hagel IT-Services
Festpreis-Angebot
8 Min.

Sicherheitsbewusstsein schaffen: Wie Unternehmen ihre Mitarbeiter mit Trainings sensibilisieren können

Jens Hagel
Jens Hagel in IT-Insights

Inhalt in Kürze

  • 67 Prozent aller erfolgreichen Cyberangriffe auf deutsche KMU beginnen laut Bitkom mit einer manipulierten E-Mail. Mitarbeiter sind das eigentliche Einfallstor — und gleichzeitig die wirksamste Verteidigungslinie.
  • Was funktioniert: monatliche Phishing-Simulationen, Microlearning in kurzen Häppchen, klare Meldewege. Jährliche Pflichtschulungen wirken nicht messbar.
  • Marktführer 2026 sind KnowBe4, SoSafe und Hornetsecurity Security Awareness Service. Für deutsche KMU meist SoSafe oder Hornetsecurity wegen DSGVO und Lokalisierung.
  • NIS2-Pflicht ab 2026: Awareness-Trainings für alle Beschäftigten plus Geschäftsleitung. Wer nichts dokumentiert, haftet persönlich.
Sicherheitsbewusstsein — kurz erklärt:

Sicherheitsbewusstsein (Security Awareness) beschreibt das Wissen und die Verhaltensweisen von Mitarbeitenden bezüglich IT-Sicherheit. Aufbau 2026: regelmäßige Schulungen (monatliche Micro-Trainings 5–10 Min), Phishing-Simulationen (4–12× pro Jahr), Onboarding-Module für neue Kollegen. Anbieter: KnowBe4, SoSafe (deutsch), Hornetsecurity Security Awareness. NIS2-relevant — dokumentierte Schulungen sind seit Oktober 2024 Pflicht.

Sicherheitsbewusstsein im KMU — die 4 Bausteine 2026

Ein wirksames Awareness-Programm für ein 20- bis 250-Personen-Unternehmen steht 2026 auf vier Säulen — alles andere ist Compliance-Theater:

  1. Monatliche Micro-Trainings (5–10 Minuten): kurze Lerneinheiten zu Phishing, Passwörtern, MFA, Datenschutz. Hohe Wiederholung schlägt einmal Frontalunterricht.
  2. Phishing-Simulationen 4–12× pro Jahr: realistische Test-Mails mit ansteigender Schwierigkeit, integriert mit Lernseite statt Schimpfecke. Details: Phishing erkennen & Social-Engineering-Schutz.
  3. Onboarding-Modul für neue Kollegen: Pflicht-Schulung in den ersten zwei Wochen, vor dem ersten produktiven Tag. Sichert Baseline-Wissen über alle Eintritte hinweg.
  4. Messung, Reporting, Eskalation: Klickrate, Meldequote, Quiz-Ergebnisse pro Abteilung — monatlich an die Geschäftsleitung. Ohne KPI kein NIS2-Nachweis.

Wer alle vier Bausteine professionell betreiben will, lagert die Steuerung sinnvoll an die Cybersecurity-Themenseite aus — oder kombiniert es mit einem Blick auf NIS-2 Beratung Hamburg für die Compliance-Klammer.

Das schwächste Glied der IT-Sicherheit sitzt im Büro nebenan. Nicht weil Mitarbeiter dumm wären — sondern weil Phishing-Mails 2026 so gut gemacht sind, dass ein normaler Tag kaum reicht, um drei davon zu erkennen. Wer das ändern will, braucht ein System. Eine Schulung im Jahr ist keins.

Die Bedrohungslage — und warum Awareness messbar wirkt

Die Bitkom-Studie „Wirtschaftsschutz 2025” beziffert den Schaden durch Cyberangriffe auf die deutsche Wirtschaft auf 178 Milliarden Euro im Jahr 2024 — ein Rekordwert. 81 Prozent der befragten Unternehmen waren betroffen. Bei den allermeisten lief der Erstangriff über eine E-Mail.

Was selten erwähnt wird: Awareness-Trainings senken die Phishing-Klickrate nachweisbar. Branchenwerte aus Anbieter-Reports liegen bei Startwerten zwischen 25 und 35 Prozent. Nach sechs Monaten konsequentem Programm fallen sie auf 5 bis 10 Prozent. Das ist kein Marketing — das ist Statistik aus großen Echtdaten-Mengen.

178 Mrd. €
Schaden 2024 (Bitkom)
25–35%
Klickrate vor Training
5–10%
Klickrate nach 6 Monaten

Was wirklich funktioniert — und was wir verbrennen

Was nicht wirkt:

Jährliche PowerPoint-Pflichtschulungen mit Multiple-Choice am Ende. Reine Compliance-Häkchen, die niemand ernst nimmt. Phishing-Tests, die nach dem Klick einfach eine Schimpf-Seite zeigen, ohne Lerneffekt. Studien aus den letzten fünf Jahren sind eindeutig: Hier wird Geld verbrannt.

Was wirkt:

  • Microlearning. Lernhäppchen von 3 bis 8 Minuten, monatlich, mit kurzem Quiz. Niedrige Eintrittsschwelle, hohe Wiederholung.
  • Phishing-Simulationen. Realistische Test-Mails, die in Frequenz und Schwierigkeit ansteigen. Wer klickt, landet auf einer Lernseite — nicht in der Schimpfecke.
  • Branchen-Szenarien. Eine Anwaltskanzlei bekommt beA-Phishing, eine Spedition CMR-Fake-Aufträge, eine Praxis KIM-Mails mit Malware. Generische Inhalte verpuffen.
  • Schnelles Feedback. Wer ein Phishing meldet, bekommt innerhalb von Minuten ein „Danke, korrekt erkannt" oder „leider war es echt, wir prüfen". Erzeugt Reflex.
  • Klare Meldewege. Ein Button in Outlook, der die verdächtige Mail an IT-Security forwarded und gleichzeitig im Postfach archiviert.

Die Toolauswahl 2026: KnowBe4, SoSafe, Hornetsecurity

Drei Anbieter dominieren den deutschsprachigen Markt für Awareness-Plattformen. Sie unterscheiden sich in Inhalt, Hosting und Integrationstiefe.

AnbieterStärkenHostingLizenz/Nutzer/Monat
KnowBe4Größte Phishing-Bibliothek, viele Branchen-TemplatesUSA / EU optional3,50 – 5 €
SoSafeNative deutsche Inhalte, DSGVO-stark, gutes MicrolearningDeutschland3 – 6 €
Hornetsecurity SASEnge M365-Integration, Spear-Phishing-SimulationenDeutschland2,50 – 4 €

Für deutsche Mittelständler empfehlen wir meist SoSafe oder Hornetsecurity — weil deutsche Datenhaltung Compliance erleichtert und die Inhalte ohne Übersetzung passen. KnowBe4 spielt seine Stärken vor allem in internationalen Konzernen aus.

Mitarbeiter mit Laptop bei einem Security-Awareness-Training im Büro
Awareness funktioniert dort, wo sie Teil des Arbeitsalltags wird — nicht als jährlicher Pflichttermin.

Ein realistisches 90-Tage-Programm

Wer Awareness neu aufsetzt, sollte nicht groß denken, sondern in Phasen.

  1. Tag 1–14 — Baseline messen: Eine unangekündigte Phishing-Simulation, um die Ist-Klickrate zu kennen. Geschäftsleitung macht mit. Ergebnisse vertraulich, keine Schuldzuweisungen.
  2. Tag 15–30 — Kickoff: Eine kurze All-Hands-Information (15 Minuten), warum das Programm läuft, was sie erwartet und wer der interne Ansprechpartner ist. Phishing-Reporter-Button in Outlook ausrollen.
  3. Tag 31–60 — Erstes Microlearning-Modul: Phishing erkennen, sicheres Passwort-Management, MFA. 5 bis 8 Minuten pro Mitarbeiter. Erste echte Simulation als Lern-Aufhänger.
  4. Tag 61–90 — Branchen-Vertiefung: Szenario aus der eigenen Branche. Auswertung an Geschäftsleitung. Plan für nächste 12 Monate festlegen.

„Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos."

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

MFA ist die technische Klammer, Awareness ist die menschliche. Beides zusammen verhindert die allermeisten Angriffe.

NIS2 und DSGVO — was Sie nachweisen müssen

NIS2 ist seit Oktober 2024 in Kraft und betrifft je nach Lesart 30.000 bis 40.000 Unternehmen in Deutschland direkt. Artikel 21 fordert explizit: Schulungen für alle Beschäftigten und die Geschäftsleitung. Bei Verstößen drohen Bußgelder und persönliche Haftung der Geschäftsführer.

Die DSGVO verlangt in Art. 32 angemessene technische und organisatorische Maßnahmen. Ein dokumentiertes Awareness-Programm gehört dazu — Aufsichtsbehörden fragen das in fast jedem DSGVO-Audit ab.

Wer prüfen will, ob das eigene Unternehmen unter NIS2 fällt: NIS2-Betroffenheits-Check liefert in zwei Minuten eine Ampel-Antwort.

Wichtig:

Dokumentation ist Teil des Schutzes. Ein Awareness-Programm ohne Reporting bringt im Audit nichts. Wer den Lernfortschritt, die Phishing-Klickraten und die Meldequoten nicht messen kann, hat formal kein Programm — egal wie viele Mails verschickt wurden.

Die kulturelle Dimension

Awareness ist zur Hälfte Technik, zur anderen Hälfte Kultur. Wer Mitarbeiter bei Fehlklicks bloßstellt, zerstört die Meldebereitschaft. Genau dann werden Vorfälle verschwiegen — und der nächste echte Angriff bleibt unentdeckt, bis es brennt.

Was Geschäftsführung tun kann:

  • Vorbild sein. Vorstand und Geschäftsleitung machen alle Tests mit. Sichtbar. Auch wenn sie peinlich werden.
  • Fehler entstigmatisieren. „Ich bin auch reingefallen” ist die wirksamste Botschaft, die ein Geschäftsführer senden kann.
  • Meldungen feiern. Wer ein echtes Phishing meldet, bekommt Anerkennung. Idealerweise öffentlich, im Intranet oder Team-Meeting.

Wir wären ein leichtes Opfer — das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie.

Frank Schröder · Geschäftsführer, Maschinenbau/Hydraulik, 35 Mitarbeiter

Genau dieses Gefühl haben viele Geschäftsführer. Awareness ist die mit Abstand günstigste Sicherheitsmaßnahme — und die am häufigsten unterschätzte. Ein gutes Programm kostet weniger als ein einziger Tag Stillstand nach Ransomware.

Verwandte Themen

Branchen-Beispiele: Was wirklich getestet werden muss

Generische Awareness-Inhalte rauschen am Mitarbeiter vorbei. Branchen-spezifische Szenarien bleiben hängen — weil sie aus dem eigenen Alltag kommen.

Das Schöne an Anbietern wie SoSafe und Hornetsecurity: Diese Szenarien sind als fertige Templates buchbar. Sie müssen das Rad nicht neu erfinden.

Das Wichtigste: Awareness-Trainings sind 2026 keine Kür, sondern NIS2-Pflicht. Was wirkt: monatliche Phishing-Simulationen, Microlearning, klare Meldewege, Geschäftsleitung als Vorbild. Was nicht wirkt: jährliche PowerPoint-Pflichtschulungen. Bei 50 Mitarbeitern liegen die Lizenzkosten bei 3 bis 6 Euro pro Nutzer und Monat — ein Bruchteil eines einzigen Ransomware-Schadens.

Fazit: Awareness ist Pflicht, nicht Kür

2026 gibt es keinen Grund mehr, ohne strukturiertes Awareness-Programm zu arbeiten. Die Tools sind ausgereift, die Inhalte deutsch, die Kosten überschaubar. Wer jetzt anfängt, hat in sechs Monaten messbar weniger Risiko — und im NIS2-Audit eine ehrliche Geschichte zu erzählen.

Wir setzen Awareness-Programme als Teil unserer Managed IT-Services Hamburg auf — inklusive Tool-Auswahl, Onboarding und monatlichem Reporting an die Geschäftsleitung. Für Hamburger Kunden kombinieren wir das oft mit unserem Vor-Ort-Profil als IT-Systemhaus Hamburg — kurze Wege, persönliche Übergabe, klare Zuständigkeit. Wer das selbst stemmen will, kann auch das. Wichtig ist nur, dass es überhaupt passiert.

Awareness-Programm aufsetzen oder schärfen?

15 Minuten. Kostenlos. Wir zeigen Ihnen, welcher Anbieter zu Ihrer Branche passt und was die ersten 90 Tage sinnvoll sind.

Erstgespräch buchen →
Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Gesundheit
Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Für ein KMU mit 50 Mitarbeitern liegt die Anbieter-Lizenz typisch bei 3 bis 6 Euro pro Nutzer und Monat. Dazu kommen einmalig Setup-Kosten und intern etwa zwei bis vier Stunden Aufwand pro Monat für Steuerung und Nachfassen. Rechnet sich gegenüber einem einzigen erfolgreichen Phishing-Angriff um den Faktor 100.

KnowBe4 ist Marktführer mit der größten Phishing-Bibliothek, SoSafe punktet mit deutschsprachigen Inhalten und DSGVO-konformem Hosting in Deutschland, Hornetsecurity Security Awareness Service ist eng mit Microsoft 365 integriert. Wir empfehlen für deutsche Mittelständler meist SoSafe oder Hornetsecurity — wegen Datenhaltung und Lokalisierung.

Monatlich, mit wechselnden Szenarien. Wer alle drei Monate eine Test-Mail schickt, lernt nicht. Die Klickrate sinkt nur, wenn die Mitarbeiter regelmäßig herausgefordert werden — idealerweise mit Szenarien aus der eigenen Branche.

Nein. Eine jährliche 60-Minuten-Schulung wird nach zwei Wochen vergessen. Was wirkt: Microlearning in kurzen Häppchen (5 bis 10 Minuten), kombiniert mit Phishing-Simulationen und gezielten Reaktionen auf Fehlklicks.

Über die Phishing-Klickrate als zentrale KPI. Startwerte liegen typisch bei 25 bis 35 Prozent. Nach sechs Monaten konsequentem Training sind 5 bis 10 Prozent realistisch. Ergänzend: Meldequote über den Phishing-Reporter und Quiz-Ergebnisse pro Abteilung.

Nicht bloßstellen. Wir empfehlen ein abgestuftes Verfahren: Erste Auffälligkeit — automatisches Microlearning. Zweite — persönliches Gespräch mit IT-Beauftragtem. Dritte — gezielte Einzelschulung. Wer das mit Strafen koppelt, zerstört die Meldebereitschaft.

Geschäftsführung macht zuerst mit. Wir sehen oft, dass die Vorstandsetage von Phishing-Tests ausgenommen wird — genau die Gruppe, die am gefährdetsten ist (CEO-Fraud). Ohne sichtbares Top-Down-Commitment fehlt das Signal an die Belegschaft.

Phishing-Erkennung, Passwort-Hygiene, MFA, Umgang mit USB-Sticks und mobilen Geräten, Datenschutz-Grundlagen, sicheres Verhalten im Homeoffice und ein klar definierter Meldeweg bei Vorfällen. Branchenspezifische Themen — etwa beA bei Anwälten oder TI bei Arztpraxen — kommen on top.

Ja. NIS2 fordert in Artikel 21 explizit Schulungen für alle Beschäftigten und Geschäftsleitung. Die DSGVO verlangt in Art. 32 angemessene technische und organisatorische Maßnahmen — dazu gehören dokumentierte Awareness-Programme. Wer nichts macht, riskiert Haftung.

Tools sind gut bedienbar und lassen sich grundsätzlich selbst betreiben. Aber: Erfolgreiche Programme leben von der inhaltlichen Steuerung, der Auswertung und der Anpassung an die eigene Branche. Wer dafür keine 4 bis 6 Stunden pro Woche intern hat, fährt mit einem externen Partner besser.

Sicherheitsbewusstsein (Security Awareness) beschreibt das Wissen und die Verhaltensweisen von Mitarbeitenden bezüglich IT-Sicherheit — also Phishing erkennen, mit Passwörtern und MFA umgehen, verdächtige Vorgänge melden. 2026 ist es kein „Soft Skill" mehr, sondern Pflichtbestandteil eines NIS2-konformen Sicherheitskonzepts (Art. 21).

Für deutsche KMU mit 20 bis 250 Mitarbeitern empfehlen wir 2026 SoSafe (deutschsprachige Inhalte, DSGVO-Hosting in Deutschland) oder Hornetsecurity Security Awareness Service (M365-Integration, Spear-Phishing-Simulationen). KnowBe4 ist Marktführer und hat die größte Bibliothek — passt vor allem in internationale Umgebungen. Lizenzkosten liegen bei 2,50 bis 6 € pro Nutzer und Monat.

Phishing-Simulation: 4 bis 12 Mal pro Jahr — also mindestens quartalsweise, idealerweise monatlich mit wechselnden Szenarien. Awareness-Microlearning: monatlich 5 bis 10 Minuten pro Mitarbeiter. Zusätzlich ein Onboarding-Modul für jeden neuen Kollegen in den ersten zwei Wochen. Eine jährliche Pflichtschulung allein wirkt messbar nicht.

Das könnte Sie auch interessieren

IT-Insights

Maklerbüro Hamburg: IT-Stack 2026 für Immobilienprofis
IT-Insights

Hafen-IT 4.0: Die Digitalisierung der Hamburger Logistik 2026
IT-Insights

n8n vs Make vs Microsoft Power Automate: Workflow-Tools 2026 für Hamburger KMU