· Mehdi Aroui · Unternehmen  · Lesedauer von ca. 3 Min.

Security-Awareness-Schulung: Warum KMU sie brauchen

Rückblick auf unser Schulungsangebot von 2019 und was davon heute noch gilt: Phishing, Passwortsicherheit und Social Engineering sind für KMU relevanter denn je.

Rückblick auf unser Schulungsangebot von 2019 und was davon heute noch gilt: Phishing, Passwortsicherheit und Social Engineering sind für KMU relevanter denn je.

Rückblick: Dieser Beitrag stammt aus dem Jahr 2019 und dokumentiert ein Schulungsangebot, das Netzleiter damals für Hamburger Unternehmen angeboten hat. Das konkrete Angebot in der damaligen Form ist abgelaufen. Was geblieben ist: Die Notwendigkeit, Mitarbeitende in IT-Sicherheit zu schulen, ist seitdem nicht kleiner geworden.

Was 2019 auf dem Plan stand

Netzleiter bot Computersicherheits-Schulungen für Unternehmen an, inhaltlich anpassbar auf den jeweiligen Bedarf. Themen waren unter anderem:

  • Sicherer Umgang mit E-Mail-Anhängen und Dateitypen
  • Risiken durch unbekannte USB-Speichermedien
  • Erkennung verdächtiger Systemmeldungen und Malware-Hinweise
  • Phishing-Mails von echten Nachrichten unterscheiden
  • Grundlagen zur Passwortsicherheit

Das Angebot richtete sich an Mitarbeitende ohne tiefes IT-Vorwissen. Ziel war, den “Faktor Mensch” als häufigsten Einfallspunkt für Angriffe zu stärken.

Warum der Mensch das schwächste Glied bleibt

Technische Schutzmaßnahmen wie Firewalls, Virenscanner und verschlüsselte Verbindungen sind notwendig, aber nicht hinreichend. Ein Angreifer, der einen Mitarbeitenden per Phishing-Mail dazu bringt, seine Zugangsdaten einzugeben, umgeht die komplette Technik ohne jeden Aufwand.

Laut BSI ist Social Engineering eine der verbreitetsten Angriffsmethoden: Kriminelle geben sich als Vorgesetzte, Lieferanten oder IT-Abteilung aus, erzeugen Zeitdruck und bringen Mitarbeitende dazu, Passwörter herauszugeben, Überweisungen auszulösen oder Schadsoftware zu installieren. Schulungen sind der einzige wirksame Gegenschlag gegen diese Methode, weil keine Software einen Menschen ersetzen kann, der lernt, kritisch zu fragen.

Das BSI beschreibt Social Engineering und Gegenmaßnahmen detailliert und empfiehlt Sensibilisierungsmaßnahmen ausdrücklich als Pflichtbestandteil jedes Sicherheitskonzepts.

Die drei Kernthemen jeder Awareness-Schulung

Phishing erkennen

Phishing-Mails sind 2026 erheblich professioneller als 2019. KI-gestützte Angriffe erstellen personalisierte Nachrichten auf Basis öffentlicher Daten (LinkedIn, XING, Website-Impressum). Merkmale einer Phishing-Mail lassen sich trotzdem trainieren:

  • Absenderadresse genau prüfen, nicht nur den Anzeigenamen
  • Links vor dem Klicken mit der Maus überfahren und die Ziel-URL lesen
  • Dringende Aufforderungen zu Passwortänderungen oder Zahlungen als Warnsignal behandeln
  • Anhänge mit ausführbaren Dateitypen (.exe, .js, .docm) grundsätzlich nicht öffnen

Passwortsicherheit

Schwache Passwörter sind nach wie vor einer der häufigsten Angriffsvektoren. Was damals als guter Rat galt, ist heute Pflicht:

  • Keine Wiederverwendung von Passwörtern zwischen Diensten
  • Passwörter mit mindestens 12 Zeichen, besser Passphrasen verwenden
  • Passwort-Manager im Betrieb einführen
  • Zwei-Faktor-Authentifizierung überall aktivieren, wo es möglich ist

Mehr zu Passwortstandards und deren Entwicklung steht in unserem Beitrag Passwörter der Zukunft.

Social Engineering und CEO-Fraud

Ein Anruf von der “Geschäftsführung” mit der Bitte, schnell eine Überweisung auszulösen. Eine E-Mail vom “IT-Dienstleister”, die nach Zugangsdaten für ein dringendes Update fragt. Diese Szenarien sind keine Ausnahmen, sie gehören zum Alltag vieler KMU. Schulungen schaffen Handlungssicherheit: Mitarbeitende lernen, auch unter Zeitdruck nach einem zweiten Kanal zu fragen, bevor sie handeln.

Was NIS2 dazu sagt

Mit der NIS2-Umsetzung (ab Oktober 2024 in deutsches Recht überführt) sind Schulungen für betroffene Unternehmen kein optionaler Bonus mehr. Artikel 21 der Richtlinie verlangt explizit Maßnahmen im Bereich der Schulung zur Cybersicherheit und Hygiene. Für viele Branchen gilt das direkt, für andere durch Lieferketten-Anforderungen indirekt.

Das BSI hält dazu Infopakete zu NIS-2-Schulungen bereit.

Was Netzleiter heute anbietet

Netzleiter begleitet Hamburger Unternehmen bei der IT-Sicherheit, von der technischen Absicherung bis zur Beratung bei regulatorischen Anforderungen. Ob Sie Fragen zur Umsetzung von Awareness-Maßnahmen haben oder Ihre Cybersecurity-Infrastruktur grundsätzlich prüfen lassen möchten: Sprechen Sie uns an.

040 25 499 500 | support@netzleiter.com

Hinweis: Das 2019 angebotene Schulungspaket in der damaligen Form wird nicht mehr so angeboten. Aktuelle Beratungsleistungen auf Anfrage.

Share:
Back to Blog

Related Posts

View All Posts »
Microsoft 365 Schulungen: Warum sie sich lohnen

Microsoft 365 Schulungen: Warum sie sich lohnen

Wer Cloud-Office einführt, ohne die Mitarbeitenden mitzunehmen, verschenkt den größten Teil des Nutzens. Was gute Schulungen leisten und worauf es bei Microsoft 365 und Google Workspace ankommt.