Insights

Security Awareness Training.

Wichtig, aber kein Schutzkonzept.

Direkt Termin vereinbaren

Autoren & Experten

Christian Hansen

Geschäftsführer coliex systems

Artikel teilen

Security Awareness

Security Awareness Training – wichtig, aber kein Schutzkonzept

Warum Schulungen allein Ihr Unternehmen nicht schützen – und was wirklich hilft

Security Awareness Trainings gehören heute in fast jedem Unternehmen zum Standard. Versicherer fordern sie. Compliance-Frameworks empfehlen sie. Und aus Haftungsperspektive sind sie schlicht unerlässlich: Wer nachweisen kann, dass Mitarbeitende regelmäßig geschult wurden, steht im Ernstfall deutlich besser da.

Soweit, so richtig.

Aber nach drei Jahren Erfahrung mit Awareness-Trainings und Phishing-Simulation in realen Unternehmensumgebungen müssen wir eine unbequeme Wahrheit aussprechen:

Der Lerneffekt ist nahezu Null.

Was die Praxis wirklich zeigt

Phishing-Simulationen sind ein gutes Messinstrument. Und genau deshalb sind die Ergebnisse so ernüchternd.

Typische Muster, welche wir immer wieder beobachten:

Kurz nach einem Training sinkt die Klickrate auf simulierte Phishing-Mails spürbar.
Wenige Wochen später sind die Zahlen wieder auf dem alten Niveau.
Dieselben Mitarbeitenden, die gerade geschult wurden, klicken auf dieselben schlecht gemachten Mails – mit denselben Merkmalen, die im Training explizit besprochen wurden.

Und die naheliegenden Reaktionen – die Frequenz erhöhen, monatliche Simulationen, kürzere Abstände – lösen das Problem nicht. Auch bei monatlichen Phishing-Mails und regelmäßigen Kurztrainings flacht die Lernkurve schnell ab. Der initiale Effekt verpufft. Die Zahlen pendeln sich auf einem Niveau ein, das kaum besser ist als der Ausgangswert.

Das ist kein Versagen der Mitarbeitenden. Es ist ein strukturelles Problem des Ansatzes.

Menschen sind keine Sicherheitssysteme. Sie sind abgelenkt, unter Zeitdruck, in Routinen gefangen. Die Vorstellung, dass Schulungen und Simulationen – egal in welcher Frequenz – dauerhaft sicherheitsbewusstes Verhalten erzeugen, widerspricht dem, was wir über menschliches Lernen und Verhalten wissen.

Das „Haken dran“-Problem

Hier liegt das eigentliche Risiko – nicht das fehlende Training, sondern das falsche Sicherheitsgefühl, das es erzeugt.

Szenario 1: Das Training findet statt

Das Unternehmen hakt „Security Awareness“ in der Checkliste ab. Die Compliance-Anforderung ist erfüllt. Intern gilt das Thema als erledigt.

Tatsächlich bedeutet es häufig nur: Die Mitarbeitenden haben eine Schulung absolviert – nicht, dass sie im Ernstfall richtig reagieren.

Szenario 2: Die Phishing-Simulation läuft gut

Die Klickrate ist niedrig, der Report sieht gut aus. Was er nicht zeigt: Wie verhält sich dieselbe Belegschaft in vier Wochen? Unter echtem Arbeitsdruck? Bei einer gut gemachten, personalisierten Angriffs-Mail?

Awareness-Training ist kein Schutzschild. Es ist ein Beitrag zur Sicherheitskultur – aber kein Ersatz für ein Schutzkonzept.

Austausch mit der coliex systems

Was Awareness-Training nicht leisten kann

Trainings adressieren den menschlichen Faktor – aber sie lösen die eigentlichen Sicherheitsprobleme nicht:

Technische Angriffsvektoren bleiben offen

Eine gut gemachte Phishing-Mail, die durch kein Mail-Filtering gefiltert wird, ist auch für geschulte Mitarbeitende schwer zu erkennen.

Kein Training schütz vor gestohlenen Zugangsdaten

Wer keine Multi-Faktor-Authentifizierung (MFA) hat, ist nach einem erfolgreichen Phishing-Angriff sofort kompromittiert – egal wie gut geschult die betroffene Person war. Aber auch MFA allein reicht nicht: Moderne Angriffe fangen aktive Sitzungen ab und umgehen den zweiten Faktor vollständig. Die einzige belastbare Antwort darauf ist phishing-resistente Authentifizierung – also FIDO2.

Kein Training verhindert laterale Bewegung

Wenn ein Angreifer erstmal im Netzwerk ist, entscheiden Segmentierung, Berechtigungsstrukturen und Endpoint-Schutz – nicht das Sicherheitsbewusstsein der Belegschaft.

Kein Training rettet Sie, wenn alle Stricke reißen

Am Ende jeder Sicherheitskette steht das Backup. Wer im Ernstfall nicht zu 100 % sicher sein kann, dass seine Backups funktionieren und wiederherstellbar sind, hat ein Problem, das kein Training der Welt löst. Ein belastbares, regelmäßig getestetes Backup ist keine Option – es ist die letzte Absicherung, wenn alles andere versagt hat.

Kurz gesagt: Awareness-Training reduziert die Wahrscheinlichkeit, dass ein Angriff erfolgreich beginnt – aber es begrenzt nicht den Schaden, wenn er trotzdem gelingt.

Was wirklich hilft: Der Dreiklang aus Schulung, Simulation und Technik

Awareness-Training hat seinen Platz – aber nur als Teil eines durchdachten Konzepts.

1. Phishing-Simulationen: sinnvoll als Messinstrument – nicht als Schutzmaßnahme

Simulationen haben ihren Platz – aber nicht als Allheilmittel. Sie sind ein nützliches Werkzeug, um den Status quo zu messen und Bewusstsein zu schärfen. Als eigenständige Schutzmaßnahme taugen sie nicht: Die Lernkurve flacht auch bei hoher Frequenz schnell ab.

Wer Simulationen einsetzt, sollte das mit klaren Erwartungen tun – und sie konsequent mit technischen Maßnahmen kombinieren, die den Menschen dort entlasten, wo Training schlicht nicht ausreicht.

2. Technische Schutzmaßnahmen, die den Menschen entlasten

Der Mensch sollte die letzte Verteidigungslinie sein – nicht die einzige. Dazu gehören:

Mail-Filtering und Anti-Phishing-Mechanismen, die verdächtige Mails gar nicht erst zustellen.

Phishing-sichere Authentifizierung – und hier ist Vorsicht geboten: Standard-MFA reicht heute nicht mehr aus. Moderne Angriffe schalten sich unbemerkt zwischen Nutzer und Anmeldeseite – sie fangen die Sitzung in dem Moment ab, in dem der zweite Faktor eingegeben wird, und umgehen MFA damit vollständig. Auch M365-Konten sind davor nicht geschützt. Wer wirklich geschützt sein will, braucht FIDO2-basierte Authentifizierung (z. B. Hardware-Token oder Passkeys) – diese sind konstruktionsbedingt gegen solche Angriffe immun. Wo FIDO2 nicht unterstützt wird – und das ist in vielen Anwendungen noch Realität – helfen Passwort-Manager und konsequent unterschiedliche, zufällig generierte Passwörter pro Dienst. Damit wird verhindert, dass ein kompromittiertes Konto zum Generalschlüssel wird.
EDR/XDR, das Angriffe erkennt und eindämmt, bevor sie sich ausbreiten.

Conditional Access, der Zugriff auf Basis von Kontext und Risiko steuert – zum Beispiel, indem Logins grundsätzlich nur aus Deutschland erlaubt sind. Für Mitarbeitende, die sich temporär im Ausland aufhalten, lassen sich gezielte Ausnahmen definieren, ohne die Regel für alle aufzuweichen.

3. Eine ganzheitliche Sicherheitsstrategie, die beides verbindet

Trainings und Technik wirken am stärksten, wenn sie aufeinander abgestimmt sind. Das bedeutet: verstehen, wo die größten Risiken liegen, welche technischen Lücken bestehen – und wie Schulungsmaßnahmen gezielt dort ansetzen, wo der Mensch tatsächlich der entscheidende Faktor ist.

Austausch mit der coliex systems

Quick Check: Verlassen Sie sich zu stark auf Awareness-Training?

Wenn Sie mehr als zwei bis drei Fragen mit „Nein“ beantworten, ist die Wahrscheinlichkeit hoch, dass Ihr Unternehmen mit einem Training-only-Ansatz ein trügerisches Sicherheitsgefühl hat:

Haben Sie phishing-sichere Authentifizierung im Einsatz – also FIDO2/Passkeys, nicht nur klassische MFA? Und wo FIDO2 nicht möglich ist: nutzen Ihre Mitarbeitenden Passwort-Manager mit individuellen Passwörtern pro Dienst?
Werden eingehende Mails aktiv auf Phishing-Indikatoren gefiltert – nicht nur auf Spam?
Gibt es Endpoint Detection & Response (EDR) auf allen Clients?
Laufen Phishing-Simulationen regelmäßig – mindestens quartalsweise?
Wissen Sie, was passiert, wenn ein Mitarbeitender trotzdem klickt? Gibt es klare Meldewege und eine Reaktionsroutine?
Sind Netzwerksegmentierung und Berechtigungsstrukturen so gestaltet, dass ein einzelner kompromittierter Account keinen vollständigen Schaden anrichten kann?

Was Sie jetzt tun können

Awareness-Training weiterhin durchführen – aus Compliance- und Haftungsgründen ist das richtig und wichtig. Aber interpretieren Sie es als das, was es ist: ein Baustein, kein Fundament.
Kontinuierliche Phishing-Simulationen einführen, die nicht einmal im Jahr stattfinden, sondern dauerhaft und mit sofortigem Lernfeedback. Das ist der einzige simulationsbasierte Ansatz, der überhaupt Wirkung zeigt.
Technische Schutzmaßnahmen prüfen und schließen. Wo hat ein erfolgreicher Klick heute welche Konsequenzen? Welche technischen Barrieren fehlen, um den Schaden zu begrenzen?
Eine ganzheitliche Strategie entwickeln, die Menschen und Technik zusammendenkt – und klar beantwortet: Wo sind unsere größten Risiken, und was bringt den größten Effekt?

Wir unterstützen Sie dabei

Sie möchten wissen, ob Ihr aktueller Ansatz bei Security Awareness wirklich schützt – oder nur Compliance erfüllt?

Wir analysieren mit Ihnen gemeinsam, wo die echten Risiken liegen, welche technischen Maßnahmen fehlen und wie ein Schulungskonzept aussehen muss, das tatsächlich wirkt. Dabei unterstützen wir Sie auch konkret dabei, Ihre M365-Zugänge mit FIDO2 phishing-resistent abzusichern – und wo nötig Ihren VPN-Zugang über SSO gegen M365 abzusichern, sodass auch dieser Einstiegspunkt nicht mehr über klassische Phishing-Methoden kompromittiert werden kann.

Vereinbaren Sie einfach einen Termin via Teams.

Termin vereinbaren

„Viele Unternehmen investieren viel Zeit und Geld in Awareness-Trainings – und fühlen sich danach sicherer, als sie tatsächlich sind. Genau das ist das Problem. In der Praxis sehen wir immer wieder: Der Effekt ist kurzfristig, die Risiken bleiben bestehen.
Echte Sicherheit entsteht nicht durch Wissen allein, sondern durch Systeme, die Fehler verzeihen. Wer den Menschen zur Hauptverteidigung macht, hat das Prinzip moderner IT-Sicherheit nicht verstanden.“

Christian Hansen, Geschäftsführer coliex systems

Profil anzeigen

Was wir tun

Die 4 wesentlichen Erfahrungen unserer Mandanten

100%

Ergebnis

Sie erhalten ein umfassendes Marktangebot zu allen hier vorgestellten Finanzinstrumenten. Ihre qualitative und quantitative Beurteilung, sowie zahlreiche Optimierungsvorschläge, verbessern Ihr Risikomanagement im Unternehmen signifikant.

Stress

Unsere Vorleistung zur Beurteilung unserer Expertise ist kostenfrei. Für die Analyse selbst stellen Sie uns wesentliche Informationen Ihres Unternehmens zur Verfügung. Alles andere machen wir.

90%

Besser

Unsere Erfahrungen und Daten aus mehr als 14.000 Projekten zeigen: in 90% unserer Analysen arbeiten wir wesentliche qualitative Verbesserungen zum IST-Stand heraus.

85%

Günstiger

Auch auf der Preisseite zeigen unsere Daten erhebliches Verbesserungspotential. In 85 % unserer Analysen führt unsere SOLL-Beurteilung zu einer Steigerung Ihrer wirtschaftlichen Attraktivität.

Jetzt Kontakt aufnehmen

FAQ – Häufige Fragen

Hier finden Sie Antworten auf zentrale Themen – kompakt, verständlich und praxisnah. Gerne stehen wir Ihnen auch persönlich für ein Gespräch zur Verfügung.

Jetzt kontaktieren

Sind Security Awareness Trainings überhaupt noch sinnvoll?

Ja – aber mit der richtigen Erwartungshaltung. Trainings sind wichtig für Compliance, Haftung und die allgemeine Sicherheitskultur. Sie reduzieren die Wahrscheinlichkeit eines erfolgreichen Angriffs, ersetzen jedoch kein ganzheitliches Schutzkonzept.

Warum reicht regelmäßiges Training allein nicht aus?

Weil menschliches Verhalten nicht dauerhaft durch Schulungen gesteuert werden kann. Mitarbeitende stehen unter Zeitdruck, sind abgelenkt und handeln oft routiniert. Selbst gut geschulte Personen machen in realistischen Angriffssituationen Fehler – besonders Wochen nach einem Training.

Was bringt mehr Sicherheit als zusätzliche Trainings?

Technische Maßnahmen haben den größten Effekt: modernes Mail-Filtering, phishing-resistente Authentifizierung (z. B. FIDO2), EDR/XDR-Systeme, saubere Berechtigungsstrukturen und funktionierende Backups. Diese reduzieren nicht nur die Angriffsfläche, sondern begrenzen auch den Schaden im Ernstfall.

Wie sollte ein wirksames Sicherheitskonzept aussehen?

Ein effektives Konzept kombiniert drei Elemente:

Schulung (für Bewusstsein und Compliance)
Simulation (als Messinstrument, nicht als alleinige Lösung)
Technik (als zentrale Schutzmaßnahme)

Erst das Zusammenspiel dieser Komponenten schafft nachhaltige Sicherheit.

Weitere Insights

Mehr zum Thema Risikomanagement

Unsere Expertinnen und Experten sind für Sie da

Entscheiden Sie, wie Sie mit uns in Kontakt treten möchten. Wir freuen uns Sie kennen zu lernen und an Ihrer Seite zu stehen.

Jetzt Termin sichern

Buchen Sie direkt einen unverbindlichen Kennlerntermin via Teams.

Jetzt Termin buchen

Nachricht senden

Senden Sie uns eine Nachricht. Wir kommen gerne auf Sie zu.

Jetzt Anfrage senden

+49 641 93294 200

Sie erreichen uns von Montag bis Freitags in der Zeit von 08:00 bis 17:00 Uhr.

Jetzt anrufen

Noch nicht bereit für ein Gespräch?

Dann entdecken Sie unsere Whitepaper – mit wertvollen Impulsen für das Management und Menschen in Führungsposition. Erhalten Sie fundiertes Wissen zu aktuellen Herausforderungen im Mittelstand: von effektivem Risikomanagement über regulatorische Anforderungen bis hin zu strategischer Unternehmensführung.

Jetzt kostenlos anmelden