Einmal im Jahr Phishing-Training, gutes Gefühl — und dann, fünf Monate später, klickt jemand trotzdem auf einen gefährlichen Link. Das ist kein Einzelfall. Das ist das Muster, das wir bei pirenjo.IT immer wieder sehen.
Dieser Artikel erklärt, warum jährliche IT-Sicherheitsschulungen nicht ausreichen, welchen Rhythmus die Forschung empfiehlt, und welche Themen dein Team wirklich beherrschen muss.
Warum einmal im Jahr nicht reicht
„Die meisten Sicherheitsvorfälle, die wir bei Kundenunternehmen sehen, haben eine Gemeinsamkeit: Das letzte Security-Training liegt über ein Jahr zurück.“
— Christian Markus, Gründer pirenjo.IT
Dein Team hat die jährliche Anti-Phishing-Kampagne abgeschlossen. Alle wissen, wie Phishing-Mails aussehen. Das gute Gefühl hält — bis etwa fünf bis sechs Monate später eine kostspielige Ransomware-Infektion durch einen einzigen Klick auf einen Phishing-Link entsteht.
Das Problem ist nicht mangelnde Motivation. Menschen vergessen — das ist normal. Wer das Gelernte nicht regelmäßig auffrischt, verliert es. Kein einmaliges Training der Welt ändert dauerhaft das Verhalten.
Alle 4 Monate: der optimale Schulungsrhythmus
Woher kommt die Empfehlung, alle vier Monate zu schulen? Auf der USENIX-Sicherheitskonferenz SOUPS wurde eine Studie vorgestellt, die genau das untersucht hat: die Fähigkeit von Mitarbeitenden, Phishing-E-Mails zu erkennen, in Abhängigkeit vom Schulungsrhythmus.
Die Teilnehmenden wurden in Gruppen aufgeteilt und in unterschiedlichen Abständen nach der Schulung getestet — nach 4, 6, 8, 10 und 12 Monaten. Das Ergebnis war eindeutig: Nach vier Monaten waren die Erkennungsraten noch hoch. Ab sechs Monaten verschlechterten sie sich spürbar, und je länger der Abstand zur Schulung, desto schlechter die Werte.
Vier Monate ist damit der „Sweet Spot“ — der Zeitpunkt, an dem eine Auffrischung den meisten Effekt hat. Wer sein Team häufiger in IT-Sicherheit schult, bekommt dauerhaft bessere Ergebnisse.
So entwickelst du eine echte IT-Sicherheitskultur
„Sicherheitskultur entsteht nicht durch ein Jahrestraining. Sie entsteht durch Wiederholung, durch kleine Impulse, und dadurch, dass das Thema im Alltag präsent bleibt.“
— Christian Markus, Gründer pirenjo.IT
Der Goldstandard ist eine Kultur der Cybersicherheit — eine Haltung im Team, bei der jeder weiß: Sensible Daten müssen geschützt werden, Phishing-Versuche müssen gemeldet werden, und Passwörter sind keine Nebensache. Laut dem Sophos Threat Report 2021 ist das in den meisten Unternehmen jedoch nicht die Realität.
Der Bericht stellt fest: „Die Vernachlässigung eines oder mehrerer Aspekte der grundlegenden Sicherheitshygiene hat sich als Ursache für viele der schädlichsten Angriffe erwiesen, die wir untersucht haben.“
Gut geschulte Mitarbeitende verringern das Risiko für ein Unternehmen messbar. Das bedeutet nicht, dass du einmal im Jahr einen ganzen Tag Pflichtschulung einplanst. Besser ist es, die Methoden zu variieren und Sicherheit als kontinuierliches Thema zu verankern.
Konkret funktioniert das über kurze monatliche Lernvideos per E-Mail, teambasierte Diskussionen am runden Tisch, einen wöchentlichen Sicherheitstipp im Unternehmens-Newsletter, simulierte Phishing-Tests, Schulungen durch einen IT-Experten, visuelle Impulse über Poster — und die Nutzung des Oktobers als offiziellen Cybersecurity-Monat im Unternehmen.
5 Sicherheitsthemen, die dein Team regelmäßig braucht
Phishing über E-Mail, SMS und soziale Medien
E-Mail-Phishing bleibt die am weitesten verbreitete Angriffsmethode. Aber SMS-Phishing („Smishing“) und Phishing über soziale Medien nehmen deutlich zu. Dein Team muss wissen, wie diese Angriffe konkret aussehen — damit niemand auf diese Tricks hereinfällt.
Genau dafür bieten wir bei pirenjo.IT unsere Security Awareness Kampagne an. Dabei finden wir heraus, wie gut dein Team Phishing-Mails bereits erkennt — und ob ein gezieltes IT-Sicherheitstraining sinnvoll ist.
Zugangsdaten und Passwörter sicher halten
Viele Unternehmen haben den Großteil ihrer Daten auf Cloud-basierte Plattformen verlagert. Das macht den Diebstahl von Zugangsdaten zum attraktivsten Angriffsweg — und laut IBM zur weltweit häufigsten Ursache für Datenschutzverletzungen.
Besprich mit deinem Team, warum starke Passwörter wichtig sind — und zeig, wie ein Passwortmanager für Unternehmen konkret funktioniert. Wer das Thema erklärt, senkt das Risiko.
Mobilgeräte als unterschätztes Einfallstor
Mobile Geräte werden in fast jedem Büro für einen erheblichen Teil der Arbeit genutzt. E-Mails lesen, Dokumente freigeben, auf Unternehmensanwendungen zugreifen — das alles passiert heute auf dem Smartphone. Kein Wunder, dass Angreifer dort ansetzen.
Prüfe, welche Sicherheitsanforderungen für Mitarbeitergeräte gelten, die auf Unternehmensdaten zugreifen. Mindeststandards wie ein gesicherter Sperrcode und aktuelle Betriebssystem-Updates sollten für jedes Gerät selbstverständlich sein.
Datensicherheit und Compliance
Datenschutzvorschriften haben in den letzten Jahren zugenommen. Die meisten Unternehmen müssen mehr als eine Regulierung einhalten — von der DSGVO bis zu branchenspezifischen Anforderungen. Wer sein Team nicht schult, riskiert teure Verstöße.
Schule dein Team im richtigen Umgang mit Daten und in den geltenden Sicherheitsverfahren. Das verringert das Risiko eines Datenlecks und schützt dein Unternehmen vor kostspieligen Strafen.
IT-Sicherheitstraining von Profis
Überlass die IT-Sicherheitsschulung den Experten bei pirenjo.IT. Wir helfen dir mit einem Schulungsprogramm, das dein Team wirklich erreicht — und das Verhalten nachhaltig verändert. Buche jetzt ein kostenloses Erstgespräch.
Laut einer USENIX-Studie (SOUPS) ist ein Schulungsrhythmus von alle 4 Monate optimal – danach sinken die Erkennungsraten für Phishing messbar. Wer nur einmal im Jahr schult, riskiert, dass das Wissen bereits nach 6 Monaten nachlässt.
Ein Security Awareness Training schult Mitarbeitende darin, Phishing-Mails, unsichere Passwörter und riskantes Verhalten im Arbeitsalltag zu erkennen. Gut geschulte Teams verringern das Risiko eines erfolgreichen Cyberangriffs nachweislich.
Ja – pirenjo.IT bietet Security Awareness Trainings für Unternehmen im Raum Stuttgart an, inklusive simulierter Phishing-Kampagnen und persönlicher Auswertung. Vereinbare direkt ein kostenloses Erstgespräch.
Pflichtthemen sind Phishing-Erkennung (E-Mail, SMS, soziale Medien), sicherer Umgang mit Passwörtern und Zugangsdaten, Mobilgeräte-Sicherheit und datenschutzkonforme Datenverarbeitung. Diese Themen sollten alle 4 Monate aufgefrischt werden.
Ja – als IT-Systemhaus mit Sitz in Waiblingen begleiten wir Unternehmen aus der Region direkt vor Ort oder remote durch das gesamte Security Awareness Programm. Ruf uns an oder buche ein kostenloses Erstgespräch online.