Du bist die Firewall deines Unternehmens. Warum reichen Schutzmaßnahmen nicht aus, wie sind wirksame Phishing-Simulationen aufgebaut, welche Pflichten treffen KMU und wie bauen Unternehmen den Menschen vom Risiko zum Schutzschild um?
Firewalls, E-Mail-Gateways, Endpoint Protection – die meisten Unternehmen investieren erheblich in ihre technische Absicherung. Gleichzeitig zeigen die Zahlen des Bundeslagebild Cybercrime 2025 unmissverständlich: Mit rund 335.000 registrierten Cybercrime-Fällen und einem geschätzten Gesamtschaden von über 200 Milliarden Euro bleibt Deutschland eines der weltweit am stärksten angegriffenen Länder. Das Einfallstor Nr. 1 ist dabei nicht die Technik. Es ist der Mensch.
In der täglichen Beratungspraxis erleben wir regelmäßig, dass Security Awareness Training als lästige Compliance-Pflicht behandelt wird – ein Häkchen auf der Checkliste, das man einmal im Jahr setzt. Doch seit das NIS-2-Umsetzungsgesetz im Dezember 2025 in Kraft getreten ist, hat sich die Lage grundlegend verändert. Phishing-Awareness-Schulungen sind keine freiwillige Maßnahme mehr. Sie sind gesetzliche Pflicht – mit persönlicher Haftung der Geschäftsleitung.
Die Angriffslage hat sich in den letzten Jahren qualitativ verändert. Die Anti-Phishing Working Group (APWG) verzeichnete 2024 rund 4,8 Millionen Phishing-Angriffe – ein historischer Rekord. Allein die Verbraucherzentrale NRW erfasste 2025 über 382.000 Phishing-Mails in Deutschland. Die Zahlen sind hoch, aber sie erzählen nur die halbe Geschichte. Entscheidend ist die Qualität der Angriffe.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenLaut KnowBe4 werden inzwischen über 82 Prozent aller Phishing-E-Mails mithilfe von KI generiert. Das bedeutet: keine Rechtschreibfehler, keine plumpen Formulierungen, keine offensichtlich verdächtigen Absender. Stattdessen perfekt formulierte Nachrichten, die bestehende E-Mail-Verläufe kapern, auf echte Projektkommunikation antworten und Absenderidentitäten täuschend echt imitieren. Der CrowdStrike Global Threat Report 2025 dokumentierte bei Voice-Phishing-Angriffen einen Anstieg von 442 Prozent innerhalb eines Jahres. Quishing – Phishing über QR-Codes – ist zwischen 2023 und 2025 um 400 Prozent gestiegen.
Für KMU bedeutet das: Der Angriff, der ein Unternehmen trifft, wird mit hoher Wahrscheinlichkeit nicht mehr als solcher erkennbar sein. Nicht für den E-Mail-Filter und nicht für den Mitarbeiter, der morgens schnell seine Mails durchgeht. Das BSI formuliert in seinem Lagebericht 2025 unmissverständlich: Rund 80 Prozent der angezeigten Angriffe richten sich gegen kleine und mittlere Unternehmen, denen häufig die Mittel und das Wissen fehlen, um sich wirksam zu schützen.
Viele Unternehmen setzen auf das Modell „Einmal im Jahr eine PowerPoint, dann ist das Thema erledigt.“ Das Problem: Es funktioniert nicht.
Eine Studie der University of California San Diego mit über 19.000 Probanden aus dem Gesundheitswesen hat über acht Monate verschiedene Schulungsansätze getestet. Das Ergebnis war ernüchternd: Herkömmliche Trainingsmethoden sind deutlich weniger wirksam als allgemein angenommen. Das deckt sich mit dem, was der Verizon Data Breach Investigations Report 2025 zeigt: Der menschliche Faktor ist an rund 60 Prozent aller Sicherheitsvorfälle beteiligt – eine Zahl, die seit Jahren auf diesem Niveau verharrt, obwohl die Investitionen in Awareness-Programme steigen.
Die Gründe liegen auf der Hand. Klassische Frontschulung erzeugt keine nachhaltige Verhaltensänderung. Menschen vergessen 70 Prozent des Gelernten innerhalb von 24 Stunden (Ebbinghaus’sche Vergessenskurve). Einmalige Schulungen treffen alle Mitarbeiter gleich, obwohl ihre Risikoexposition und Vorkenntnisse völlig unterschiedlich sind. Und sie erzeugen kein Problembewusstsein, weil die Bedrohung abstrakt bleibt.
Hinzu kommt ein psychologischer Faktor, der häufig unterschätzt wird: Arbeitsdruck. Laut einer aktuellen Erhebung ist der Anteil der Mitarbeiter, die Sicherheitsfehler auf Zeitdruck zurückführen, von 34 auf 50 Prozent gestiegen. Müdigkeitsbedingte Fehler stiegen von 43 auf 51 Prozent. Das bedeutet: Selbst gut geschulte Mitarbeiter machen unter Druck Fehler – besonders dann, wenn die Schulung Monate zurückliegt.
Wirksame Phishing-Simulationen unterscheiden sich grundlegend von der einmaligen Schulung. Sie sind keine isolierte Maßnahme, sondern ein kontinuierlicher Prozess, der drei Ziele verfolgt: Risiken messen, Verhalten ändern, Sicherheitskultur aufbauen.
Der erste Schritt jedes Awareness-Programms ist eine Bestandsaufnahme. Wie hoch ist die Klickrate im Unternehmen bei simulierten Phishing-Mails? Welche Abteilungen sind besonders anfällig? Die durchschnittliche Klickrate auf Phishing-E-Mails liegt laut Proofpoint bei 3,4 Prozent. Das klingt wenig – ist es aber nicht. Bei einem Unternehmen mit 200 Mitarbeitern und zehn Phishing-Mails pro Woche bedeutet das statistisch: Jede Woche klickt mindestens ein Mitarbeiter auf etwas, das er besser nicht angeklickt hätte. Eine Phishing Simulation macht dieses Risiko sichtbar und quantifizierbar.
Die wirksamsten Programme setzen auf adaptive, KI-gestützte Personalisierung statt einheitlicher Inhalte. Konkret heißt das: Ein Mitarbeiter in der Buchhaltung erhält andere Simulationen als ein Vertriebsmitarbeiter. Wer wiederholt auf simulierte Phishing-Mails hereinfällt, bekommt intensivere Mikro-Trainings. Wer Angriffe zuverlässig erkennt und meldet, wird seltener getestet. Dieser adaptive Ansatz ist das, was im DACH-Markt 2026 den Unterschied zwischen wirksamen und unwirksamen Programmen ausmacht.
Ein entscheidender Punkt: Die Simulation darf nicht zum Pranger werden. Unternehmen, die Mitarbeiter für Fehlklicks bestrafen oder bloßstellen, erreichen das Gegenteil des gewünschten Effekts – Angst, Vertuschung und mangelnde Bereitschaft, echte Vorfälle zu melden. Gute Programme arbeiten mit positiver Verstärkung und Gamification. Sie belohnen das Erkennen und Melden, nicht das Nicht-Klicken.
Das eigentliche Ziel eines Phishing-Awareness-Programms ist nicht die niedrigste Klickrate, sondern die höchste Melderate. Ein Unternehmen, in dem Mitarbeiter verdächtige E-Mails aktiv melden, hat eine funktionierende Sicherheitskultur. Denn jede gemeldete Phishing-Mail verkürzt die Reaktionszeit und schützt andere Mitarbeiter. Die durchschnittliche Erkennungszeit einer Phishing-Kompromittierung liegt bei 207 Tagen. In Unternehmen mit aktiver Meldekultur kann diese Zeitspanne drastisch reduziert werden.
Phishing ist eine der häufigsten Ursachen für Sicherheitsvorfälle – oft genügt ein einziger Klick. Schulung für mehr Aufmerksamkeit im Umgang mit E-Mails, Links und Social Engineering im Arbeitsalltag.
Die rechtlichen Anforderungen an Security Awareness haben sich 2025/2026 erheblich verschärft. Drei Regelwerke sind für KMU besonders relevant.
Das NIS-2-Umsetzungsgesetz verpflichtet alle „wichtigen“ und „besonders wichtigen“ Einrichtungen zu umfassenden Cybersicherheitsmaßnahmen. § 30 Abs. 2 S. 2 Nr. 7 BSIG schreibt explizit „grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik“ vor. § 38 BSIG verlangt darüber hinaus regelmäßige Schulungen der Geschäftsleitung. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in 18 regulierten Sektoren. Das BSI schätzt, dass rund 30.000 deutsche Unternehmen unter NIS-2 fallen. Eine Übergangsfrist gibt es nicht. Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes – und die persönliche Haftung der Geschäftsführung.
Wichtig: Auch Unternehmen, die nicht direkt unter NIS-2 fallen, sind als Teil regulierter Lieferketten mittelbar betroffen. Kunden, Partner und Versicherer verlangen zunehmend nachweisbare Sicherheitsmaßnahmen.
Die DSGVO verpflichtet Verantwortliche zu „geeigneten technischen und organisatorischen Maßnahmen“ zum Schutz personenbezogener Daten. Schulung und Sensibilisierung der Mitarbeiter gehören nach herrschender Auffassung der Aufsichtsbehörden zu diesen organisatorischen Maßnahmen. Ein Datenschutzvorfall, der auf mangelnde Awareness zurückzuführen ist – etwa ein erfolgreicher Phishing-Angriff auf die Personalabteilung –, begründet einen Verstoß gegen Art. 32 DSGVO. Die durchschnittlichen Kosten eines solchen Datenverstoßes liegen in Deutschland bei 3,87 Millionen Euro.
Sowohl ISO 27001 als auch der BSI IT-Grundschutz fordern als Teil eines ISMS die regelmäßige Schulung und Sensibilisierung aller Mitarbeiter. Für Unternehmen, die eine Zertifizierung anstreben oder halten, sind dokumentierte Awareness-Maßnahmen prüfungsrelevant.
Ein effektives Security Awareness Training muss weder teuer noch komplex sein. Es muss aber strukturiert und regelmäßig sein. Die folgenden fünf Bausteine haben sich in der Praxis bewährt.
Initiale Risikomessung durch eine Baseline Phishing Simulation. Vor jeder Schulung steht die Messung. Eine erste simulierte Phishing-Kampagne zeigt, wo das Unternehmen steht. Die Ergebnisse werden anonymisiert ausgewertet – nicht auf Ebene einzelner Mitarbeiter, sondern nach Abteilungen und Risikoprofilen.
Regelmäßige Mikro-Schulungen. Statt einer großen Jahresschulung: kurze, praxisnahe Trainingseinheiten von 5 bis 10 Minuten, monatlich oder quartalsweise. Die Inhalte orientieren sich an aktuellen Bedrohungen und den Ergebnissen der Simulationen. Die ENISA empfiehlt ausdrücklich diesen Ansatz für die Entwicklung eines umfassenden Awareness-Programms.
Fortlaufende Phishing-Simulationen. Nach der Baseline folgen regelmäßige Simulationen mit steigendem Schwierigkeitsgrad. Die Szenarien bilden reale Bedrohungen ab: gefälschte Microsoft-365-Benachrichtigungen, manipulierte Rechnungen, vermeintliche Paketverfolgungs-Links, QR-Codes auf gefälschten Briefen.
Klare Meldewege und Feedback-Schleifen. Mitarbeiter brauchen im Rahmen einer gelebten Phishing Awareness einen einfachen, niedrigschwelligen Weg, verdächtige E-Mails zu melden – idealerweise einen Button im E-Mail-Client. Jede Meldung sollte eine kurze Rückmeldung erhalten: War es tatsächlich Phishing oder eine harmlose Mail?
Dokumentation und Reporting. Alle Maßnahmen müssen revisionssicher dokumentiert werden. Das ist nicht nur für NIS-2-Nachweispflichten relevant, sondern auch für die DSGVO-Accountability nach Art. 5 Abs. 2. Phishing-Simulationsberichte liefern messbare Nachweise, die bei Audits die Wirksamkeit der Awareness-Maßnahmen belegen.
Die Frage, ob sich Awareness-Programme wirtschaftlich lohnen, lässt sich klar beantworten. Eine Untersuchung von Osterman Research hat die Schadensummen von Cyberattacken mit den Kosten für Awareness-Schulungen verglichen und den Return on Investment berechnet. Das Ergebnis: Kleine und mittlere Unternehmen erzielen einen ROI von 69 Prozent, größere Organisationen durchschnittlich 562 Prozent.
Die Rechnung wird noch deutlicher, wenn man die Alternativkosten betrachtet. Ein durch Phishing ermöglichter Ransomware-Angriff kostet im Durchschnitt weit mehr als jedes Awareness-Programm. 2025 wurden in Deutschland 1.041 Ransomware-Angriffe angezeigt – ein Anstieg von zehn Prozent gegenüber dem Vorjahr. 70 Prozent dieser Angriffe richteten sich gegen KMU. Und 75 Prozent der betroffenen kleinen Unternehmen wären im Fall eines Treffers nicht in der Lage, den Betrieb fortzuführen.
Vermittlung von Inhalten zur Cyber-Sicherheit. Videos und Best Practices inklusive.
Die Zeiten, in denen Cybersicherheit ein reines IT-Thema war, sind vorbei. Die Bedrohungslage, die regulatorischen Anforderungen und die wirtschaftlichen Risiken machen Security Awareness Training zu einer Aufgabe der Unternehmensführung. Das NIS-2-Umsetzungsgesetz formuliert das unmissverständlich: Die Geschäftsleitung haftet persönlich.
Gleichzeitig liegt in dieser Pflicht eine Chance. Unternehmen, die Awareness nicht als Pflichtübung betreiben, sondern als systematisches Programm aufbauen, gewinnen dreifach: Sie reduzieren ihr Angriffsrisiko messbar, sie erfüllen regulatorische Anforderungen nachweisbar und sie stärken ihre Position gegenüber Kunden, Partnern und Versicherern.
Der erste Schritt ist einfacher als viele denken: eine Baseline-Simulation, eine Handvoll regelmäßiger Mikro-Schulungen und ein klarer Meldeweg. Kein Unternehmen muss dafür eine eigene Security-Abteilung aufbauen. Was es braucht, ist die Entscheidung, damit anzufangen.
Denn am Ende ist es genau das, was den Unterschied macht: nicht die Technik, sondern die Menschen, die sie bedienen.
Regeltermine, ISMS-Software, E-Learning (LMS), persönlicher Ansprechpartner – und weitere Extras – inklusive.
Wir helfen Unternehmen dabei, ein wirksames Managementsystem für Informationssicherheit aufzubauen und die Anforderungen nach ISO 27001, NIS-2 oder TISAX® umzusetzen – digital, effizient und zu fixen Konditionen. Als erfahrener Beratungsdienstleister und externer ISB sorgen wir dafür, dass sensible Informationen geschützt bleiben und Sicherheitsrisiken minimiert werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Embedded Content. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen