Sicherheitsbewusstseinstrainings im Wandel: Fokus auf mobile Bedrohungen und simulierte Phishing-Angriffe

Wie steht es um die digitale Sicherheit im Unternehmen? Aktuelle Marktdaten verdeutlichen, dass Phishing-Angriffe und mobile Bedrohungen 2025 branchenübergreifend zu den größten Herausforderungen zählen. Laut einer aktuellen Marktstudie von Lookout Inc. liegt zwischen dem wahrgenommenen Sicherheitsniveau und der tatsächlichen Anfälligkeit vieler Firmen eine gefährliche Lücke. Gleichzeitig betonen Experten, dass gezielte Awareness-Schulungen eines der wirksamsten Mittel gegen Cyberangriffe sind. Doch wie reagieren Unternehmen konkret darauf? Welche Trainingsformate setzen sich durch, und wie verschieben sich die Schwerpunkte?

Neue Angriffsflächen: Der Aufstieg mobiler Bedrohungen

Der wachsende Anteil mobiler Geräte in Beruf und Alltag hat das Angriffsspektrum für Kriminelle erheblich erweitert. Smartphones, Tablets und Wearables sind durch ständige Verbindung zum Internet und vielfältigen App-Zugriff zur lukrativen Zielscheibe geworden. Die meisten Mitarbeitenden nutzen ihre mobilen Geräte auch für berufliche Zwecke und mischen dabei private und geschäftliche Anwendungen. Dies erhöht das Risiko, dass Schadsoftware oder betrügerische Apps sensible Firmendaten kompromittieren. Studien zeigen, dass insbesondere mobile Phishing-Attacken – etwa per Messenger oder SMS – zunehmen und häufiger übersehen werden als klassische E-Mail-Betrugsversuche, weil sie authentischer wirken und schneller Reaktionen provozieren.

Simulierte Phishing-Angriffe als Trainingsmethode

Unternehmen setzen zunehmend auf simulierte Phishing-Kampagnen, um Mitarbeitende für raffinierte Betrugsversuche zu sensibilisieren. Dieser Ansatz hat sich als überragend effektiv erwiesen: Nach nur 90 Tagen gezielter Schulungen sank die globale Klickrate auf Phishing-Mails laut Marktanalyse um 40 Prozent, nach einem Jahr sogar um 86 Prozent – von über 40 Prozent auf nur noch rund 4 Prozent. Besonders gravierend waren die Unterschiede bei großen Unternehmen und in kritischen Branchen wie Gesundheitswesen oder Versicherungen. Hier fiel zu Beginn jede bzw. jeder Zweite auf eine Phishing-Simulation herein. Die Schulungsmaßnahmen haben den Anteil deutlich verringert (mehr dazu).

Modular, interaktiv, kontinuierlich: Neue Konzepte im Awareness-Training

Die Zeit statischer Einmal-Schulungen ist vorbei. Studien und Best-Practice-Beispiele zeigen, dass kontinuierliche, modulare Trainings besonders wirksam sind. Erfolgsentscheidend sind:

• Regelmäßige, aktuelle Schulungsimpulse (zum Beispiel monatlich)
• Interaktive Elemente wie Quizzes, Micro-Learning und Gamification
• Kampagnen, die typische mobile Angriffsszenarien simulieren (z.B. Fake-Messenger-Nachrichten)
• Gezielte Reminder und situatives Training, wenn Mitarbeitende riskantes Verhalten zeigen
• Testauswertungen mit Rückmeldung an die Teilnehmenden

Laut Experten und einer KPMG-Studie ist ein durchdachtes, dauerhaftes Training elementar, um einen echten Kulturwandel zu bewirken. Nur wenn sich Mitarbeitende als Teil der Lösung begreifen und Wissen regelmäßig aufgefrischt wird, sinkt das Risiko nachhaltig (weitere Einblicke).

Herausforderungen und Potenziale der neuen Schulungsansätze

Unternehmen stehen vor der Aufgabe, ihre Mitarbeitenden zeitnah und zielgruppengerecht zu schulen. Die Mischung aus mobilen Angriffen und ausgefeilten Phishing-Methoden erfordert maßgeschneiderte Inhalte. Gleichzeitig gibt es Herausforderungen:

• Überforderung durch Informationsflut – Trainings müssen kompakt, relevant und kurzweilig sein
• Kosten und Ressourcen für kontinuierliche Programme
• Widerstand oder Resignation bei Mitarbeitenden, wenn der Nutzen nicht klar kommuniziert wird

Dennoch zeigen zahlreiche Umfragen und Studien, dass Investitionen in Security Awareness sich auszahlen: Die Risiken für Datenverlust, Betriebsunterbrechungen und Imageschäden sinken.
Auch Unternehmen wie Lookout Inc. betonen, dass nur durch den ganzheitlichen Ansatz – Technik, Prozess und Mensch – eine durchgängige Resilienz gegen moderne Cyberbedrohungen erreicht wird (Studie).

Vor- und Nachteile der neuen Trainingslandschaft liegen auf der Hand: Die Vorteile sind eine signifikante Reduktion tatsächlicher Angriffsfolgen, ein verbessertes Risikobewusstsein und mehr Selbstwirksamkeit bei den Mitarbeitenden. Nachteile ergeben sich aus dem erhöhten Aufwand, einem zeitlichen Investment und der Notwendigkeit, kontinuierlich am Ball zu bleiben. In Zukunft werden Awareness-Maßnahmen noch stärker auf spezifische Nutzergruppen, mobile Risiken und KI-unterstützte Angriffsszenarien zugeschnitten werden. Wirtschaft und Menschen profitieren durch weniger Zwischenfälle, mehr Handlungsspielraum und einen gestärkten Zusammenhalt angesichts digitaler Bedrohungen. Die Hoffnung: Cybersecurity wird zum festen Bestandteil der Unternehmenskultur – und Mitarbeitende zur ersten Verteidigungslinie.