Montagmorgen, 8:12 Uhr. Im Posteingang mehrerer Mitarbeitender landet eine E-Mail, die auf den ersten Blick sauber wirkt. Bekanntes Logo, korrekte Signatur, üblicher Tonfall. Die Nachricht fordert dazu auf, einen Cloud-Zugang zu bestätigen, weil es angeblich eine Änderung in der Sicherheitsrichtlinie gab. Ein Teil der Belegschaft klickt. Einer gibt Anmeldedaten ein. Technische Schutzsysteme greifen vielleicht noch. Vielleicht aber auch erst dann, wenn der Angreifer längst im Postfach sitzt.
Genau in solchen Momenten zeigt sich, ob eine it sicherheit schulung nur als Pflichtübung behandelt wurde oder ob sie im Alltag funktioniert. Für IT-Leiter in KMU ist das keine abstrakte Frage mehr. Wer unter NIS-2 fällt oder sich auf ISO 27001 ausrichtet, braucht kein loses Sammelsurium aus E-Learnings, sondern ein belastbares, dokumentiertes und prüfbares Schulungsprogramm.
Aus der Praxis lässt sich ein klarer Unterschied beobachten. Unternehmen mit wirksamen Awareness-Massnahmen sprechen nicht nur über Risiken. Sie definieren Zielgruppen, trainieren reale Situationen, messen Verhalten und halten Nachweise so vor, dass auch ein Auditor den roten Faden erkennt. Genau darauf kommt es an.
Warum eine IT Sicherheit Schulung jetzt unverzichtbar ist
Der kritische Punkt liegt selten in der Firewall allein. Er liegt dort, wo Menschen unter Zeitdruck entscheiden. Die Buchhaltung prüft eine angebliche Lieferantenmail. Der Vertrieb öffnet einen Link vor dem nächsten Termin. Die Geschäftsführung bekommt eine dringende Freigabeanfrage. Angreifer nutzen nicht nur Technik, sondern Routinen, Hierarchien und Vertrauen.
In deutschen Unternehmen ist dieser Druck deutlich spürbar. Laut Bundeskriminalamt wurden 2021 insgesamt 146.363 Cyberdelikte registriert, ein Anstieg um 12 Prozent, und die wirtschaftlichen Schäden durch Cyberangriffe haben sich seit 2019 auf über 200 Milliarden Euro verdoppelt. Das unterstreicht, warum Schulungen heute nicht Kür, sondern Pflicht sind, wie die IHK München zusammenfasst: https://www.ihk-muenchen.de/ratgeber/digitalisierung/informationssicherheit/stand-it-sicherheit-ermitteln-und-verbessern/
Technik schützt. Menschen entscheiden
Viele KMU investieren zuerst in Mailfilter, Endpoint-Schutz, MFA und Backups. Das ist richtig. Es reicht nur nicht aus.
Wenn ein Mitarbeitender eine glaubwürdige Nachricht falsch bewertet, startet der Vorfall oft innerhalb weniger Sekunden. Genau dort greift Awareness. Gute Schulungen helfen nicht nur beim Erkennen von Phishing. Sie vermitteln auch, wie Mitarbeitende melden, eskalieren und bei Unsicherheit handeln sollen.
NIS-2 erhöht den Handlungsdruck
Für betroffene Unternehmen reicht es nicht, einmal im Jahr ein PDF zu verschicken. Schulung muss als Teil der organisatorischen Sicherheitsmassnahmen geplant, umgesetzt und dokumentiert werden. Wer die regulatorische Lage für Deutschland einordnen will, findet im Überblick zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz eine gute rechtliche Orientierung.
Praxisbeobachtung: Dort, wo Schulung als Führungsaufgabe behandelt wird, steigt meist nicht nur das Risikobewusstsein. Auch Meldewege funktionieren im Ernstfall deutlich sauberer.
Der eigentliche Mehrwert ist kulturell
Eine wirksame it sicherheit schulung verändert keine Menschen über Nacht. Sie verändert Entscheidungen im Alltag. Mitarbeitende fragen eher nach. Führungskräfte leben Regeln sichtbar vor. IT und Fachbereiche sprechen dieselbe Sprache. Genau daraus entsteht Sicherheitskultur, und genau diese Kultur ist unter NIS-2 auditrelevant.
Strategische Planung Ihres Schulungsprogramms
Bevor Inhalte gebaut oder Plattformen ausgewählt werden, braucht Ihr Programm ein belastbares Fundament. Viele Schulungsinitiativen scheitern nicht an fehlendem guten Willen, sondern an fehlender Planung. Dann gibt es Folien, Termine und Teilnahmebestätigungen. Aber keinen klaren Bezug zu Risiken, Rollen und Nachweisen.
Risiken zuerst, Inhalte danach
Laut Bundeskriminalamt stieg die Zahl der Cyberdelikte 2021 um 12 Prozent auf 146.363 Fälle, während sich die wirtschaftlichen Schäden seit 2019 auf über 200 Milliarden Euro verdoppelt haben. Genau deshalb muss Schulung risikobasiert aufgebaut sein, nicht themenbasiert nach Bauchgefühl. Die Einordnung dazu findet sich bei der IHK München: Stand der IT-Sicherheit ermitteln und verbessern.
Für die Praxis heisst das: Sie starten nicht mit der Frage, welches E-Learning Sie kaufen. Sie starten mit der Frage, welche Fehlhandlungen Ihr Unternehmen realistisch am stärksten gefährden.
Typische Risikofelder in KMU sind:
- Phishing und Credential Theft: Besonders relevant bei Microsoft-365-, VPN- und Cloud-Zugängen.
- CEO-Fraud und Zahlungsfreigaben: Kritisch in Buchhaltung, Einkauf und Assistenz.
- Ransomware-Vorstufen: Makros, Schadlinks, kompromittierte Remote-Zugänge.
- Datenabfluss im Alltag: Falsche Empfänger, unsichere Dateiablagen, Schatten-IT.
- Homeoffice und mobiles Arbeiten: Private Geräte, unklare Meldewege, schwache Trennung von privat und beruflich.
Schulungsziele müssen prüfbar sein
„Mitarbeitende sensibilisieren“ ist kein brauchbares Ziel. Auditoren und interne Verantwortliche brauchen Ziele, die sich später bewerten lassen.
Geeignete Zielbilder klingen eher so:
| Zielbereich | Schwaches Ziel | Besseres Ziel |
|---|---|---|
| Phishing | Mitarbeitende informieren | Mitarbeitende erkennen verdächtige Mails, melden sie und kennen den Eskalationsweg |
| Passwortsicherheit | Regeln kommunizieren | Mitarbeitende nutzen Passwortmanager, verstehen MFA und vermeiden Wiederverwendung |
| Incident Response | Notfallprozess bekannt machen | Fachbereiche wissen, wann und wie Sicherheitsvorfälle intern gemeldet werden |
| Management | Awareness erhöhen | Führungskräfte kennen ihre Rolle bei Freigaben, Eskalationen und Vorbildfunktion |
Zielgruppen sauber trennen
Ein häufiger Fehler in KMU ist das Einheitsformat für alle. Das spart kurzfristig Aufwand, kostet aber Wirksamkeit. Geschäftsführung, IT-Team, Verwaltung, Vertrieb und Produktion haben unterschiedliche Risikoprofile. Genau deshalb sollten Sie Inhalte nach Rollen staffeln.
Ein einfacher Zuschnitt funktioniert oft gut:
Allgemeine Belegschaft
Fokus auf Phishing, Meldewege, Passwortsicherheit, Datenschutz im Alltag, mobile Arbeit.Führungskräfte
Fokus auf Freigabeprozesse, Social Engineering gegen Entscheider, Eskalation und Vorbildfunktion.IT und Admins
Fokus auf privilegierte Konten, Incident Handling, sichere Konfiguration, Logging und Nachweisführung.Besonders exponierte Funktionen
Dazu gehören häufig Buchhaltung, Einkauf, HR und Assistenz. Dort sind gezielte Betrugsmaschen besonders relevant.
NIS-2 in konkrete To-dos übersetzen
Für ein NIS-2-konformes Programm sollten Sie Schulung nicht isoliert betrachten. Sie gehört in ein Bündel aus Governance, Risikobehandlung, Meldewegen und Nachweisdokumentation.
Praktisch bedeutet das:
- Verantwortung benennen: Wer steuert Inhalte, Freigaben und Reporting.
- Geltungsbereich definieren: Welche Standorte, Gesellschaften und Rollen einbezogen sind.
- Risiken zuordnen: Welche Bedrohungen welchen Zielgruppen zugeordnet werden.
- Regelmässigkeit festlegen: Nicht einmalig, sondern als wiederkehrender Prozess.
- Wirksamkeit prüfen: Teilnahme allein genügt nicht.
- Nachweise sichern: Inhalte, Ergebnisse, Korrekturmassnahmen und Managementbewertung dokumentieren.
Wer diese organisatorische Sicht vertiefen will, findet im Beitrag zur IT-Sicherheit für Unternehmen eine gute Einordnung der Verzahnung von Technik, Prozessen und Verantwortlichkeiten.
Merksatz aus der Auditpraxis: Ein Schulungsprogramm ist erst dann belastbar, wenn ein Dritter nachvollziehen kann, warum genau diese Zielgruppen genau diese Inhalte in genau diesem Turnus erhalten.
Ein realistischer Startpunkt für KMU
Nicht jedes Unternehmen braucht sofort ein komplexes Schulungsökosystem. Aber jedes Unternehmen braucht eine klare Startarchitektur. Ein pragmatischer Anfang besteht aus Risikoanalyse, Zielgruppenmatrix, Jahresplanung, Pilotdurchlauf und definierter Messung.
Das ist weniger spektakulär als ein neues Tool. Es wirkt aber deutlich länger.
Entwicklung eines praxisnahen Schulungsplans
Viele Schulungspläne scheitern an zwei Extremen. Entweder sind sie zu allgemein und damit wirkungsschwach. Oder sie sind so detailreich, dass niemand sie im Alltag sauber betreibt. Ein wirksamer Plan für KMU liegt dazwischen. Er ist modular, wiederholbar und auf echte Arbeitsabläufe abgestimmt.
Eine Marktanalyse für deutsche KMU zeigt, dass 73 Prozent der Unternehmen mit 50 bis 250 Mitarbeitenden Schwierigkeiten haben, ihre IT-Sicherheit auf NIS-2-Compliance auszurichten, weil branchenspezifische Schulungen fehlen. Genau diese Lücke beschreibt die Analyse bei IS-ITS: Cloud-Security-Seminarangebot und Schulungslücke für KMU.
Was in der Praxis funktioniert
Ein guter Schulungsplan besteht nicht aus einem einzigen Jahresseminar. Er kombiniert Formate mit unterschiedlicher Funktion.
- E-Learning-Module: Gut für Basiswissen, Onboarding und dokumentierte Pflichtinhalte.
- Live-Workshops: Stark bei Diskussion, Rückfragen und rollenspezifischen Szenarien.
- Phishing-Simulationen: Nützlich, um Verhalten unter realistischen Bedingungen zu prüfen.
- Kurzimpulse im Alltag: Etwa über Intranet, Teams, Newsletter oder Security-Momente im Meeting.
- Nachschulungen für Zielgruppen: Sinnvoll bei auffälligen Vorfällen oder Schwächen in bestimmten Abteilungen.
Nicht jedes Thema gehört in jedes Format. Passwortmanager erklärt man gut in einem kurzen Lernmodul. CEO-Fraud trainiert man besser mit konkreten Fallbeispielen. Incident-Meldung übt man idealerweise anhand eines internen Prozesses, nicht nur als Theorie.
Themen, die in keinem KMU fehlen sollten
Statt lange Themenkataloge zu sammeln, sollten Sie Kernmodule definieren. Bewährt haben sich in mittelständischen Umgebungen diese Bausteine:
| Modul | Inhalt | Typischer Adressat |
|---|---|---|
| Phishing und Social Engineering | Erkennung, Meldung, typische Täuschungsmuster | Gesamte Belegschaft |
| Zugangsschutz | MFA, Passwörter, Passwortmanager, geteilte Konten vermeiden | Gesamte Belegschaft |
| Sicherer Umgang mit Daten | Versand, Freigaben, Ablage, mobile Nutzung | Fachbereiche |
| Homeoffice und mobiles Arbeiten | Geräte, WLAN, Datenträger, Bildschirmdisziplin | Hybride Teams |
| Betrug in Geschäftsprozessen | Zahlungsfreigaben, Lieferantenwechsel, Eskalation | Buchhaltung, Einkauf, Assistenz |
| Vorfallmeldung | Was ist ein Sicherheitsvorfall, wer wird informiert | Alle |
| Admin- und Spezialthemen | privilegierte Konten, Logging, Härtung, Notfallabläufe | IT-Team |
Ein Jahresplan muss Luft zum Arbeiten lassen
Der grösste Planungsfehler ist Überfrachtung. Mitarbeitende nehmen Schulung eher an, wenn sie kurz, klar und arbeitsnah bleibt. Deshalb ist ein Jahresplan mit wenigen Pflichtmodulen und gezielten Vertiefungen oft wirksamer als ein überladener Rollout.
Hier eine einfache Vorlage, die sich für viele KMU gut anpassen lässt.
Beispiel-Trainingsplan für ein KMU Jahresübersicht
| Quartal | Schulungsthema | Zielgruppe | Format | Ziel |
|---|---|---|---|---|
| Q1 | Grundlagenschulung zu Phishing, Passwörtern und Meldewegen | Gesamte Belegschaft | E-Learning plus kurzer Live-Termin | Gemeinsames Mindestniveau schaffen |
| Q1 | Management-Briefing zu NIS-2, Freigaben und Eskalation | Geschäftsführung und Führungskräfte | Workshop | Verantwortlichkeiten klären |
| Q2 | Phishing-Simulation mit anschliessender Kurzschulung | Gesamte Belegschaft | Simulation plus Micro-Learning | Verhalten unter realistischen Bedingungen verbessern |
| Q2 | Sicherer Umgang mit sensiblen Daten | HR, Buchhaltung, Vertrieb | Live-Workshop | Fehler in Alltagsprozessen reduzieren |
| Q3 | Homeoffice, mobile Arbeit und Cloud-Nutzung | Betroffene Fachbereiche | E-Learning | Sichere Routinen im hybriden Betrieb festigen |
| Q3 | Incident-Meldung und Erstreaktion | Alle Mitarbeitenden | Kurzschulung mit Szenarien | Meldewege beschleunigen |
| Q4 | Wiederholung kritischer Inhalte und Schwerpunkt Betrugsprävention | Gesamte Belegschaft | E-Learning plus Quiz | Wissen auffrischen |
| Q4 | Review mit KPIs und Anpassung des Folgejahres | IT-Leitung, ISB, Management | Auswertungstermin | Wirksamkeit belegen und verbessern |
Branchenspezifisch statt generisch
Fertigung, Gesundheitswesen, Finanzdienstleistungen oder Dienstleistungsunternehmen haben unterschiedliche Angriffspunkte. Das sollte sich im Curriculum spiegeln. In produzierenden Unternehmen ist etwa der Zugang zu Betriebsdaten und Fernwartung wichtig. In der Buchhaltung stehen Freigaben, Lieferantenänderungen und Rechnungsbetrug stärker im Vordergrund.
Darum lohnt es sich, die Business-Impact-Perspektive mit Schulung zu verbinden. Wer die kritischsten Prozesse zuerst identifiziert, setzt Trainingsressourcen gezielter ein. Eine gute Grundlage dafür bietet die Business-Impact-Analyse-Vorlage.
Praxis-Tipp: Planen Sie nicht nur Themen, sondern auch den Auslöser für Nachschulungen. Ein Vorfall, ein Audit-Hinweis oder auffällige Fehlklicks sollten direkt in den Plan zurückfliessen.
Weniger Folien, mehr Entscheidungssituationen
Mitarbeitende müssen nicht jedes technische Detail kennen. Sie müssen gute Entscheidungen treffen. Deshalb sollten Schulungen echte Situationen abbilden:
- Eine Mail fordert zur Passwortänderung auf.
- Ein Lieferant meldet eine neue Bankverbindung.
- Ein angeblicher Geschäftsführer bittet um vertrauliche Dateiweitergabe.
- Ein mobiles Gerät geht verloren.
- Ein Mitarbeitender entdeckt eine verdächtige Login-Benachrichtigung.
Je näher ein Training an diesen Situationen bleibt, desto höher ist seine Relevanz im Alltag. Genau dadurch wird eine it sicherheit schulung wirksam und nicht nur dokumentierbar.
Die richtige Durchführung und passende Werkzeuge
Ein sauber geplanter Schulungsplan bringt wenig, wenn die Durchführung holpert. In der Praxis entscheiden drei Dinge über Akzeptanz und Wirkung. Erstens das gewählte System. Zweitens die Qualität der Kommunikation. Drittens die Art, wie Sie Mitarbeitende testen, ohne sie vorzuführen.
Das BSI empfiehlt quartalsweise Awareness-Massnahmen, weil einmalige Schulungen als unzureichend gelten. Zudem zeigt eine Microsoft-Studie, dass 76 Prozent der Organisationen nach einem Ransomware-Angriff keine wirksame Reaktionsstrategie hatten. Die Einordnung dazu findet sich in der Statista-Themenseite zur Internetkriminalität in Deutschland: Cyberkriminalität in Deutschland und Relevanz regelmässiger Awareness-Massnahmen.
LMS oder einfache Lernstrecke
Nicht jedes KMU braucht sofort ein grosses Learning Management System. Die Entscheidung hängt davon ab, wie viele Zielgruppen, Standorte und Nachweise Sie abbilden müssen.
| Option | Vorteil | Nachteil | Geeignet für |
|---|---|---|---|
| Einfaches E-Learning-Tool | Schnell eingeführt, geringer Pflegeaufwand | Reporting oft begrenzt | Kleine Organisationen mit wenigen Pflichtmodulen |
| Vollwertiges LMS | Gute Dokumentation, Automatisierung, Rollensteuerung | Höherer Einführungsaufwand | Unternehmen mit Audit-Pflichten und mehreren Zielgruppen |
| Integrierte Suite mit Awareness und Simulation | Schulung und Tests aus einer Hand | Weniger flexibel bei Spezialanforderungen | KMU mit Fokus auf Effizienz |
| Eigenbau mit Intranet und manueller Dokumentation | Hohe Kontrolle über Inhalte | Hoher operativer Aufwand | Nur sinnvoll bei klaren internen Ressourcen |
Worauf IT-Leiter bei der Auswahl achten sollten:
- Reporting: Teilnahme, Abschluss, Erinnerungen und Auswertungen müssen exportierbar sein.
- Rollenlogik: Führungskräfte, IT und Fachbereiche sollten getrennt ansprechbar sein.
- Automatisierung: Onboarding, Wiederholungen und Fristen sollten nicht manuell gepflegt werden müssen.
- Mehrsprachigkeit: Relevant bei verteilten Teams.
- Datenschutz und Betriebsratstauglichkeit: Besonders wichtig bei Simulationen und individuellen Auswertungen.
Phishing-Simulationen richtig einsetzen
Phishing-Simulationen sind wirksam, wenn sie fair, lehrreich und intern sauber kommuniziert werden. Sie sind kontraproduktiv, wenn sie als Falle inszeniert werden.
Gute Simulationen zeichnen sich durch drei Merkmale aus:
Realistisch, aber nicht verletzend
Keine Panikmails zu angeblichen Kündigungen oder Gesundheitsnotfällen.Sofortige Lernrückmeldung
Wer klickt, sollte direkt eine kurze Erklärung erhalten. Ohne Blossstellung.Saubere Nachbereitung
Ergebnisse fliessen in Coaching, nicht in Schuldzuweisung.
Wichtiger Punkt: Wenn Führungskräfte Simulationen als „Mitarbeitertest“ framen, sinkt die Akzeptanz. Wenn sie sie als Schutztraining erklären, steigt sie meist deutlich.
Was bei der internen Kommunikation oft schiefläuft
Viele Programme verlieren Wirkung durch schlechte Einführung. Dann kommt nur eine Pflichtmail vom IT-Team. Mitarbeitende verstehen weder Zweck noch Nutzen.
Besser ist eine kurze Kommunikationslinie:
- Warum machen wir das: Schutz von Unternehmen, Kunden und Arbeitsabläufen.
- Was wird erwartet: Teilnahme, Aufmerksamkeit, Nutzung der Meldewege.
- Wie wird damit umgegangen: Lernen statt Bestrafen.
- Wer steht dahinter: Geschäftsführung und Führungskräfte sichtbar eingebunden.
Führung muss dabei erkennbar mitziehen. Wenn das Management Schulungen ignoriert oder delegiert, wird Awareness schnell als reine IT-Angelegenheit wahrgenommen. Unter NIS-2 ist genau das zu wenig.
Werkzeuge sind nur Mittel zum Zweck
WatchGuard, Acronis, Microsoft-Umgebungen, 3CX-nahe Kommunikationswege oder Cloud-Plattformen wie IONOS beeinflussen den Schulungskontext. Sie ersetzen aber nicht den didaktischen Kern. Menschen lernen Sicherheitsverhalten nicht durch Tool-Landschaften, sondern durch wiederholte, relevante Situationen mit klarem Bezug zu ihrer Arbeit.
Deshalb gilt operativ ein einfacher Grundsatz: Das beste Werkzeug ist das, das Ihr Team tatsächlich nutzt und dessen Ergebnisse Sie später für Management und Audit belastbar auswerten können.
Erfolgsmessung und kontinuierliche Verbesserung
Ein Schulungsprogramm ohne Messung ist aus Auditsicht schwach und aus Sicherheitssicht blind. Teilnahmequoten allein sagen wenig. Sie zeigen, wer anwesend war. Sie zeigen nicht, ob Mitarbeitende Bedrohungen erkennen, korrekt melden oder im Ernstfall sauber reagieren.
Bei deutschen Unternehmen konnte durch personalisierte Phishing-Simulationen und Reporting-Tools eine Reduktion der Klickrate um bis zu 70 Prozent nach sechs Monaten erreicht werden. Der zugrunde liegende Gedanke passt zum PDCA-Zyklus, mit dem sich Schulung systematisch verbessern lässt. Die Einordnung dazu liefert SoSafe im Beitrag zur positiven Verstärkung in der Sicherheitskultur: Positive Verstärkung und messbare Wirkung von Awareness-Massnahmen.
Welche KPIs für KMU wirklich hilfreich sind
Nicht jede Kennzahl ist gleich wertvoll. Für die Praxis haben sich vor allem Metriken bewährt, die Verhalten und Prozessqualität sichtbar machen.
| KPI | Was sie zeigt | Worauf achten |
|---|---|---|
| Teilnahmequote | Reichweite des Programms | Wichtig, aber nicht ausreichend |
| Abschlussquote je Zielgruppe | Ob Pflichtinhalte wirklich ankommen | Nach Rollen trennen |
| Ergebnisse aus Wissenstests | Verständnis direkt nach Schulung | Fragen praxisnah formulieren |
| Klickrate bei Simulationen | Anfälligkeit für typische Täuschungen | Nicht isoliert bewerten |
| Melderate verdächtiger E-Mails | Sicherheitsverhalten im Alltag | Sehr wertvoll für Reifegrad |
| Zeit bis zur Meldung | Reaktionsfähigkeit | Besonders relevant bei echten Vorfällen |
| Nachschulungsbedarf je Bereich | Wo Inhalte nicht greifen | Für gezielte Massnahmen nutzen |
Zahlen richtig interpretieren
Eine hohe Klickrate in einer ersten Simulation ist kein Scheitern. Sie ist eine Ausgangslage. Kritisch wird es erst, wenn Sie keine Konsequenzen daraus ziehen.
Drei typische Interpretationsfehler tauchen oft auf:
Nur auf Fehlklicks schauen
Wer nur Klicks misst, übersieht positive Entwicklung bei Meldungen und Rückfragen.Alle Zielgruppen gleich bewerten
Ein Admin-Team und ein Vertriebsinnendienst arbeiten mit unterschiedlichen Angriffsmustern.Einzelaktionen überbewerten
Entscheidend ist die Entwicklung über mehrere Zyklen.
PDCA im Alltag nutzbar machen
Der PDCA-Zyklus wirkt nur dann, wenn er nicht als Theorieordner endet. In der Schulungspraxis lässt er sich sehr konkret anwenden.
Plan
Risikobild, Zielgruppen, Jahresplan und Erfolgskriterien festlegen. Dazu gehören auch Trigger für Nachschulungen und die Definition, welche Nachweise abgelegt werden.
Do
Schulungen durchführen, Phishing-Simulationen starten, Rückmeldungen sammeln und operative Probleme dokumentieren. Auch technische Hürden gehören dazu, etwa wenn Mitarbeitende Lernmodule nicht sauber aufrufen können.
Check
Die Ergebnisse werden anhand der KPIs ausgewertet. Nicht nur im Reporting-Tool, sondern auch gemeinsam mit Fachbereichen, Führungskräften und gegebenenfalls dem Informationssicherheitsbeauftragten.
Act
Hier entscheidet sich die Qualität des Programms. Inhalte werden angepasst, Risikogruppen enger begleitet, Lernformate verändert und Kommunikationsmassnahmen geschärft.
Praxis-Tipp: Halten Sie jede Anpassung mit Anlass, Entscheidung und Umsetzungsdatum fest. Genau diese Spur macht aus Aktivität einen auditfähigen Verbesserungsprozess.
Qualitatives Feedback nicht unterschätzen
Messung ist mehr als Kennzahlen. Kurze Umfragen und Gespräche mit Teilnehmenden liefern oft den entscheidenden Hinweis. Manchmal war das Thema relevant, aber das Format ungeeignet. Manchmal verstehen Mitarbeitende den Meldeweg nicht, obwohl sie den Test bestanden haben.
Deshalb sollten Sie nach jeder grösseren Massnahme auch qualitative Fragen stellen:
- Welche Situationen waren besonders realistisch?
- Wo gab es Unklarheiten?
- Welche Regeln erscheinen im Alltag schwer umsetzbar?
- Welche Beispiele fehlen für den eigenen Fachbereich?
Aus Schulung wird ein Regelkreis
Eine gute it sicherheit schulung endet nicht mit dem Versand des Zertifikats. Sie wird zu einem Regelkreis aus Messung, Auswertung und Nachsteuerung. Genau dort entsteht Reife. Und genau dort überzeugt das Programm später auch im Audit, weil es zeigt, dass Lernen im Unternehmen gesteuert wird und nicht zufällig passiert.
Audit-Nachweise für ISO 27001 und NIS-2 erbringen
Viele Unternehmen führen Schulungen durch. Weniger Unternehmen können später sauber belegen, warum diese Schulungen risikobasiert waren, wer sie erhalten hat, welche Wirkung sie hatten und wie daraus Verbesserungen abgeleitet wurden. Genau an dieser Stelle trennt sich ein gutes Awareness-Programm von einem auditfesten Programm.
Laut BSI- und IHK-Daten scheitern 65 Prozent der Schulungen an mangelnder Integration, da nur 30 Prozent der Mittelständler jährliche Refreshers durchführen. Im Gegensatz dazu senken ISO-27001-zertifizierte Firmen wie Deeken.Technology Vorfälle um 50 Prozent durch strukturierte Schulungsprogramme. Die Einordnung dazu findet sich bei der IHK Giessen-Friedberg: IT-Sicherheit Herausforderungen und Lösungsansätze für den Mittelstand.
Was Auditoren tatsächlich sehen wollen
Eine Teilnehmerliste ist nur ein Anfang. In Audits zählen vor allem Zusammenhang und Nachvollziehbarkeit.
Prüfer erwarten typischerweise Nachweise zu diesen Punkten:
- Risikobezug: Warum wurden welche Inhalte für welche Zielgruppe festgelegt.
- Schulungsplan: Jahresplanung, Turnus, Verantwortliche, Geltungsbereich.
- Inhalte: Verwendete Lernmodule, Präsentationen, Leitfäden oder Workshop-Unterlagen.
- Durchführung: Teilnahmen, Abschlüsse, Erinnerungen, Ausnahmen und Nachholtermine.
- Wirksamkeit: Testergebnisse, Simulationsdaten, Melderaten, Lessons Learned.
- Verbesserung: Welche Massnahmen nach Auswertung geändert wurden.
- Management-Einbindung: Freigaben, Reviews, Entscheidungen und Prioritäten.
Die Dokumentationslogik muss konsistent sein
Auditfeste Nachweise entstehen nicht durch Masse, sondern durch saubere Struktur. In der Praxis bewährt sich eine einfache Dokumentationskette:
| Dokument | Zweck |
|---|---|
| Risikoanalyse | Begründet Themen und Zielgruppen |
| Schulungsrichtlinie oder Prozessbeschreibung | Definiert Verantwortung und Ablauf |
| Jahresplan | Zeigt Regelmässigkeit und Abdeckung |
| Schulungsunterlagen | Belegen Inhalte und Aktualität |
| Teilnehmer- und Abschlussnachweise | Belegen Durchführung |
| KPI-Auswertung | Belegt Wirksamkeit |
| Verbesserungsprotokoll | Belegt PDCA und Nachsteuerung |
Wenn diese Dokumente isoliert existieren, aber nicht zusammenpassen, wird das im Audit schnell sichtbar. Wenn sie dagegen logisch aufeinander aufbauen, entsteht ein belastbarer Nachweis.
Datenschutz bei Nachweisen mitdenken
Gerade bei Phishing-Simulationen, Quizdaten und personenbezogenen Auswertungen sollte die Dokumentation sauber zwischen notwendiger Steuerung und unnötiger Detailtiefe unterscheiden. Wer interne Datenschutz- und Transparenzfragen vorbereiten will, findet in allgemeinen Datenschutzbestimmungen eine nützliche Referenz dafür, wie Informationspflichten und der Umgang mit personenbezogenen Daten klar strukturiert dargestellt werden können.
Wichtig für die Praxis: Nicht jede Auswertung gehört in jede Verteilergruppe. Für das Management reichen oft aggregierte Ergebnisse. Individuelle Daten sollten nur dort sichtbar sein, wo sie wirklich für Nachsteuerung gebraucht werden.
Typische Audit-Schwächen
Bestimmte Lücken tauchen in Audits immer wieder auf:
- Schulung ohne Risikobezug
- Keine Trennung nach Zielgruppen
- Keine Nachschulung bei Auffälligkeiten
- Keine dokumentierten Refreshers
- Keine erkennbare Management-Beteiligung
- Keine Begründung für Abweichungen oder Ausnahmen
Besonders kritisch ist der Eindruck, dass Schulung losgelöst vom restlichen ISMS betrieben wird. Unter ISO 27001 und NIS-2 muss erkennbar sein, dass Awareness Teil des Sicherheitsmanagements ist.
Souverän in die Prüfung gehen
Wer Unterlagen erst kurz vor dem Audit zusammensucht, arbeitet unter Druck und übersieht oft Zusammenhänge. Besser ist ein laufend gepflegter Nachweisbestand. Dann können Sie im Audit zeigen, wie Risikoanalyse, Durchführung, Messung und Verbesserung miteinander verzahnt sind.
Ein prüfbares Schulungsprogramm zeigt nicht Perfektion. Es zeigt Steuerungsfähigkeit. Genau das überzeugt Auditoren.
FAQ zur IT Sicherheit Schulung
Wie oft sollte eine it sicherheit schulung stattfinden
Regelmässigkeit ist wichtiger als ein grosser Einzeltermin. In der Praxis funktionieren wiederkehrende Formate mit festen Auffrischungen, kurzen Lernimpulsen und ergänzenden Simulationen deutlich besser als eine jährliche Einmalschulung.
Reicht ein E-Learning allein aus
Nein, meist nicht. E-Learning eignet sich gut für Grundlagen und Nachweise. Verhaltensänderung entsteht aber stärker durch reale Beispiele, kurze Live-Formate, Diskussionen und Wiederholung im Alltag.
Welche Mitarbeitenden sollten zuerst geschult werden
Starten Sie mit allen Beschäftigten auf einem Grundniveau. Vertiefen Sie danach bei besonders exponierten Rollen wie Buchhaltung, HR, Assistenz, Führungskräften und IT-Administratoren.
Sind Phishing-Simulationen unter NIS-2 Pflicht
Nicht als einzelnes Werkzeug. Aber sie sind in der Praxis sehr hilfreich, weil sie Verhalten messbar machen und Schulungen wirksam ergänzen. Für viele KMU sind sie eines der besten Mittel, um Nachweise zur Wirksamkeit aufzubauen.
Was ist der grösste Fehler bei Schulungsprogrammen
Schulung als einmalige Pflicht zu behandeln. Dann gibt es zwar Termine, aber keinen Lernprozess. Unter NIS-2 und ISO 27001 zählt die dauerhafte Steuerung, nicht die isolierte Aktion.
Welche Nachweise sollte ich sofort aufbauen
Beginnen Sie mit Risikoanalyse, Zielgruppenmatrix, Jahresplan, Teilnahmeübersichten, verwendeten Inhalten und einer einfachen KPI-Auswertung. Schon diese Basis schafft deutlich mehr Audit-Sicherheit.
Muss die Geschäftsführung einbezogen werden
Ja. Nicht nur formal. Führungskräfte setzen Prioritäten, geben Kultur vor und sind selbst häufig Ziel von Social Engineering. Ohne sichtbare Management-Unterstützung verliert jedes Programm an Wirkung.
Wie gross muss ein Schulungsprogramm für ein KMU sein
So klein wie möglich, aber so verbindlich wie nötig. Ein schlankes, regelmässiges und sauber dokumentiertes Programm ist wirksamer als ein grosser, unregelmässiger Schulungskalender.
Eine gute it sicherheit schulung ist kein Projekt mit Enddatum. Sie ist ein kontrollierter Prozess. Wer Risiken sauber ableitet, Zielgruppen differenziert trainiert, Wirkung misst und Nachweise ordentlich führt, erfüllt nicht nur Compliance-Vorgaben. Er macht das Unternehmen im Alltag widerstandsfähiger.
Wenn Sie Ihr Schulungsprogramm NIS-2-konform aufbauen, auditfest dokumentieren oder bestehende Awareness-Massnahmen auf Wirksamkeit prüfen möchten, unterstützt Sie die Deeken.Technology GmbH mit praxisnaher Beratung, ISO-27001-erprobten Vorgehensmodellen und technischer Umsetzung für KMU.
