Cybersecurity-Awareness: Warum Technik allein nicht schützt

7 Min. Lesezeit

84 Prozent der deutschen Unternehmen, die 2025 einen Cyberangriff erlitten, berichten von Phishing als Angriffsweg. Gleichzeitig schulen nur 24 Prozent aller Unternehmen ihre gesamte Belegschaft. Der Rest spart genau dort, wo Angreifer ihre schärfsten Werkzeuge einsetzen. Seit dem 6. Dezember 2025 ist das nicht mehr nur fahrlässig, sondern rechtswidrig: Das NIS2-Umsetzungsgesetz macht Awareness-Schulungen zur Pflicht für rund 30.000 Unternehmen in Deutschland. Wer nicht schult, riskiert Bußgelder bis zu 10 Millionen Euro.

Das Wichtigste in Kürze

Was ist NIS2 AWARENESS SCHULUNG PFLICHT?

NIS2 AWARENESS SCHULUNG PFLICHT ist 2025 ein konkreter Hebel für Unternehmen, weil das Thema direkt über Cyberresilienz, Security-Operations und regulatorische Pflichten entscheidet. Der Beitrag zeigt am Beispiel von synaforce, welche Anforderungen, Kennzahlen und operativen Schritte in der Praxis zählen.

Die Lücke zwischen Technik und Verhalten

Die Firewall ist konfiguriert, MFA aktiviert, Endpoint-Protection deployed. Und dann klickt ein Mitarbeiter auf einen Link in einer täuschend echten Microsoft-365-E-Mail und gibt seine Credentials ein. Der BSI Lagebericht 2025 dokumentiert 950 angezeigte Ransomware-Angriffe im Berichtszeitraum, 80 Prozent davon bei kleinen und mittleren Unternehmen. 119 neue Schwachstellen pro Tag, ein Anstieg von 24 Prozent gegenüber dem Vorjahr.

Aber die Zahlen erzählen nur die halbe Geschichte. Der Verizon Data Breach Investigations Report 2025 zeigt: 60 Prozent aller bestätigten Sicherheitsverletzungen weltweit hatten eine menschliche Handlung als Faktor. Kein Exploit, kein Zero-Day, sondern ein Mensch, der einen Link klickt, Zugangsdaten weitergibt oder sensible Daten an die falsche Adresse schickt.

Das Problem ist nicht, dass Unternehmen keine Technik einsetzen. Das Problem ist, dass die beste Technik versagt, wenn der Mensch davor nicht mitdenkt. Und genau hier klafft eine Lücke: Laut BSI schulen 79 Prozent der Unternehmen ihre Mitarbeitenden zu IT-Sicherheitsthemen. Klingt gut. Aber nur 24 Prozent schulen alle Mitarbeitenden. 55 Prozent schulen nur ausgewählte Positionen. Und jedes fünfte Unternehmen verzichtet komplett auf Schulungen.

NIS2 macht Awareness zur Pflicht

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft. Es betrifft rund 30.000 Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in 18 Sektoren. Die Registrierungspflicht beim BSI gilt seit dem 6. Januar 2026.

Zwei Paragraphen sind für das Thema Awareness entscheidend. § 30 Absatz 2 BSIG verpflichtet betroffene Unternehmen zu Schulungen zur Cybersicherheit und Sensibilisierung als Teil der Pflicht-Risikomaßnahmen. § 38 Absatz 3 BSIG geht einen Schritt weiter: Die Geschäftsführung muss selbst regelmäßig an Schulungen teilnehmen und ausreichende Kenntnisse zur Risikobewertung nachweisen. Das BSI hat im September 2025 eine Handreichung zur NIS2-Geschäftsleitungsschulung mit konkreten Inhalten veröffentlicht.

Die Bußgelder sind empfindlich. Für besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 Prozent. Es gibt keine Übergangsfrist. Die Maßnahmen gelten seit Inkrafttreten unmittelbar.

Trotzdem kennen laut TÜV Cybersecurity Study 2025 nur 50 Prozent der betroffenen Unternehmen die NIS2-Richtlinie. Die Hälfte weiß nicht, dass sie betroffen ist.

KI verändert die Angriffsfläche

Die klassische Phishing-Mail mit Rechtschreibfehlern und fragwürdigem Absender ist Geschichte. KnowBe4 beobachtet, dass 82,6 Prozent aller Phishing-Mails mittlerweile KI-Elemente nutzen: grammatisch einwandfreie Texte, personalisierte Anreden, kontextbezogene Inhalte. KI-generierte Phishing-Mails erzielen eine Klickrate von 54 Prozent, das ist rund 4,5-mal höher als bei herkömmlichen Phishing-Versuchen.

Noch beunruhigender ist der Trend bei Deepfake-Vishing. Deepfake-basierte Sprachklon-Angriffe stiegen im ersten Quartal 2025 um über 1.600 Prozent gegenüber dem Vorquartal. Der bekannteste Fall: Ein Finanzmitarbeiter des britischen Ingenieurbüros Arup überwies 25 Millionen US-Dollar, nachdem er an einer gefälschten Videokonferenz mit KI-generierten Deepfake-Abbildern von CFO und Führungskräften teilgenommen hatte. Die TÜV-Studie bestätigt: 51 Prozent der IT-Sicherheitsexperten in Deutschland beobachten bereits KI-unterstützte Cyberangriffe. Bei Großunternehmen sind es 81 Prozent.

Gleichzeitig setzen nur 10 Prozent der deutschen Unternehmen KI für die eigene Verteidigung ein. Angreifer nutzen KI schneller als Verteidiger. Das verschärft die Awareness-Lücke: Mitarbeitende, die darauf trainiert sind, Rechtschreibfehler und seltsame Absenderadressen zu erkennen, sind gegen KI-generierte Angriffe wehrlos.

„91 Prozent der Unternehmen schätzen ihre Cybersicherheit als gut oder sehr gut ein. Gleichzeitig wurde jedes siebte Unternehmen im vergangenen Jahr erfolgreich angegriffen. Diese Wahrnehmungslücke ist eines der größten Risiken.“
TÜV Cybersecurity Study 2025 (506 Unternehmen, Ipsos-Befragung)

Was funktioniert: Von der Pflichtschulung zum Verhaltenswandel

Das typische Security-Training: Eine 45-minütige Online-Schulung im Januar, Pflichtcheck, vergessen bis nächsten Januar. Die Klickrate auf Phishing-Mails sinkt kurzzeitig und steigt innerhalb von drei Monaten auf das ursprüngliche Niveau. Einmalige Schulungen ändern kein Verhalten. Verhaltensänderung erfordert Wiederholung, Relevanz und Feedback.

Der KnowBe4 Phishing Industry Benchmarking Report 2025 liefert die bisher größte Datenbasis zu diesem Thema: 14,5 Millionen User in 62.400 Organisationen, 67,7 Millionen simulierte Phishing-Tests. Das Ergebnis ist eindeutig. Vor dem Training liegt die durchschnittliche Phishing-Klickrate bei 33,1 Prozent: Jeder dritte Mitarbeitende klickt auf einen gefährlichen Link. Nach 90 Tagen kontinuierlichem Training sinkt die Rate um über 40 Prozent. Nach zwölf Monaten liegt sie bei 4,1 Prozent. Das ist eine Reduktion um 86 Prozent.

Was diese Programme gemeinsam haben: Sie arbeiten mit Phishing-Simulationen (monatlich, progressive Schwierigkeit), Micro-Learning-Modulen (3 bis 5 Minuten, wöchentlich oder nach spezifischen Events), Gamification (Leaderboards für Abteilungen, Badges, Team-Challenges) und einem einfachen Report-Button in Outlook oder Gmail. Das Ziel ist nicht Training-Compliance, sondern eine Sicherheitskultur, in der Mitarbeitende verdächtige E-Mails melden, bevor sie klicken.

Der entscheidende Indikator ist nicht die Klickrate, sondern die Report-Rate: Wie viele Mitarbeitende melden verdächtige E-Mails aktiv? Unternehmen mit ausgereiften Programmen erreichen Report-Raten von über 70 Prozent. Das bedeutet: Sieben von zehn Mitarbeitenden erkennen einen Phishing-Versuch und melden ihn, bevor Schaden entsteht.

Cyber-Versicherung: Awareness als Vertragsbedingung

Wer heute eine Cyber-Versicherung abschließen oder verlängern will, stellt fest: Awareness-Training ist kein Nice-to-have mehr, sondern ein Underwriting-Kriterium. Allianz nennt Awareness-Trainings ausdrücklich unter ihren zwölf Kernkriterien für Versicherungsnehmer. AXA bietet sechs Monate kostenloses Awareness-Portal mit der Cyber-Police an. Der GDV-Risikofragebogen Cyber enthält explizite Fragen zu Schulungsmaßnahmen.

Fehlt der Nachweis, riskieren Unternehmen höhere Prämien oder Deckungsausschlüsse bei Phishing-Schäden. In einer Zeit, in der die durchschnittlichen Kosten eines Phishing-Angriffs in Deutschland bei 4,15 Millionen Euro liegen, ist das ein Risiko, das kein CFO eingehen sollte.

Der ROI eines Awareness-Programms

Die Rechnung ist einfach. Ein Awareness-Programm kostet einen Mittelständler mit 200 Mitarbeitenden zwischen 10.000 und 20.000 Euro pro Jahr. KnowBe4 beginnt bei 18 US-Dollar pro User und Jahr, Proofpoint bei 25 US-Dollar. Dazu kommen 2 bis 4 Stunden interner Aufwand pro Monat für Administration.

Dem gegenüber stehen 4,15 Millionen Euro durchschnittliche Kosten pro Phishing-Vorfall. Die Klickrate-Reduktion von 33 auf 4 Prozent reduziert das Risiko eines erfolgreichen Phishing-Angriffs um 86 Prozent. Selbst bei konservativer Risikoschätzung: Wenn das Programm in zehn Jahren einen einzigen erfolgreichen Angriff verhindert, hat es sich hundertfach bezahlt.

Fazit: Schulen oder haften

Die Gleichung hat sich verschoben. Vor NIS2 war Awareness-Training eine freiwillige Maßnahme, die manche Unternehmen ernst nahmen und die meisten als Pflichtübung abhakten. Seit Dezember 2025 ist es Gesetz. Die Geschäftsführung haftet persönlich. Cyber-Versicherer verlangen es. Und die Angreifer setzen mit KI-gestütztem Phishing und Deepfake-Vishing eine neue Qualitätsstufe.

Die gute Nachricht: Es funktioniert. 86 Prozent Reduktion der Klickrate nach zwölf Monaten ist keine Marketing-Zahl, sondern die Datenbasis von 14,5 Millionen Nutzern. Die Tools sind ausgereift, die Kosten überschaubar, der ROI eindeutig. Was fehlt, ist in vielen Unternehmen nur die Entscheidung, anzufangen.

Häufige Fragen

Quelle Titelbild: Pexels / Pavel Danilyuk (px:8761533)