Awareness as a Service: Wo liegen die Möglichkeiten?

Vom Wert sensibilisierter Mitarbeiter:innen

Bezüglich geeigneter Schulungs-Ansätze herrscht unter Security Awareness Expert:innen soweit Einigkeit, dass punktuelle Einmalmaßnahmen kaum etwas bringen, wohingegen gut gemachte, kontinuierliche Programme messbare Verbesserungen nach sich ziehen.

Bei einer erschlagend großen Zahl von 50-70% aller Cybervorfälle ist menschliches Verhalten nach wie vor ausschlaggebend für den Datenverlust. Die Schulung der Mitarbeitenden verdient daher hohe Beachtung. Vor allem wird dabei die Fähigkeit, Bedrohungen als solche zu erkennen als Kern-Element von wirksamen Schulungs-Maßnahmen hervorgehoben.

Awareness von der Stange?

Nach dem Siegeszug der großen Schulungsplattformen in den letzten Jahren, nehmen wir kundenseitig zunehmend auch eine Trendumkehr war: Inhalte sind oft zu generisch und decken damit in der Gesamtheit zu wenig ab. Hinzu kommt der oft unübersichtliche Verwaltungsaufwand und zum Teil auch die Überforderung von Mitarbeitenden mit zu vielen Inhalten. Nicht selten hören wir, dass Organisationen wieder dazu übergehen, ihr Basis-Training selbst zu gestalten.

Auch klar sollte in diesem Zusammenhang sein, dass ein einzelnes ausgerolltes E-Learning im Jahr nicht reicht, um Verhaltensänderungen herbeizuführen.

Und Phishing adé?

Ernüchternd war hier auch eine 2025 veröffentliche Studie, die den praktischen Nutzen gängiger Phishing-Trainingsprogramme in Unternehmen über einen Zeitraum von acht Monaten bei einem großangelegten Feldversuch mit mehr als 19.500 Beschäftigte eines großen US-Gesundheitsdienstleisters untersuchte: Laut den Forschern lag die absolute Differenz der Fehlerquote zwischen trainierten und untrainierten Personen in den Tests bei lediglich 1,7 Prozent. Problematisch hervorgehoben wird darin auch, dass nur ein kleiner Teil der Teilnehmer das Trainingsmaterial nach einem Fehlklick tatsächlich aufmerksam wahrnahm oder abschloss. Eine vernichtende Nachricht also für alle, die Phishing-Simulationen als alleiniges Allheilmittel sehen.

Bedeutet das nun, dass wir Phishing-Simulationen wieder zurückgehen sehen? Wohl nicht, aber es relativiert den Stellenwert und spricht für einen ganzheitlicheren Ansatz mit Schulungs-Maßnahmen auf mehreren Kanälen.

Während Cyberbedrohungen nun allgemein zunehmen, fehlen in vielen Unternehmen einfach die erforderlichen Sicherheitskompetenzen, um sich dagegen zu schützen. Laut WEF Global Cyber Security Outlook 2025 hat sich die Lücke zwischen externer Anforderung und realer interner Abdeckung im Bereich Cybersicherheit im letzten Jahr um 8% vergrößert, und zwei von drei Unternehmen berichten von einem kritischen Mangel an Sicherheitsfachwissen.

Warum diesen Mangel also nicht, wie in anderen Bereichen üblich, extern abdecken?

Unser A-a-a-S-Angebot

Mit ersten Kunden sind wir nun unterwegs, ein ganzheitlich gesteuertes Awareness-Programm mit Governance, aktiver Kampagnensteuerung und messbarer Wirksamkeit bereitzustellen – integriert in Management-Entscheidungen und kontinuierlich optimiert zur nachhaltigen Entwicklung der Sicherheitskultur.

Unser Ansatz basiert auf einem PDCA-Zyklus (auch Deming-Zyklus oder PDCA Kreislauf genannt), um einen kontinuierlichen Verbesserungsprozess zu etablieren.

Konkrete Schritte sind dafür folgenden Phasen zugeteilt:

  • Governance & Steuerung (PLAN)
  • Produktion & Bereitstellung von Inhalten (DO)
  • Aussteuerung & Durchführung (DO)
  • Dokumentation & Reporting (DO & CHECK)
  • Wirksamkeitsmessung & Feedback (CHECK)

Das langfristige Ziel ist eine den Anforderungen entsprechende Sicherheitskultur zu entwickeln, wobei der Fokus auf Wirksamkeit, Priorisierung und kontinuierlicher Optimierung liegt.

Benefits auf einen Blick

  • Steigerung der IT-Sicherheit in der Organisation
  • Ganzheitlich gesteuertes Awareness-Programm
  • Beinhaltet Governance, aktiver Kampagnensteuerung und messbarer Wirksamkeit
  • Zusammenstellung einer individuellen Awareness-Kampagne gemäß spezifischen Anforderungen
  • Mögliche Bespielung sämtlicher Kommunikationskanäle (digital, visuell, haptisch)
  • Laufende Anpassung und Aktualisierung von Content
  • Zielgruppen-Spezifische Inhalte mit interaktiven Elementen
  • Kosteneinsparung durch gebündelte Ressourcen
  • Alles aus einer Hand

Klingt interessant?
Dann sollten wir uns einmal unterhalten.

Quellen

World Economic Forum – Global Cyber Security Outlook 2025

https://www.heise.de/news/Verbesserung-von-nur-1-7-Prozent-Phishing-Training-fast-immer-wirkungslos-10539174.html

Prümmer, van Steen & van den Berg (2025), Assessing the effect of cybersecurity training on End-users: A Meta-analysis

Address Address icon Bitte um Infos zu KI-Schulung
HABITUX – Dürfen wir noch einmal spielen?Cyber Security Month – Vorbereitungen