminalität, ein Sicherheitsexperte oder sogar ein ethischer „White Hat“-Hacker sein.

Wie niederländische Organisationen Security Awareness trainieren

Hier sind einige Beispiele niederländischer Organisationen, die Security Awareness Training erfolgreich für ihre Mitarbeiter implementiert haben.

EyeOn

Das Team von Eyeon

EyeOn ist ein Spezialist für Prognosen und Planung, der internationalen Unternehmen hilft, Herausforderungen in der Lieferkette zu bewältigen. EyeOn ist für einen Großteil der Daten ihrer Kundenunternehmen verantwortlich, die sicher gehandhabt werden müssen. Sie implementierten eine gamifizierte Cybersecurity Training Lösung, um sicherzustellen, dass ihre Mitarbeiter den Anforderungen gewachsen sind und ihre Sicherheit den ISO27001-Zertifizierungsanforderungen entspricht.

Sie führten das neue Trainingsprogramm bei den Mitarbeitern mit einer sogenannten Security Awareness Week ein. „Wir begannen jeden Tag mit einem 15-minütigen Interview und nannten das den Safety Catch-up. Jeder Tag hatte ein spezifisches Thema. Das erste hieß ‚from desk to destination‘. Dabei ging es um Sicherheitsmaßnahmen auf Reisen, wie die Verwendung eines Blickschutzfilters, die sichere Aufbewahrung des Laptops und so weiter. Ein weiteres Thema drehte sich um vertrauliche Daten, das wir ‚how to not get in trouble with the SEC‘ nannten.“

Priore

Das Bürogebäude von Priore

Priore bietet Dienstleistungen in den Bereichen Buchhaltung und Steuerberatung an. Angesichts der Verantwortung für sensible Finanzinformationen ihrer Kunden ist Cybersecurity für sie von entscheidender Bedeutung. Priore wollte jederzeit ein hohes Maß an Security Awareness unter seinen Mitarbeitern aufrechterhalten. Deshalb wechselten sie von einem jährlichen Cybersecurity-Kurs zu einer Lösung, die kontinuierliches Lernen ermöglicht: Guardey.

„80 % der Organisation begannen nach der ersten Einführungs-E-Mail sofort aktiv mit der Teilnahme. Nach ein oder zwei Monaten nutzten alle bis auf ein oder zwei Personen Guardey jede Woche. Dies war ausschließlich auf intrinsische Motivation und das Verständnis für die Bedeutung von Security Awareness zurückzuführen. Es gibt keine Anreize wie einen monatlichen Preis oder Ähnliches, daher können wir das immer noch versuchen, falls die Beteiligung nachlassen sollte.“

Konot

KONOT

KONOT ist eine Bildungseinrichtung, die an 22 niederländischen Grundschulen Bildung anbietet. Die Organisation benötigte eine Security Awareness Training Lösung, die sie mit der DSGVO in Einklang bringt. Da KONOT bereits Ziel mehrerer gescheiterter Cyberangriffe war, benötigte die Organisation ein Schulungsprodukt, das ihre Mitarbeiter jederzeit informiert und sensibilisiert hält. Sie implementierten Guardey, um fortlaufende Schulungen und Evaluierungen anzubieten und so eine konsistente Security Awareness zu gewährleisten.

KONOT hat Guardey kürzlich eingeführt, und das erste Feedback der Nutzer trifft nun ein. „Das erste Feedback, das wir erhalten haben, ist begeistert. Guardey hat ihren Ehrgeiz geweckt, was ein gutes Zeichen ist“, sagt Martijn. „Es ist sehr zugänglich, was ich schätze. Einige wenige waren vor dem Start weniger begeistert vom Konzept des Awareness-Trainings, aber wir werden dies bald mit ihnen evaluieren.“ Frieda fährt fort: „Ich bin überhaupt keine Gamerin, aber ich habe auch gemerkt, dass ich immer wieder neue Challenges angenommen habe. Es ist wirklich einfach, die Fragen zu bearbeiten.“

Delta Wines

Delta Wines ist ein Weinhändler. Als ihr Versicherungsanbieter die Bedeutung von Security Awareness Training und der bevorstehenden NIS2-Richtlinie betonte, handelte der CEO von Delta Wines. Um alle ins Boot zu holen, wurde eine Phishing-Simulation durchgeführt, die vielen Mitarbeitern einen wertvollen Weckruf bescherte. Nachdem viele Mitarbeiter auf die überzeugende E-Mail hereingefallen waren, zeigten sie sich sehr empfänglich für zusätzliche Schulungen.

„Wir erhalten viel positives Feedback. Viele Mitarbeiter beginnen sofort mit der neuen wöchentlichen Challenge, sobald sie die E-Mail erhalten, dass sie bereit ist. Einige sind ernsthaft enttäuscht, wenn sie eine Frage falsch beantworten. Es hat mehrere interne Diskussionen über Sicherheit angestoßen, was großartig ist.“

Gezamenlijke Brandweer Amsterdam

Gezamenlijke Brandweer Amsterdam (Vereinigte Feuerwehr Amsterdam) ist eine große Feuerwehr, die für die Reaktion auf Zwischenfälle in einem Industriegebiet von Amsterdam zuständig ist. Wenn eine Feuerwehr Opfer eines Cyberangriffs wird, könnten die Folgen katastrophal sein. Die Abteilung musste auch die NIS2-Anforderungen erfüllen. Teamleiter Raymond Pikee suchte eine wiederkehrende Schulungslösung, die Spaß macht und motiviert.

Im Leaderboard können die Feuerwehrleute sehen, wie gut sie im Vergleich zu Kollegen abschneiden, was den internen Wettbewerb ankurbelt. „Wir sind ein wettbewerbsorientierter Haufen, daher ist das eine nette Geste. Diese Gamification-Elemente machen das Spielen von Guardey unterhaltsam, was uns auch hilft, die Informationen zu behalten.“

So beginnen Sie mit der Implementierung von Security Awareness Training

Nachdem Sie die Grundlagen des Security Awareness Trainings verstanden haben, können Sie mit der Suche nach einem Trainingsanbieter beginnen, der Ihren Wünschen am besten entspricht.

Bei Guardey bieten wir gamifiziertes Security Awareness Training an, das darauf abzielt, Nutzer über lange Zeiträume hinweg zu binden. Durch den Einsatz von Bestenlisten, Erfolgen, Hot Streaks und anderen Gamification-Elementen entsteht bei den Nutzern ein Gefühl des freundschaftlichen Wettbewerbs, was die Beteiligung steigert.

14 Tage gratis testen

Testen Sie Guardeys gamifizierte Security Awareness Training Plattform kostenlos.

Kostenlose Testphase starten
Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung