Serviceware Blog: Tipps & Trends im Digitalen Business

Cybersecurity Awareness | Serviceware

Geschrieben von Die Datenpragmaten | Apr 22, 2025

In der elften Folge „Sicherheitshappen – Wissen in kleinen Portionen“ ihres Podcasts „Die Datenpragmaten“ sprechen die Hosts Henning Dey und Nico Schunter über ein Thema, das oft als lästige Pflicht wahrgenommen wird, aber in Wahrheit ein Grundpfeiler der Cybersicherheit ist: Security Awareness.

Im Interviewstil bereiten wir die wichtigsten Erkenntnisse aus dem Gespräch auf – inklusive praktischer Tipps, echten Beispielen und einem hilfreichen Glossar.

Was die Folge besonders macht: Nico Schunter und Henning Dey sprechen nicht nur über Tools und Strategien, sondern über die Menschen, die sie nutzen. Denn Awareness beginnt immer im Kopf – und mit der richtigen Haltung wird jeder Mitarbeitende zur Human Firewall.

Hier finden Sie alle bisherigen Podcast-Episoden.

 

Was bedeutet eigentlich „Awareness“ in der IT?

Henning Dey: „Awareness“ bedeutet, ein Bewusstsein für etwas zu haben. Im Bereich Cybersecurity geht es darum, dass Mitarbeitende Bedrohungen erkennen, verstehen und im besten Fall proaktiv verhindern können. Es ist nicht nur wichtig zu wissen, dass es Gefahren gibt, sondern auch wie sie sich zeigen und was man konkret tun kann.

Nico Schunter: Man könnte auch sagen "Woke" anstatt "Aware". Das englische Wort „woke“ hat sich gesellschaftlich verändert – es wurde teilweise ideologisch aufgeladen. Aber ursprünglich geht es einfach darum, „aufmerksam“ zu sein. In der IT bedeutet woke zu sein, sich nicht blind auf Tools oder Richtlinien zu verlassen, sondern zu verstehen, wie man selbst Teil der Sicherheitsstrategie ist.

 

Warum sind E-Mails das größte Sicherheitsrisiko?

Henning Dey: E-Mails sind der einfachste und effektivste Weg sind, um an eine Zielperson heranzukommen. Die E-Mail-Adresse findet man leicht – auf Webseiten, in Social-Media-Profilen, in Impressen. Eine Phishing-Mail ist in wenigen Minuten aufgesetzt. Und wenn der Anhang oder Link überzeugend aussieht, klickt eben doch jemand drauf. Und gerade bei Themen, die auf FUD (Fear, Uncertainty und Doubt) abzielen, wie z.B. Geld, zeitkritische Anfragen oder Social Engineering schaltet das Gehirn oftmals aus.

Nico Schunter: Studien belegen es immer wieder: Phishing ist bei weitem der erfolgreichste Angriffsvektor. Wir haben darüber bereits in einer früheren Folge zum Thema Data Leakage Prevention gesprochen. Die E-Mail ist die Schnittstelle, an der das menschliche Verhalten entscheidet – nicht die Technologie.

 

Was fehlt in vielen Unternehmen in dieser Hinsicht?

Henning Dey: Leider fehlt oft ein strukturiertes Cybersecurity Awareness Konzept. Viele Firmen machen einmal im Jahr eine Pflichtschulung, z. B. zur DSGVO. Das ist wichtig, aber das reicht nicht. Awareness muss ein kontinuierlicher Prozess sein. Die Mitarbeitenden werden nicht umsonst die gefährliche "Layer 8" genannt.

Nico Schunter: Genau. Es braucht eine Kultur der IT-Sicherheit. Die muss von oben kommen – von der Geschäftsleitung über die IT bis hin zu jedem einzelnen Mitarbeitenden. "See something, say something." Was wir häufig erleben: Es wird zwar ein Security-Tool eingeführt, aber niemand erklärt, warum und wie es richtig genutzt wird. Ohne Mindset hilft die beste Technologie nichts.

 

Wie sieht ein gutes Awareness-Programm aus?

Henning Dey: Wir nennen das gerne Security Snacks – kleine, gut verdauliche Einheiten. 5 bis 10 Minuten reichen oft. Es geht nicht darum, mit der Brechstange zu schulen, sondern in Häppchen zu vermitteln. Beispiel: Eine kurze Mail mit einem Sicherheitstipp pro Woche – das bleibt eher hängen als eine zweistündige Präsentation im Konferenzraum.

Nico Schunter: Wir nutzen dafür intern PSAT, unsere Awareness-Plattform, auf der regelmäßig Phishing-Simulationen laufen. Beim ersten Test hatten wir bei 600 Mitarbeitenden über 70 Rückläufer – also Personen, die auf die Fake-Mail hereingefallen sind. Das zeigt, wie wichtig das Thema ist – gerade auch in Unternehmen, die eigentlich im IT-Bereich tätig sind.

 

Proofpoint: Awareness-Training mit System

Ein bewährtes Tool, um Security Awareness messbar und nachhaltig im Unternehmen zu verankern, ist die Plattform Proofpoint Security Awareness Training. Unser Partner Proofpoint bietet nicht nur realistische Phishing-Simulationen, sondern auch interaktive Schulungen, die auf den individuellen Risikoprofilen der Nutzer basieren. Unternehmen können damit gezielt auf Schwachstellen reagieren und den Lernfortschritt ihrer Mitarbeitenden nachvollziehen.

 

On-demand Webinar

Effektiver E-Mail-Schutz mit DMARC: Cyberangriffe verhindern & Vertrauen stärken

E-Mails sind ein zentraler Bestandteil zur Kommunikation in jedem Unternehmen und daher ein leichter Angriffspunkt für Cyberkriminelle. Optimieren Sie Ihren E-Mail-Schutz, um so gefälschte E-Mails unmittelbar zu erkennen und Diebstahl vertraulicher Informationen zu verhindern. 

Webinar ansehen→  

 

Welche konkreten Maßnahmen helfen wirklich?

Hier sind die Top-8-Tipps aus der Folge:

  • Verständliche Sicherheitsrichtlinien: Keine IT-Sprache, sondern in „Human Language“. Auch ChatGPT kann helfen, komplexe Texte zu vereinfachen. Regelmäßige Aktualisierungen der Richtlinien bzgl. neuer Bedrohungen, neuer eingesetzter Tools etc. sind essentiell.
  • Transparenz bei Vorfällen: Machen Sie es publik, wenn es zu einem (überstandenen) Incident kam – offen reden, statt vertuschen.
  • Aktuelle Bedrohungen teilen: Ob KI-Phishing oder neue Trojaner – informieren Sie regelmäßig über neue Tricks der Angreifer.
  • kurzen und knackigen Content erstellen: Je mehr Inhalte zu dem Thema kreiert werden, umso mehr kann konsumiert werden und umso mehr wird Wissen demnach transferiert.
  • Universell schulen: Tipps vermitteln, die einen privaten Mehrwert bieten, um sicherheitsbewusste Menschen auszubilden.
  • Gamification & Credit Points: Belohnen Sie Sicherheitsbewusstsein – mit Punkten, Auszeichnungen oder kleinen Preisen.
  • Security Champions ernennen: Machen Sie engagierte Mitarbeitende sichtbar – z. B. Frau Müller aus dem HR als „Human Firewall“.
  • Onboarding mit Awareness: Jeder neue Mitarbeitende durchläuft ein Sicherheitsmodul, bevor es losgeht. Sicherheitsschulungen könnten als Teil der Checkliste zum Onboarding aufgenommen werden, um neu dazu kommende Kolleg:innen nicht zu vernachlässigen.
  • Simulationen durchführen: Testmails, Fake-Webseiten oder gefälschte Logins – wer drauf reinfällt, bekommt sofort Feedback.
  • Messbar machen: Rücklaufquoten analysieren, Ziele definieren, Maßnahmen evaluieren – Awareness ist auch Controlling.


Welche alltäglichen Beispiele machen das Thema greifbar?

Nico Schunter: Ich habe mit meinem Sohn seinen Gaming-PC zusammengebaut. Er war super motiviert – aber dann hat er im falschen Moment den Ausschaltknopf gedrückt, als Windows gerade in den Ruhezustand wollte. Das System war Schrott. Warum? Keine Awareness. Er wusste einfach nicht, was er da tat. Oder das Beispiel mit Immobilienportalen: Man gibt eine Telefonnummer ein, um schnell den Hauswert zu schätzen – und wird dann von Maklern bis tief in die Nacht angerufen. Wer solche Erlebnisse hat, versteht auf einmal sehr schnell, warum Datensparsamkeit wichtig ist.

 

Wie wichtig ist es, Security Awareness zur Unternehmenskultur zu machen?

Henning Dey: Sicherheit ist kein nice-to-have IT-Projekt – es ist ein wichtiges Kulturthema. Die Leitlinien müssen aus der Geschäftsführung kommen. Die Mitarbeitenden brauchen das Gefühl: „Das ist wichtig, nicht nur für die Firma, sondern auch für mich selbst.“ Es muss eine Art Vorbildfunktion geben.

Nico Schunter: Und man muss mit gutem Beispiel vorangehen. In einer Firma hat ein Teamleiter immer Mails an alle geschickt, wenn jemand seinen Arbeitsplatz nicht gesperrt hatte – z. B. „Ich spendiere euch Kuchen“. Der Lerneffekt? Großartig. Awareness durch soziale Kontrolle – charmant verpackt.

Und wenn man alles einmal gemacht hat – reicht das?

Henning Dey: Ganz klar: Nein. Einmalige Schulungen bringen wenig. Bedrohungen entwickeln sich weiter – man denke nur an Deepfake-Videos oder KI-generierte Mails. Deshalb: Regelmäßigkeit ist das A und O.

Nico Schunter: Und ganz ehrlich: Man darf das Thema auch mal spielerisch angehen. Ein Leaderboard für Security Scores. Eine Tafel Schokolade für die Person mit den meisten gemeldeten Phishing-Versuchen. Oder eben der Titel „Chuck Norris der IT-Sicherheit“. IT Security ist nicht optional, sondern mandatorisch.

 

Was kosten solche Awareness-Programme?

Henning Dey: Viele denken, Awareness sei teuer. Aber es gibt heute günstige SaaS-Lösungen, die sich leicht integrieren lassen. Die größte Investition ist nicht Geld, sondern Wille und Zeit.

Nico Schunter: Richtig. Die Schulung muss nicht perfekt sein. Hauptsache, sie findet statt – regelmäßig und mit einem klaren Ziel: das Sicherheitsniveau im Unternehmen zu erhöhen. Und: Der ROI ist enorm. Jeder verhinderte Vorfall spart bares Geld.

 

Fazit: Awareness ist wie Zähneputzen – kein Projekt, sondern eine Routine

Die Erkenntnis der Folge: Sicherheit beginnt nicht in der Firewall, sondern im Kopf. IT Security Awareness ist der erste und wichtigste Verteidigungsring. Wer seine Mitarbeitenden nicht regelmäßig schult, testet und motiviert, riskiert viel – nicht nur in Geld, sondern in Vertrauen.

In dem Sinne - bleiben Sie aware und sicher!

➡️Jetzt mehr erfahren und Termin vereinbaren   

 

Proofpoint-Studie: Was uns das Verhalten der Nutzer wirklich über Cybersicherheit verrät

Der Proofpoint Bericht "State of the Phish 2024 - Europa und Naher Osten" basiert auf einer umfassenden Umfrage unter 7.500 Endanwendern und 1.050 Sicherheitsexperten in 15 Ländern und bietet einen aktuellen Einblick in das Verhalten und die Wahrnehmung rund um Cybersicherheit.

Besonders auffällig ist die Diskrepanz zwischen Wissen und Verhalten: 71 % der befragten Berufstätigen gaben an, riskante Handlungen wie das Wiederverwenden von Passwörtern oder das Klicken auf unbekannte Links vorzunehmen – obwohl 96 % dieser Gruppe sich der Risiken durchaus bewusst sind. Gleichzeitig glauben 59 % der Nutzer nicht, selbst für die Sicherheit verantwortlich zu sein – eine Wahrnehmung, die im starken Gegensatz zur Einschätzung von 85 % der befragten Sicherheitsexperten steht, die davon ausgehen, dass Mitarbeitende ihre Verantwortung kennen.

Regionale Unterschiede zeigen sich ebenfalls deutlich: Während in den Vereinigten Arabischen Emiraten 86 % der Befragten riskantes Verhalten zugaben, wies Schweden den geringsten Anteil an sicherheitsbewusstem Verhalten auf.

Als Hauptgründe für unsicheres Verhalten nannten die Teilnehmer vor allem Zeitersparnis (41 %) und Bequemlichkeit (39 %). Der Bericht betont daher die Bedeutung benutzerfreundlicher Sicherheitsrichtlinien sowie personalisierter Schulungen, um das Sicherheitsbewusstsein und die Eigenverantwortung der Nutzer gezielt zu stärken.

Quelle: Threat Report: State of the Phish 2024: Europa und Naher Osten, Proofpoint 2024 

 

Begriffe und Bedeutungen

Awareness: Aufmerksamkeit, Bewusstsein für Gefahren

Phishing: Betrugsversuch via Mail, SMS o. ä., um Zugangsdaten zu stehlen

FUD: Fear, Uncertainty, Doubt – Taktik der Angstmacherei

PSAT: Plattform für Security Awareness & Training

SaaS: Software-as-a-Service – Anwendung, die online bereitgestellt wird

Human Firewall: Sicherheitsbewusster Mensch, der Bedrohungen erkennt und meldet

Layer 8: Ironischer Begriff für den „User“ als Sicherheitsrisiko

 
Vollständigen Beitrag anzeigen