Stellen Sie sich vor: Ein:e Mitarbeiter:in erhält eine E-Mail, die scheinbar von der vorgesetzten Person stammt – mit einem Link, der völlig harmlos wirkt. Ein Klick genügt – und der Weg für einen schwerwiegenden Sicherheitsvorfall ist geebnet. Was als alltägliche Kommunikation beginnt, kann schnell zur Einfallstür für Phishing, Malware oder Social Engineering werden. In einer Arbeitswelt, in der hybride Arbeitsmodelle, BYOD (Bring Your Own Device) und Cloud-Lösungen zum Alltag gehören, sind es längst nicht mehr nur technische Schwachstellen, sondern vor allem menschliches Verhalten, das Cyberkriminellen Tür und Tor öffnet.

Während Unternehmen hohe Budgets in Firewalls, Intrusion-Detection-Systeme und Endpoint Protection investieren, bleibt ein nicht zu unterschätzender Risikofaktor häufig unberücksichtigt: der Mensch. Es mangelt selten an der Bereitschaft, Sicherheitsrichtlinien zu befolgen – vielmehr fehlt es an kontinuierlichem, praxisnahem Wissen und einem Verständnis für aktuelle Bedrohungsszenarien. Die IT-Infrastruktur kann noch so ausgefeilt sein – wenn Mitarbeiter:innen nicht wissen, worauf sie achten müssen, bleibt sie angreifbar.

Genau hier setzt moderne Security Awareness an. Sie ist kein isoliertes Schulungsformat, sondern ein zentraler Bestandteil einer ganzheitlichen Cybersecurity-Strategie. Ziel ist es, ein tiefes Verständnis für IT-Risiken zu schaffen – dort, wo Angriffe am häufigsten ansetzen: beim Menschen.

Menschlicher Risikofaktor: Schwachstelle oder Sicherheitsressource?

Trotz ausgereifter Technologien wie SIEM-Lösungen (Security Information and Event Management), Zero-Trust-Architekturen und Multi-Faktor-Authentifizierung bleiben Angriffe erfolgreich – weil sie menschliches Verhalten ausnutzen. Angreifer setzen gezielt auf Manipulation durch psychologische Tricks, etwa in Form von CEO-Fraud oder Spear-Phishing. Diese Techniken erfordern keine technischen Exploits – sie zielen direkt auf das Verhalten von Mitarbeiter:innen.

Laut einer Studie von Gartner sind bis zu 82 % aller Datenschutzverletzungen auf unsicheres oder unbeabsichtigtes Verhalten von Mitarbeiter:innen zurückzuführen. Besonders kritisch: 69 % der Befragten geben an, bewusst Sicherheitsrichtlinien zu umgehen – obwohl 63 % selbst einschätzen, dass ihr Verhalten ein Risiko für das Unternehmen darstellt.

Das zeigt deutlich: Wer seine Organisation wirksam schützen will, muss den Menschen stärker in den Mittelpunkt rücken. Das bedeutet nicht nur „mehr Schulung“, sondern ein Umdenken im Sicherheitsverständnis – weg von der Kontrolle hin zur Befähigung.

Security Awareness Trainings: Mehr als nur IT-Schulungen

Ein effektives Awareness-Programm geht weit über die Vermittlung von Regeln hinaus. Es schafft ein Bewusstsein für IT-Sicherheit, das im täglichen Arbeitsumfeld verankert ist – von der Erkennung verdächtiger E-Mails bis zum sicheren Umgang mit mobilen Endgeräten oder Collaboration-Tools wie Microsoft Teams oder Slack.

Studien zeigen, dass Schulungen zur IT-Sicherheit nicht nur Angriffsrisiken reduzieren, sondern auch einen positiven Einfluss auf die Unternehmenskultur haben. Laut Gartner-Daten ist der Handlungsbedarf gross: 65 % der Mitarbeiter:innen öffnen gelegentlich oder häufiger E-Mails, Links oder Anhänge von unbekannten Absender:innen auf ihrem Arbeitsgerät. 63 % speichern ihre Passwörter direkt im Browser – oft ohne Freigabe durch das Unternehmen. Ein durchdachtes Awareness-Programm kann hier entscheidend dazu beitragen, riskantes Verhalten zu minimieren und eine Kultur der gemeinsamen Sicherheitsverantwortung zu fördern.

Was hingegen nicht funktioniert: einmal jährlich ein PDF mit Sicherheitstipps verteilen oder Schulungen „nebenbei“ laufen lassen. Solche Massnahmen verpuffen wirkungslos – insbesondere in komplexen IT-Umgebungen mit Remote-Zugängen, Cloud-Diensten und stark dezentralisierten Teams.

Was wirkt: Moderne Formate, individuelle Ansprache

Um ein nachhaltiges Sicherheitsverhalten zu etablieren, müssen Awareness-Massnahmen verständlich, relevant und wiederholbar sein. Erfolgsfaktoren sind:

  • Individualisierung statt Einheitslösung: Unterschiedliche Rollen und Fachbereiche benötigen unterschiedliche Inhalte. Die IT-Abteilung sollte beispielsweise für Angriffe auf Systemzugänge sensibilisiert werden, während das Management gezielt auf CEO-Fraud und Compliance-Risiken vorbereitet wird.
  • Kontinuität statt Einmalmassnahmen: Cyberbedrohungen entwickeln sich ständig weiter. Daher müssen Schulungsformate regelmässig aktualisiert und mehrmals im Jahr durchgeführt werden – idealerweise im Rahmen einer Lernplattform mit integriertem Feedback-System.
  • Interaktive Formate statt statischer Inhalte: Formate wie Phishing-Simulationen, Microlearning-Module, Video-Trainings oder Gamification erhöhen die Lernbereitschaft und fördern die Merkfähigkeit. Ein interaktives Quiz nach einem Modul bleibt länger im Gedächtnis als eine PowerPoint-Präsentation.
  • Motivation statt Zwang: Sicherheitsbewusstsein lässt sich nicht verordnen – es muss wachsen. Dazu gehört eine wertschätzende Kommunikation und die Einbindung der Mitarbeiter:innen als aktive Mitgestalter:innen der Sicherheitskultur.
  • Erfolgsmessung statt Vermutung: Nur wer regelmässig prüft, wie gut das Wissen verankert ist, kann Massnahmen zielgerichtet verbessern.

Wie CONVOTIS Unternehmen unterstützt

Mit kurzen, praxisnahen Video-Trainings unterstützt CONVOTIS Unternehmen dabei, das Sicherheitsbewusstsein der Mitarbeiter:innen langfristig zu fördern. Die Inhalte sind so konzipiert, dass sie maximal zwölf Minuten dauern und sich leicht in den Arbeitsalltag integrieren lassen – auch mobil oder im Homeoffice.

Das Trainingskonzept basiert auf aktuellen Bedrohungsszenarien, die regelmässig aktualisiert werden – zum Beispiel zu Themen wie Business E-Mail Compromise, Ransomware-Angriffen oder Deepfake-Scams.

Ziel ist es, Mitarbeiter:innen zu befähigen, Risiken frühzeitig zu erkennen und im entscheidenden Moment richtig zu handeln – unabhängig davon, ob es um eine verdächtige Datei in Microsoft SharePoint, einen ungewöhnlichen Login-Versuch oder eine gefälschte Absenderadresse geht.

Durch die regelmässige Wiederholung und den modularen Aufbau wird eine kontinuierliche Lernkurve sichergestellt – und das Bewusstsein wird schrittweise Teil der Sicherheitskultur. Vom Einzelnen bis zur gesamten Organisation entsteht so eine digitale Resilienz.

Sicherheit beginnt beim Bewusstsein

Man kann die beste Firewall einsetzen, Zero-Trust-Konzepte etablieren und alle Systeme auf dem neuesten Stand halten – doch am Ende entscheidet der Mensch. Nicht aus Unwissenheit, sondern weil viele alltägliche Sicherheitsentscheidungen unter Zeitdruck und ohne Kontext getroffen werden.

Deshalb ist Security Awareness das Fundament. Sie gehört dorthin, wo Angreifer am häufigsten ansetzen: in Meetings, im E-Mail-Postfach, am Telefon. Und sie gehört in alle Ebenen eines Unternehmens – nicht nur zur IT-Abteilung, sondern auch ins Controlling, ins Backoffice und in die Chefetage.

Security Awareness endet nicht mit einem Klick auf „verstanden“. Sie beginnt dort, wo Mitarbeiter:innen bereit sind, Verantwortung zu übernehmen – für sich, für ihre Kolleg:innen und für die IT-Sicherheit des gesamten Unternehmens.