Anrufen
StartseiteBlogIT-Sicherheitsschulungen
IT-Sicherheit März 2026 7 Min. Lesezeit

IT-Sicherheitsschulungen: Warum der Mensch das größte Risiko — und die stärkste Verteidigung ist

Technische Schutzmaßnahmen können noch so gut sein — wenn ein Mitarbeiter auf einen Phishing-Link klickt oder sein Passwort herausgibt, nützt die beste Firewall nichts. 95 % aller IT-Sicherheitsvorfälle haben menschliches Verhalten als Ursache. Regelmäßige Schulungen ändern das.

Inhaltsverzeichnis

Statistik: Woher kommen IT-Vorfälle wirklich?

Der IBM Cost of a Data Breach Report und der Verizon Data Breach Investigations Report kommen Jahr für Jahr zu ähnlichen Ergebnissen: Der menschliche Faktor ist mit Abstand die häufigste Ursache von IT-Sicherheitsvorfällen. Etwa 95 % aller Vorfälle lassen sich auf menschliches Handeln zurückführen — entweder direkt oder als Enabler eines technischen Angriffs.

Die häufigsten Ursachen im Überblick:

  • Phishing-Klicks: Mitarbeiter klicken auf Links in täuschend echten E-Mails und geben Zugangsdaten auf gefälschten Seiten ein oder laden Schadsoftware herunter.
  • Schwache und wiederverwendete Passwörter: Kompromittierte Zugangsdaten aus Datenlecks funktionieren auch bei Unternehmensaccounts, weil dieselben Passwörter mehrfach verwendet werden.
  • Falsch konfigurierte Systeme: Administratoren richten Systeme mit unsicheren Standardeinstellungen ein oder lassen nicht benötigte Dienste offen — oft aus Zeitmangel oder fehlendem Sicherheitsbewusstsein.
  • Social Engineering: Angreifer manipulieren Mitarbeiter telefonisch oder per E-Mail dazu, Zugangsdaten herauszugeben, Zahlungen zu autorisieren oder Schadcode auszuführen.

Das bedeutet nicht, dass technische Maßnahmen unwichtig wären. Aber sie haben eine harte Grenze: Ein Angreifer, der legitime Zugangsdaten eines Mitarbeiters kennt, umgeht die meisten technischen Kontrollen. Der Mensch ist der letzte — und oft entscheidende — Verteidigungsposten.

Was moderne Social-Engineering-Angriffe können

Social Engineering hat sich in den letzten Jahren fundamental verändert. Der klassische nigerianische Prinzen-Betrug mit offensichtlichen Rechtschreibfehlern ist Vergangenheit. Moderne Angriffe sind hochgradig personalisiert und kaum von echten Kommunikationen zu unterscheiden.

Spear-Phishing mit KI

Angreifer recherchieren ihre Zielpersonen über LinkedIn, die Unternehmenswebsite und andere öffentliche Quellen. KI-Tools helfen dabei, personalisierte Phishing-E-Mails in perfektem Deutsch zu verfassen, die Bezug auf aktuelle Projekte, Kollegen oder interne Ereignisse nehmen. Eine E-Mail, die vorgibt, von der eigenen IT-Abteilung zu kommen und auf einen aktuellen Vorfall verweist, ist für Mitarbeiter ohne Training kaum als Angriff erkennbar.

CEO-Fraud und Business Email Compromise (BEC)

Angreifer kompromittieren oder fälschen E-Mail-Adressen von Führungskräften und weisen Mitarbeiter in der Buchhaltung oder Verwaltung an, dringende Zahlungen zu tätigen oder Zugangsdaten zu übermitteln. Der Schaden durch BEC übersteigt laut FBI den durch Ransomware — weltweit mehrere Milliarden Dollar jährlich. KMU sind bevorzugte Ziele, weil sie seltener über formale Freigabeprozesse verfügen.

Gefälschte IT-Support-Anfragen

Ein Angreifer ruft an, gibt sich als IT-Support aus und bittet den Mitarbeiter, ein Fernzugriffstool zu installieren oder Zugangsdaten zu bestätigen. Wer nicht weiß, wie der echte IT-Support kommuniziert, ist anfällig. Regelmäßige Schulungen, die solche Szenarien durchspielen, bauen eine intuitive Skepsis auf.

Was eine gute IT-Sicherheitsschulung umfasst

Viele Unternehmen haben einmalige Schulungen durchgeführt — und stellen Jahre später fest, dass das Sicherheitsniveau nicht gestiegen ist. Das liegt nicht an den Mitarbeitern, sondern am Schulungsformat. Eine wirksame Schulung deckt folgende Inhalte ab und wird regelmäßig wiederholt:

Phishing-Erkennung durch praktische Übungen

Theorie allein reicht nicht. Mitarbeiter müssen echte Phishing-E-Mails analysieren — was macht sie verdächtig? Absenderadresse, URL-Struktur, Dringlichkeit, ungewöhnliche Anfragen. Phishing-Simulationen, bei denen das Unternehmen selbst Test-Phishing-Mails verschickt und auswertet, wer klickt, sind besonders wirksam. Sie liefern Messdaten und geben Mitarbeitern direktes Feedback ohne reale Konsequenzen.

Passworthygiene und MFA

Was ist ein starkes Passwort? Warum reicht es nicht, das Passwort nur leicht zu variieren? Wie funktioniert ein Passwortmanager? Was ist MFA und warum ist es wichtig? Diese Grundlagen sollten jeder Mitarbeiter kennen und verstehen — nicht als abstrakte IT-Regel, sondern mit konkreten Beispielen aus dem Alltag.

Welche Dateitypen sind gefährlich? Wie prüft man eine URL, bevor man klickt? Was tun, wenn ein Anhang unerwartet nach der Aktivierung von Makros fragt? Praktische Checklisten, die Mitarbeiter im Alltag nutzen können, erhöhen die Sicherheit nachhaltig.

Was tun bei einem Verdachtsfall

Viele Angriffe bleiben unentdeckt, weil Mitarbeiter Fehler aus Scham nicht melden. Eine offene Meldekultivierung, in der ein gemeldeter Verdachtsfall als positives Verhalten gewürdigt wird, ist entscheidend. Mitarbeiter müssen wissen: wen sie anrufen, welche Systeme sie vom Netz nehmen und was sie keinesfalls tun sollen (z. B. Schadsoftware selbst deinstallieren versuchen).

Social Engineering und Telefonbetrug

Wie erkenne ich einen Vishing-Anruf (Voice Phishing)? Was darf ich einem angeblichen IT-Supporter am Telefon sagen? Welche Informationen sind intern und dürfen nicht herausgegeben werden? Rollenspiele und simulierte Telefonangriffe machen diese Bedrohung greifbar.

Schulungsformate: Was wirklich funktioniert

Die Forschung zu Security-Awareness-Training ist eindeutig: Einmalige Schulungen, auch wenn sie gut gemacht sind, verlieren ihre Wirkung nach wenigen Monaten. Das Wissen verblasst, wenn es nicht aktiviert wird.

Was nachweislich funktioniert:

  • Regelmäßige kurze Sessions statt einmaliger langer Schulungen: 10–15 Minuten monatlich sind wirksamer als ein halbtägiger Workshop einmal im Jahr. Microlearning-Formate, die ein spezifisches Thema pro Einheit behandeln, haben höhere Retentionsraten.
  • Phishing-Simulationen: Kontrollierende Tests mit sofortigem Feedback — "Sie haben auf diesen Link geklickt. Hier ist, warum das gefährlich wäre und wie Sie es erkennen." — zeigen nachweislich sinkende Klickraten über Zeit.
  • Gamification: Punkte, Leaderboards und kleine Anreize erhöhen die Teilnahme und Aufmerksamkeit. Security-Awareness-Plattformen bieten solche Mechanismen standardmäßig an.
  • Verpflichtende Einarbeitung für neue Mitarbeiter: Neue Mitarbeiter sollten IT-Sicherheitsschulung als Teil des Onboardings absolvieren — bevor sie Zugang zu Unternehmenssystemen erhalten.

IT-Schulungen und DSGVO/NIS2

IT-Sicherheitsschulungen sind nicht nur gute Praxis — sie sind zunehmend rechtlich gefordert. Die DSGVO verlangt, dass Unternehmen "geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten ergreifen. Schulungen gelten als organisatorische Maßnahme und müssen im Zweifel nachgewiesen werden.

NIS2 geht weiter: Unternehmen müssen nachweisen, dass ihre Mitarbeiter in IT-Sicherheit geschult sind. Im Fall eines Vorfalls wird die Datenschutzbehörde oder das BSI fragen, welche Schulungsmaßnahmen ergriffen wurden. Ohne Nachweis — Teilnehmerlisten, Schulungsinhalte, Wiederholungszyklen — ist die Haftungsposition erheblich schlechter.

Schulungsdokumentation sollte daher von Anfang an systematisch erfolgen: Wer wurde wann zu welchem Thema geschult? Welche Phishing-Simulationen wurden durchgeführt, mit welchen Ergebnissen? Diese Daten sind Teil des Compliance-Nachweises.

Schulungen als Koreva-Leistung

Koreva bietet individuelle IT-Sicherheitsschulungen für KMU an — kein generisches Standardprogramm, sondern auf Ihre spezifische Bedrohungslage und Ihre Branche zugeschnitten. Wir analysieren vorab, welche Angriffsmuster für Ihr Unternehmen besonders relevant sind — ob Anwaltskanzlei, Produktionsbetrieb, Gesundheitseinrichtung oder Dienstleister — und entwickeln Schulungsinhalte, die Ihre Mitarbeiter im echten Alltag treffen.

Unser Schulungsangebot umfasst:

  • Präsenz- und Remote-Schulungen für Teams jeder Größe
  • Phishing-Simulationen mit Auswertung und individuellem Feedback
  • Schulungsdokumentation für DSGVO- und NIS2-Nachweise
  • Wiederholungszyklen und jährliche Auffrischungen
  • Onboarding-Module für neue Mitarbeiter
Fazit: Ein geschulter Mitarbeiter, der einen Phishing-Link erkennt, ist wertvoller als jede technische Sicherheitsmaßnahme dahinter.

Häufige Fragen

Mindestens einmal jährlich für alle Mitarbeiter, ergänzt durch vierteljährliche Phishing-Simulationen. Neu eingestellte Mitarbeiter sollten innerhalb der ersten 30 Tage geschult werden. NIS2 und viele Cyberversicherer fordern mittlerweile nachweisliche, regelmäßige Schulungen.
Bei einer Phishing-Simulation versendet man kontrolliert täuschend echte Phishing-E-Mails an die eigenen Mitarbeiter — ohne Vorwarnung. Wer klickt oder Zugangsdaten eingibt, sieht eine Lernseite und wird direkt über den Fehler informiert. Das Ergebnis zeigt, wie anfällig das Unternehmen für Social-Engineering-Angriffe ist.
Ja, wenn sie nachweisbar und regelmäßig durchgeführt werden. NIS2 (§30 NIS2UmsuCG) verlangt, dass Unternehmen Schulungsmaßnahmen für Mitarbeiter implementieren, die den Umgang mit IT-Sicherheitsrisiken schulen. Zertifizierte Schulungen können auch als Nachweis gegenüber Cyberversicherungen dienen.
Nein. Einmalige Schulungen werden vergessen — Studien zeigen, dass 90 % des Wissens nach 30 Tagen ohne Wiederholung verloren geht. Effektiver ist eine Kombination: Basisschulung + regelmäßige Phishing-Simulationen + kurze Auffrischungen zu aktuellen Bedrohungen (z. B. aktuelle Phishing-Kampagnen).

IT-Schulung anfragen

Im Erstgespräch besprechen wir Ihre Bedrohungslage und entwickeln ein Schulungskonzept, das Ihre Mitarbeiter wirklich erreicht — praxisnah, kompakt und nachweisfähig.

Erstgespräch vereinbaren Pentest & Sicherheit →