Blog · IT-Sicherheit · 8 Min. Lesezeit

IT-Sicherheit: So sensibilisieren Sie Ihre Mitarbeiter effektiv

25. Februar 2026 · Von M365 Schulung

IT-Sicherheit: So sensibilisieren Sie Ihre Mitarbeiter effektiv

85 Prozent aller erfolgreichen Cyberangriffe zielen nicht auf technische Schwachstellen, sondern auf Menschen. Nicht der Firewall-Bug, nicht die ungepatchte Software, nicht die fehlende Verschluesselung ist in der Mehrzahl der Faelle das Einfallstor — sondern ein Mitarbeiter, der auf einen praeparierten Link klickt, ein zu einfaches Passwort verwendet oder vertrauliche Informationen am Telefon preisgibt.

Diese Zahl ist kein Panikmache-Instrument. Sie ist eine nuechterne Realitaet, die sich in den Berichten des Bundesamts fuer Sicherheit in der Informationstechnik (BSI), in den Statistiken von Versicherungen und in den Erfahrungsberichten von IT-Sicherheitsdienstleistern Jahr fuer Jahr bestaetigt. Die Konsequenz ist klar: Technische Sicherheitsmassnahmen sind unverzichtbar, aber ohne die Sensibilisierung der Mitarbeitenden bleiben sie unvollstaendig.

In diesem Artikel zeigen wir Ihnen, welche Angriffsvektoren Ihre Mitarbeitenden kennen muessen, welche fuenf Methoden sich in der Praxis bewaehrt haben und wie Sie eine nachhaltige Sicherheitskultur in Ihrem Unternehmen aufbauen.

Warum der Mensch das schwächste Glied ist

Das ist nicht abwertend gemeint. Menschen sind keine Maschinen — sie treffen Entscheidungen unter Zeitdruck, reagieren auf emotionale Reize und verlassen sich auf Vertrauen. Genau diese menschlichen Eigenschaften machen sich Angreifer zunutze.

Ein typisches Szenario: Eine Mitarbeiterin erhaelt eine E-Mail, die aussieht wie eine Nachricht von Microsoft. Der Betreff lautet “Ihr Konto wird gesperrt — sofortige Aktion erforderlich”. Die E-Mail enthaelt das Microsoft-Logo, eine professionelle Formatierung und einen Link zur vermeintlichen Kontobestaetigung. Unter Zeitdruck und mit dem Wunsch, das Problem schnell zu loesen, klickt die Mitarbeiterin auf den Link und gibt ihre Zugangsdaten ein. In diesem Moment hat der Angreifer Zugriff auf ihr Konto — und ueber Single Sign-On moeglicherweise auf das gesamte Unternehmensnetzwerk.

Dieses Szenario ist kein theoretisches Gedankenspiel. Es passiert taeglich in Unternehmen jeder Groesse. Und es passiert nicht, weil die Mitarbeitenden fahrlässig oder unintelligent waeren. Es passiert, weil sie nicht ausreichend sensibilisiert und geschult wurden.

Die technische Seite der IT-Sicherheit — Firewalls, Endpoint Protection, Netzwerksegmentierung, Patch-Management — ist in den meisten Unternehmen gut aufgestellt. Die menschliche Seite dagegen wird stiefmuetterlich behandelt. Dabei ist sie mindestens ebenso wichtig.

Die fuenf haeufigsten Angriffsvektoren, die Ihre Mitarbeitenden kennen muessen

Bevor Sie Ihre Mitarbeitenden sensibilisieren koennen, muessen diese verstehen, welchen Bedrohungen sie ausgesetzt sind. Abstraktes Wissen ueber “Cyberkriminalitaet” reicht nicht. Die Mitarbeitenden muessen die konkreten Angriffsmethoden kennen, um sie in der Praxis erkennen zu koennen.

1. Phishing-E-Mails

Phishing ist und bleibt der haeufigste Angriffsvektor. Dabei versenden Angreifer massenhaft E-Mails, die legitimen Absendern taeuschend aehnlich sehen — Banken, Paketdienste, Cloud-Anbieter, interne IT-Abteilungen. Das Ziel: Die Empfaenger sollen auf einen manipulierten Link klicken, einen infizierten Anhang oeffnen oder vertrauliche Daten eingeben.

Moderne Phishing-E-Mails sind professionell gestaltet. Die Zeiten offensichtlicher Rechtschreibfehler und dubioser Absenderadressen sind weitgehend vorbei. Heutige Phishing-Mails nutzen echte Logos, korrekte Sprache und psychologische Trigger wie Dringlichkeit (“Ihr Konto wird in 24 Stunden gesperrt”), Autoritaet (“Nachricht von der Geschaeftsfuehrung”) oder Neugier (“Ihre Gehaltsabrechnung fuer Maerz”).

Was Mitarbeitende wissen muessen: Immer den Absender pruefen (nicht den angezeigten Namen, sondern die tatsaechliche E-Mail-Adresse). Bei Links mit der Maus darueber fahren, bevor geklickt wird, um die tatsaechliche URL zu sehen. Bei Zweifeln den vermeintlichen Absender ueber einen anderen Kanal kontaktieren. Niemals Zugangsdaten ueber Links in E-Mails eingeben.

2. Spear-Phishing und CEO-Fraud

Waehrend klassisches Phishing breit gestreut wird, ist Spear-Phishing gezielt auf einzelne Personen oder Unternehmen zugeschnitten. Die Angreifer recherchieren vorab ueber LinkedIn, die Unternehmenswebsite und soziale Medien, um die Nachrichten glaubwuerdig zu personalisieren.

Eine besonders gefaehrliche Variante ist der CEO-Fraud (auch Business Email Compromise genannt): Ein Angreifer gibt sich als Geschaeftsfuehrer oder Finanzvorstand aus und weist einen Mitarbeitenden an, eine dringende Ueberweisung vorzunehmen. Die E-Mail kommt scheinbar von der richtigen Adresse (durch Spoofing oder ein kompromittiertes Konto), der Ton ist bestimmt und die Ueberweisung wird als streng vertraulich bezeichnet.

Was Mitarbeitende wissen muessen: Jede ungewoehnliche Zahlungsanweisung muendlich oder per Telefon beim vermeintlichen Absender bestaetigen — unabhaengig davon, wie dringend die Anfrage formuliert ist. Kein Vorgesetzter wird es als Zeitverschwendung empfinden, wenn eine Sicherheitsrueckfrage zu einer Ueberweisung kommt.

3. Social Engineering

Social Engineering umfasst alle Angriffsmethoden, die menschliche Verhaltensmuster ausnutzen — nicht nur per E-Mail, sondern auch per Telefon, persoenlich oder ueber soziale Medien. Ein Angreifer ruft beispielsweise in der Telefonzentrale an, gibt sich als IT-Dienstleister aus und bittet um Zugangsdaten “fuer eine dringende Wartung”. Oder er erscheint an der Eingangstuer, haelt eine Pizza-Schachtel in der Hand und wird von einem hilfsbereiten Mitarbeitenden ins Gebaeude gelassen (sogenanntes Tailgating).

Was Mitarbeitende wissen muessen: Identitaet immer verifizieren, auch wenn die Person freundlich und vertrauenswuerdig wirkt. Niemals Zugangsdaten am Telefon weitergeben. Unbekannte Personen im Gebaeude ansprechen und nach einer Berechtigung fragen. Lieber einmal zu viel nachfragen als einmal zu wenig.

4. Schwache Passwoerter und Passwort-Wiederverwendung

Trotz jahrelanger Aufklaerung gehoeren “123456”, “Passwort” und der Name des Haustiers zu den meistverwendeten Passwoertern. Noch problematischer als schwache Passwoerter ist die Wiederverwendung: Viele Menschen nutzen dasselbe Passwort fuer private und berufliche Konten. Wird ein privates Konto kompromittiert (etwa durch ein Datenleck bei einem Online-Haendler), haben die Angreifer automatisch Zugriff auf das Firmenkonto.

Was Mitarbeitende wissen muessen: Fuer jedes Konto ein einzigartiges, starkes Passwort verwenden. Einen Passwort-Manager nutzen (die IT-Abteilung sollte eine Unternehmensempfehlung aussprechen). Wo immer moeglich Multi-Faktor-Authentifizierung (MFA) aktivieren. Passwoerter niemals im Klartext notieren, weder auf Haftnotizen am Monitor noch in unverschluesselten Dateien.

5. USB-Drops und physische Angriffe

Ein USB-Stick liegt auf dem Firmenparkplatz oder in der Lobby. Ein neugieriger Mitarbeitender steckt ihn in seinen Rechner, um zu sehen, wem er gehoert. In diesem Moment wird Schadsoftware installiert — oft unbemerkt und ohne sichtbare Reaktion auf dem Bildschirm.

Diese Methode klingt altmodisch, funktioniert aber nach wie vor erschreckend zuverlaessig. Studien haben gezeigt, dass bis zu 48 Prozent aller gefundenen USB-Sticks von den Findern tatsaechlich an einen Computer angeschlossen werden.

Was Mitarbeitende wissen muessen: Niemals unbekannte USB-Sticks, externe Festplatten oder andere Datentraeger an Firmenrechner anschliessen. Gefundene Datentraeger der IT-Abteilung uebergeben. Das gilt auch fuer vermeintliche Werbegeschenke auf Messen oder Konferenzen.

Fuenf bewaehrte Methoden zur Mitarbeitersensibilisierung

Wissen allein reicht nicht. Die Herausforderung besteht darin, dass Mitarbeitende das Gelernte auch im Arbeitsalltag anwenden — unter Zeitdruck, bei Routine-Aufgaben und in unerwarteten Situationen. Die folgenden fuenf Methoden haben sich in der Praxis als besonders wirksam erwiesen.

Methode 1: Regelmaessige Micro-Schulungen statt jaehrlicher Pflichtveranstaltung

Die klassische Security-Awareness-Schulung findet einmal im Jahr statt, dauert zwei Stunden und wird von den Mitarbeitenden als laestige Pflichtveranstaltung empfunden. Der Lerneffekt ist minimal: Nach wenigen Wochen ist das meiste vergessen.

Micro-Schulungen funktionieren anders. Sie dauern 10 bis 15 Minuten, behandeln jeweils ein einziges Thema und werden regelmaessig wiederholt — idealerweise monatlich. Ein typischer Jahresplan koennte so aussehen:

  • Januar: Phishing-E-Mails erkennen (mit aktuellen Beispielen)
  • Februar: Sichere Passwoerter und Passwort-Manager
  • Maerz: Social Engineering am Telefon
  • April: Sicherer Umgang mit mobilen Geraeten
  • Mai: Datenschutz im Homeoffice
  • Juni: CEO-Fraud und Business Email Compromise
  • Juli: Sichere Nutzung von Cloud-Diensten und OneDrive
  • August: Physische Sicherheit (Clean Desk, Bildschirmsperre, Besuchermanagement)
  • September: Meldewege bei Sicherheitsvorfaellen
  • Oktober: (European Cyber Security Month) Wiederholung und Quiz
  • November: Sicherer Umgang mit externen Datentraegern
  • Dezember: Social Engineering in der Weihnachtszeit (erhoehtes Phishing-Aufkommen)

Jede Einheit sollte interaktiv gestaltet sein — mit konkreten Beispielen, kurzen Videos und einem abschliessenden Quiz. In unserer IT-Sicherheit Schulung setzen wir genau diesen Ansatz um.

Methode 2: Simulierte Phishing-Tests durchfuehren

Simulierte Phishing-Tests sind das wirksamste Einzelinstrument zur Sensibilisierung. Dabei versendet die IT-Abteilung (oder ein beauftragter Dienstleister) realistische Phishing-E-Mails an die eigenen Mitarbeitenden und misst, wie viele Personen auf den Link klicken, den Anhang oeffnen oder ihre Daten eingeben.

Der Ablauf eines Phishing-Tests:

  1. Planung: Definieren Sie die Schwierigkeitsstufe (von offensichtlich bis hochprofessionell), den Zeitraum und die Zielgruppe. Informieren Sie die Geschaeftsfuehrung und den Betriebsrat vorab.
  2. Durchfuehrung: Versenden Sie die simulierte Phishing-Mail. Nutzen Sie realistische Szenarien — etwa eine vermeintliche Einladung zu einem Microsoft-Teams-Meeting, eine angebliche SharePoint-Freigabe oder eine Benachrichtigung ueber ein ausstehendes Paket.
  3. Messung: Erfassen Sie die Klickrate, die Eingaberate (bei Formularen) und die Melderate (wie viele Personen die E-Mail als verdaechtig gemeldet haben).
  4. Aufklaerung: Leiten Sie Personen, die auf den Link geklickt haben, sofort auf eine Lernseite weiter. Dort erklaeren Sie, woran die E-Mail als Phishing erkennbar gewesen waere. Kein Blame, kein Shaming — nur Aufklaerung.
  5. Wiederholung: Fuehren Sie Phishing-Tests regelmaessig durch (alle sechs bis acht Wochen) und verfolgen Sie die Entwicklung der Klickrate ueber die Zeit.

Erfahrungswerte zeigen, dass die Klickrate beim ersten Test haeufig bei 20 bis 30 Prozent liegt. Nach sechs Monaten regelmaessiger Tests und begleitender Schulung sinkt sie typischerweise auf unter 5 Prozent.

Wichtig: Simulierte Phishing-Tests duerfen niemals als Disziplinierungsinstrument eingesetzt werden. Es geht um Lernen, nicht um Bestrafung. Wenn Mitarbeitende Angst vor Konsequenzen haben, werden sie verdaechtige E-Mails nicht melden — und genau das wollen Sie vermeiden.

Methode 3: Klare Meldewege etablieren

Ein Mitarbeiter erhaelt eine verdaechtige E-Mail und ist sich unsicher. Was tut er? In vielen Unternehmen gibt es darauf keine klare Antwort. Die Folge: Der Mitarbeiter ignoriert die E-Mail, loescht sie oder klickt doch darauf — aber meldet sie nicht.

Ein funktionierendes Meldesystem besteht aus drei Elementen:

Einfacher Meldeweg: Idealerweise gibt es einen dedizierten Button in Outlook oder Teams, ueber den verdaechtige E-Mails mit einem einzigen Klick an die IT-Sicherheit weitergeleitet werden koennen. Microsoft 365 bietet mit der “Nachricht melden”-Funktion in Outlook bereits eine solche Moeglichkeit, die aber in vielen Unternehmen nicht konfiguriert oder kommuniziert ist.

Keine Schuldzuweisung: Mitarbeitende muessen wissen, dass sie fuer eine Meldung niemals negative Konsequenzen erfahren — auch wenn sich die Meldung als harmlos herausstellt. Im Gegenteil: Jede Meldung sollte positiv bestaetigt werden (“Danke fuer Ihre Aufmerksamkeit, wir pruefen die E-Mail.”). Wenn jemand auf einen Phishing-Link geklickt hat und es sofort meldet, ist der Schaden deutlich geringer als wenn die Person es aus Angst vor Aerger verschweigt.

Schnelle Rueckmeldung: Geben Sie den Meldenden zeitnah eine Rueckmeldung: War die E-Mail tatsaechlich ein Phishing-Versuch? Was waere passiert, wenn geklickt worden waere? Diese Rueckmeldung verstaerkt das Lerneffekt und motiviert zu weiteren Meldungen.

Methode 4: Passwort-Hygiene und Multi-Faktor-Authentifizierung durchsetzen

Sensibilisierung allein reicht bei Passwoertern nicht aus — hier muessen Sie mit technischen Massnahmen nachhelfen.

Passwort-Richtlinien modernisieren: Die veraltete Empfehlung, Passwoerter alle 90 Tage zu aendern und dabei Gross-/Kleinschreibung, Zahlen und Sonderzeichen zu erzwingen, fuehrt nachweislich zu schlechteren Passwoertern (Sommer2025!, Herbst2025!, Winter2025!). Moderne Empfehlungen des BSI und des NIST setzen stattdessen auf laengere Passwoerter (mindestens 14 Zeichen) oder Passphrasen, die nur dann geaendert werden muessen, wenn ein konkreter Verdacht auf Kompromittierung besteht.

Passwort-Manager bereitstellen: Stellen Sie Ihren Mitarbeitenden einen Unternehmens-Passwort-Manager zur Verfuegung und schulen Sie die Nutzung. Ein Passwort-Manager beseitigt das Problem der Passwort-Wiederverwendung, da fuer jedes Konto ein einzigartiges, komplexes Passwort generiert und sicher gespeichert wird.

MFA flaechendeckend aktivieren: Multi-Faktor-Authentifizierung ist die wirksamste Einzelmassnahme gegen kompromittierte Zugangsdaten. Selbst wenn ein Angreifer das Passwort kennt, kommt er ohne den zweiten Faktor (zum Beispiel eine Bestaetigung auf dem Smartphone ueber die Microsoft Authenticator-App) nicht ins Konto. Aktivieren Sie MFA fuer alle Mitarbeitenden und alle Anwendungen — insbesondere fuer Microsoft 365, VPN-Zugaenge und administrative Konten.

Schulung nicht vergessen: Technische Massnahmen allein erzeugen Widerstand, wenn die Mitarbeitenden nicht verstehen, warum sie noetig sind. Erklaeren Sie in einer kurzen Schulung, wie MFA funktioniert, warum es wichtig ist und wie der Einrichtungsprozess ablaeuft. In unserer Microsoft 365 Schulung integrieren wir Sicherheitsthemen immer in den praktischen Kontext.

Methode 5: Sicherheitskultur von oben vorleben

Die wirksamste aller Methoden ist gleichzeitig die am schwersten umzusetzende: eine Sicherheitskultur, die von der Geschaeftsfuehrung aktiv vorgelebt wird.

Wenn die Geschaeftsfuehrung selbst keine MFA nutzt, Passwoerter auf Haftnotizen am Monitor kleben oder vertrauliche Dokumente offen im Drucker liegen laesst, werden alle Schulungsmassnahmen untergraben. Mitarbeitende orientieren sich am Verhalten der Fuehrungskraefte, nicht an Richtlinien-Dokumenten.

Eine gelebte Sicherheitskultur bedeutet:

  • Fuehrungskraefte nehmen an Schulungen teil — sichtbar und aktiv, nicht nur formal
  • Sicherheitsvorfaelle werden offen besprochen, ohne Schuldzuweisung, als Lernchance
  • Sicherheit ist ein regelmaessiges Thema in Teammeetings und in der internen Kommunikation
  • Budget fuer Schulung und Awareness wird nicht als Kostenfaktor betrachtet, sondern als Investition in die Widerstandsfaehigkeit des Unternehmens
  • Mitarbeitende, die Sicherheitsvorfaelle melden oder Verbesserungsvorschlaege einbringen, werden anerkannt

Diese Kultur entsteht nicht ueber Nacht. Sie entwickelt sich ueber Monate und Jahre — durch konsequentes Handeln, regelmaessige Impulse und die sichtbare Prioritaet, die das Thema in der Organisation geniesst.

Checkliste: Die 10 wichtigsten Security-Awareness-Massnahmen

Nutzen Sie diese Checkliste als Grundlage fuer Ihr Security-Awareness-Programm:

  1. Monatliche Micro-Schulungen einfuehren (10 bis 15 Minuten, ein Thema pro Einheit)
  2. Simulierte Phishing-Tests alle sechs bis acht Wochen durchfuehren
  3. Einfachen Meldeweg fuer verdaechtige E-Mails einrichten (Ein-Klick-Meldung in Outlook)
  4. Keine-Schuldzuweisungs-Kultur etablieren (Melden wird belohnt, nicht bestraft)
  5. MFA flaechendeckend aktivieren fuer alle Mitarbeitenden und Anwendungen
  6. Passwort-Manager bereitstellen und die Nutzung schulen
  7. Fuehrungskraefte aktiv in Schulungen einbinden und als Vorbilder positionieren
  8. Onboarding um IT-Sicherheitsmodul erweitern (jeder neue Mitarbeitende wird am ersten Tag sensibilisiert)
  9. Regelmaessige Kommunikation ueber aktuelle Bedrohungen (zum Beispiel Warn-E-Mails bei aktuellen Phishing-Wellen, die das eigene Unternehmen oder die Branche betreffen)
  10. Jaehrliche Evaluation des gesamten Programms mit Anpassung basierend auf Phishing-Test-Ergebnissen, Meldezahlen und Mitarbeiterfeedback

Was tun nach einem Sicherheitsvorfall?

Trotz aller Massnahmen kann es zu einem Sicherheitsvorfall kommen. Entscheidend ist dann die Reaktion. Ein klarer Incident-Response-Prozess sollte allen Mitarbeitenden bekannt sein:

  1. Sofort melden: Den Vorfall unverzueglich an die IT-Abteilung oder den definierten Ansprechpartner melden — auch ausserhalb der Geschaeftszeiten.
  2. Nicht eigenstaendig reparieren: Keine Versuche unternehmen, das Problem selbst zu beheben (zum Beispiel den Rechner neu aufsetzen). Dadurch koennen wichtige Spuren vernichtet werden.
  3. Zugangsdaten aendern: Wenn Zugangsdaten moeglicherweise kompromittiert wurden, alle betroffenen Passwoerter sofort aendern.
  4. Dokumentieren: Alles festhalten, was im Zusammenhang mit dem Vorfall aufgefallen ist: Zeitpunkt, E-Mail-Adresse des Absenders, angeklickte Links, eingegebene Daten.
  5. Ruhe bewahren: Ein Sicherheitsvorfall ist ernst, aber kein Weltuntergang. Je schneller und transparenter reagiert wird, desto geringer der Schaden.

Fazit: Investieren Sie in Ihre menschliche Firewall

Technische Sicherheitsmassnahmen sind die Grundlage. Aber die wirksamste Verteidigung gegen Cyberangriffe sind aufmerksame, geschulte Mitarbeitende. Jeder Euro, den Sie in Security Awareness investieren, zahlt sich um ein Vielfaches aus — in vermiedenen Sicherheitsvorfaellen, in reduziertem Risiko und in einer Organisation, die Bedrohungen fruehzeitig erkennt und richtig reagiert.

Beginnen Sie noch diese Woche mit einer ersten Massnahme. Richten Sie den Phishing-Melde-Button in Outlook ein. Planen Sie die erste Micro-Schulung. Oder fuehren Sie einen Phishing-Test durch, um den aktuellen Stand zu ermitteln. Jeder Schritt zaehlt.

Sie moechten Ihre Mitarbeitenden systematisch fuer IT-Sicherheit sensibilisieren? In unserer IT-Sicherheit Schulung vermitteln wir praxisnahes Sicherheitswissen — von Phishing-Erkennung ueber Passwort-Hygiene bis hin zu sicherem Arbeiten mit Microsoft 365. Die Schulung ist fuer alle Mitarbeitenden geeignet, unabhaengig von technischem Vorwissen.

Fuer Unternehmen, die Microsoft 365 im Einsatz haben, bieten wir die Sicherheitsthemen auch integriert in unsere Microsoft 365 Schulung an — damit Ihre Mitarbeitenden nicht nur produktiver, sondern auch sicherer arbeiten.

Kontaktieren Sie uns fuer ein unverbindliches Beratungsgespraech. Wir entwickeln gemeinsam ein Schulungskonzept, das zu Ihrem Unternehmen passt.

Microsoft 365 Schulung für Ihr Unternehmen

Kompakte Video-Kurse zu Outlook, Teams, SharePoint, OneDrive und Copilot. Ab 2,20 €/User/Monat.

Kostenloses Beratungsgespräch Alle Kurse ansehen