Security Awareness in Zahlen: Warum Mitarbeitende die Hauptzielscheibe sind

Cyberangriffe gehören heute zu den grössten Risiken für Unternehmen. Obwohl viel in Technologie und IT-Sicherheit investiert wird, bleibt der menschliche Faktor häufig unterschätzt.

7 Q7 A5041
Melanie Hofstetter
Melanie Hofstetter

Viele Cyberattacken beginnen nicht mit einer technischen Sicherheitslücke im System, sondern mit einer scheinbar harmlosen E-Mail. Ein Klick auf einen Phishing-Link oder eine täuschend echte Nachricht kann bereits genügen, um Angreifern Zugriff auf ein System zu verschaffen.

Genau hier setzt Security Awareness Training an. Ziel ist es, Mitarbeitende zu sensibilisieren, ihr Sicherheitsbewusstsein zu stärken und ihnen zu helfen, Cyberbedrohungen frühzeitig zu erkennen und angemessen darauf zu reagieren. Ein hohes Sicherheitsniveau entsteht dort, wo Technologie und menschliches Verhalten zusammenwirken.

Warum Mitarbeitende ein zentrales Cybersecurity-Risiko darstellen #

In vielen Unternehmen wird Cybersecurity noch immer primär als technisches Thema betrachtet. Firewalls, E-Mail-Filter oder Endpoint-Schutz sind wichtige Bestandteile moderner IT-Sicherheit und tragen erheblich zum Schutz der Infrastruktur bei.

Dennoch zeigt die Praxis, dass viele erfolgreiche Cyberangriffe nicht über technische Sicherheitslücken erfolgen, sondern über Menschen. Angreifer versuchen gezielt, Mitarbeitende zu manipulieren, um Zugriff auf Systeme, Daten oder interne Informationen zu erhalten.

Dabei nutzen sie typische Situationen aus dem Arbeitsalltag. Zeitdruck, Routine oder Vertrauen in bekannte Absender führen dazu, dass Entscheidungen schnell getroffen werden. Genau diese menschlichen Faktoren machen Organisationen anfällig für Social-Engineering-Angriffe. (Social Engineering ist die gezielte Manipulation von Menschen, um Sicherheitsmechanismen zu umgehen.)

Der menschliche Faktor ist deshalb einer der zentralen Aspekte moderner Cybersecurity. Mitarbeitende können sowohl ein Risiko darstellen als auch eine wichtige Verteidigungslinie gegen Cyberangriffe sein. Security Awareness Training hilft Unternehmen dabei, dieses Risiko zu reduzieren, das Sicherheitsbewusstsein zu stärken und eine nachhaltige Sicherheitskultur aufzubauen.

Warum Phishing weiterhin eine der grössten Cyberbedrohungen bleibt #

Phishing gehört nach wie vor zu den häufigsten Einstiegspunkten für Cyberangriffe. Ein erfolgreicher Angriff kann Angreifern Zugriff auf Benutzerkonten, interne Systeme oder sensible Unternehmensdaten verschaffen.

In vielen Fällen dient Phishing als Ausgangspunkt für weitere Cyberattacken. Gestohlene Zugangsdaten werden genutzt, um sich innerhalb eines Systems weiterzubewegen oder Schadsoftware zu installieren. Besonders viele Ransomware-Angriffe beginnen mit einem einfachen Phishing-Link.

Die Folgen können erheblich sein. Neben technischen Schäden entstehen häufig auch finanzielle Verluste, beispielsweise durch Betriebsunterbrechungen, Datenverlust oder hohe Wiederherstellungskosten.

Vor diesem Hintergrund werden Security Awareness Training für Unternehmen zunehmend relevant. Sie hilft dabei, Cyberbedrohungen frühzeitig zu erkennen und das Sicherheitsbewusstsein innerhalb der Organisation zu verbessern.

Wie gross ist das Ausgangsrisiko #

Wie stark der menschliche Faktor Cyberangriffe beeinflusst, zeigen verschiedene Studien und Benchmark-Reports im Bereich der Informationssicherheit.

Wie stark der menschliche Faktor Cyberangriffe beeinflusst, zeigen verschiedene Studien und Benchmark-Analysen im Bereich der Informationssicherheit. Für solche Untersuchungen wurden Millionen von simulierten Phishing-Angriffen ausgewertet, um zu verstehen, wie Mitarbeitende in Unternehmen auf solche Bedrohungen reagieren.

Die Ergebnisse zeigen ein klares Bild. Ohne Security Awareness Schulung reagieren im Durchschnitt rund 33 Prozent der Mitarbeitenden auf eine Phishing-Mail und klicken auf entsprechende Links.

In einem Unternehmen mit 100 Mitarbeitenden könnten statistisch gesehen also mehr als 30 Personen auf einen solchen Angriff reagieren. Diese Zahlen verdeutlichen, wie relevant der menschliche Faktor für die Sicherheit eines Unternehmens ist.

Quelle: internationale Phishing-Benchmark-Studien im Bereich Security Awareness

Wie Security Awareness Trainings das Risiko messbar reduzieren #

Die gute Nachricht ist, dass sich dieses Risiko erheblich reduzieren lässt. Security Awareness Trainings gehören heute zu den effektivsten präventiven Massnahmen im Bereich Cybersecurity.

Ziel solcher Programme ist es, Mitarbeitende kontinuierlich zu sensibilisieren und ihr Sicherheitsbewusstsein im Umgang mit digitalen Bedrohungen zu stärken. Unternehmen, die regelmässige Schulungen durchführen, können ihr Sicherheitsniveau deutlich steigern.

Internationale Benchmark-Daten zeigen eine klare Entwicklung. Unternehmen ohne Security Awareness Training starten häufig mit einer durchschnittlichen Phishing-Anfälligkeit von rund 33 Prozent*. Bereits nach wenigen Monaten eines strukturierten Trainingsprogramms sinkt dieser Wert deutlich.

Nach etwa drei Monaten Schulung reduziert sich die Anfälligkeit auf rund 19 Prozent. Nach sechs Monaten liegt sie oft nur noch bei etwa 10 bis 12 Prozent. Wird das Training langfristig fortgeführt, kann die Phishing-Anfälligkeit innerhalb eines Jahres auf etwa vier bis fünf Prozent sinken.

Diese Zahlen zeigen, dass kontinuierliche Security Awareness Programme eine wirksame Methode sind, um Cyberrisiken nachhaltig zu reduzieren.

*Die Phishing-Anfälligkeit wird je nach Studie unterschiedlich gemessen, beispielsweise über Klickraten oder Risiko-Scores.

Security Awareness Training in Zahlen  #

Ohne Security Awareness Training klicken rund 33 % der Mitarbeitenden auf Phishing-Mails. Mit gezielten Schulungen und kontinuierlicher Sensibilisierung lässt sich dieses Risiko jedoch deutlich reduzieren:

  • Nach 3 Monaten Schulung sinkt die Anfälligkeit auf etwa 19 %
  • Nach 6 Monaten kontinuierlicher Sensibilisierung liegt sie bei etwa 10–12 %
  • Nach 12 Monaten Training sinkt sie auf rund 4–5 %

Das entspricht einer Reduktion des Risikos von bis zu 86 Prozent innerhalb eines Jahres.

  • Blog Grafik Security Awareness in Zahlen 1

Wie sich das Risiko im Zeitverlauf verändert #

Security Awareness Training zeigt seine Wirkung vor allem dann, wenn es kontinuierlich durchgeführt wird. Je länger Mitarbeitende geschult werden, desto besser erkennen sie typische Angriffsmuster und können angemessen darauf reagieren.

Besonders wirksam sind Programme, die Schulungen mit realistischen Phishing-Simulationen kombinieren. In solchen Simulationen werden Benutzer gezielt mit typischen Angriffsszenarien konfrontiert. Dadurch lernen sie, verdächtige Nachrichten frühzeitig zu erkennen und Risiken besser zu bewerten.

Mit der Zeit entsteht innerhalb des Unternehmens ein stärkeres Sicherheitsbewusstsein. Mitarbeitende melden verdächtige E-Mails häufiger und reagieren sensibler auf potenzielle Cyberangriffe.

Security Awareness Programme strukturiert umsetzen #

Damit Security Awareness Trainings ihre volle Wirkung entfalten können, setzen viele Unternehmen auf spezialisierte Plattformen für Cybersecurity Awareness und Schulungen.

Mit netgroupPREVENTION unterstützen wir Unternehmen dabei, strukturierte Security Awareness Programme einzuführen und Mitarbeitende mit gezielten Schulungen und Simulationen für Cyberbedrohungen zu sensibilisieren.

Die Plattform kombiniert interaktive Trainingsmodule, Phishing-Simulationen und detaillierte Auswertungen. Mitarbeitende lernen, typische Cyberangriffe frühzeitig zu erkennen und angemessen darauf zu reagieren.

Durch individuelle Lernmodule, kontinuierliche Updates und realistische Simulationen lässt sich das Sicherheitsniveau im Unternehmen nachhaltig verbessern. Gleichzeitig erhalten IT-Verantwortliche wertvolle Einblicke, um Risiken besser zu bewerten und gezielte Massnahmen zur Verbesserung der IT-Sicherheit zu ergreifen.

So werden Security Awareness Trainings zu einem zentralen Bestandteil moderner Cybersecurity-Strategien und stärken langfristig die Abwehr gegen Cyberangriffe.

Fazit #

Cybersecurity ist heute nicht mehr nur eine technische Aufgabe. Unternehmen, die ihr Sicherheitsniveau nachhaltig verbessern möchten, kombinieren Technologie mit kontinuierlicher Sensibilisierung ihrer Mitarbeitenden.

Cyberangriffe zielen heute häufig auf Menschen statt auf Systeme. Phishing und Social Engineering nutzen gezielt menschliche Schwächen aus und stellen damit ein erhebliches Risiko für Unternehmen dar.

Gleichzeitig zeigen Studien, dass Security Awareness Trainings eine messbare Wirkung haben. Durch kontinuierliche Schulungen und Sensibilisierung können Unternehmen ihre Phishing-Anfälligkeit innerhalb eines Jahres von rund 33 Prozent auf unter 5 Prozent reduzieren.

Der menschliche Faktor bleibt damit eine Herausforderung, wird aber gleichzeitig zu einer der wichtigsten Verteidigungslinien moderner Cybersecurity. Unternehmen, die in Security Awareness Schulungen investieren, stärken nicht nur ihre IT-Sicherheit, sondern auch ihre langfristige Sicherheitskultur.

Desiree Derungs
Möchten Sie das Cyberrisiko in Ihrem Unternehmen reduzieren?
Jetzt Kontakt aufnehmen
Weitere spannende Beiträge
7 Q7 A0606
MDR Service im Ernstfall: Ein Cyberangriff in drei Szenarien

Mehr erfahren

7 Q7 A0179
Microsoft Intune erklärt: Was das Tool kann und warum es Unternehmen sicherer macht

Mehr erfahren

7 Q7 A0683
DNS Bedeutung: Wie SecureDNS vor gefälschten Webseiten schützt

Mehr erfahren