Security Awareness

Cybersecurity Schulung für Unternehmen

Verwandeln Sie Ihre Mitarbeitenden von der größten Schwachstelle zur ersten Verteidigungslinie.

Was ist Security Awareness und warum ist sie heute unverzichtbar

Security Awareness, auch bekannt als Cybersecurity-Schulung, Cybersecurity Awareness Training oder Schulung zur Informationssicherheit, ist ein strukturiertes und kontinuierliches Programm, das Mitarbeitenden eines Unternehmens hilft, Cyberbedrohungen zu erkennen, richtig zu reagieren und im Arbeitsalltag sichere Verhaltensweisen zu entwickeln.

In einem Umfeld, in dem sich Bedrohungen täglich weiterentwickeln und künstliche Intelligenz inzwischen auch Cyberkriminellen zur Verfügung steht, reicht Technologie allein nicht aus. Der wahre Sicherheitsperimeter verläuft über die Menschen.

Das Problem menschliches Versagen ist die Hauptursache für Cyberangriffe

Die Daten sprechen eine klare Sprache. Laut dem Schweizer Bundesamt für Cybersicherheit (BACS) wurden im Jahr 2024 20.872 aktive Phishing-Websites identifiziert, ein Anstieg von 108 % gegenüber dem Vorjahr. 98 % der Meldungen stammen von Privatpersonen und KMU.

Weltweit:

  • Über 90 % der Cybervorfälle werden durch menschliches Versagen verursacht
  • 73 % der Datenschutzverletzungen haben ihren Ursprung in Phishing oder dem Diebstahl von Zugangsdaten
  • 94 % der KMU waren 2024 von mindestens einem Cyberangriff betroffen

Der Mitarbeitende, der auf einen bösartigen Link klickt, einen infizierten Anhang öffnet, ein schwaches Passwort wiederverwendet oder auf eine gefälschte dringende Anfrage antwortet: Das ist heute der bevorzugte Angriffsvektor von Cyberkriminellen.

"Cyberkriminelle greifen nicht nur Systeme an, sie greifen Menschen an."

Die Herausforderungen denen Unternehmen täglich gegenüberstehen

1. Mitarbeitende erkennen moderne Bedrohungen nicht

Phishing-E-Mails sind von legitimen E-Mails kaum noch zu unterscheiden. Dank generativer künstlicher Intelligenz erstellen Kriminelle personalisierte, kohärente Nachrichten, die in der lokalen Sprache und im richtigen Ton verfasst sind. Nicht-technisches Personal — Verwaltung, HR, Finanzen, Marketing — gehört zu den am häufigsten angegriffenen Zielgruppen.

2. Traditionelle Schulungen erzielen keine nachhaltigen Ergebnisse

Ein jährlicher Kurs, vielleicht nur wenige Stunden lang, verändert keine Verhaltensweisen. Die Inhalte werden innerhalb weniger Wochen vergessen. Sicherheit wird weiterhin als IT-Problem wahrgenommen, nicht als gemeinsame Verantwortung.

3. Es fehlt eine unternehmensweite Sicherheitskultur

Wenn Cybersecurity nicht Teil der DNA der Organisation ist, kommt es jeden Tag zu riskanten Verhaltensweisen: Weitergabe von Passwörtern, Zugriff über unsichere Netzwerke, oberflächlicher Umgang mit sensiblen Daten.

4. Der regulatorische Druck nimmt zu

Schweizer und internationale Vorschriften wie DSG, ISO 27001 und DSGVO für Unternehmen mit Geschäftstätigkeit in der EU verlangen dokumentierbare Schulungsprogramme für Mitarbeitende. Fehlende Nachweise setzen Organisationen Sanktionen, negativen Audits und Reputationsschäden aus.

Die Lösung von VarGroup Suisse Security Awareness als kontinuierliches Programm

VarGroup Suisse bietet einen Ansatz für Security Awareness, der über einen einfachen Kurs hinausgeht. Unser Programm ist darauf ausgelegt, Verhaltensweisen im Laufe der Zeit zu verändern, Fortschritte zu messen und eine organisatorische Sicherheitskultur zu schaffen.

 

Kontinuierliche Schulung und Micro-Learning

Die Schulungsmodule sind kurz, ansprechend und über die Zeit verteilt. Anstelle eines einzigen jährlichen Schulungsblocks erhalten Mitarbeitende regelmässige Updates zu spezifischen Themen: Phishing, Passwortverwaltung, Sicherheit im Smart Working, Social Engineering, sichere Nutzung von Unternehmensgeräten. Micro-Learning fördert das Behalten der Inhalte und echte Verhaltensänderungen.

 

Realistische und kontextbezogene Phishing-Simulationen

Wir versenden simulierte Phishing-Kampagnen, die auf den Schweizer Kontext und die Branche des Unternehmens zugeschnitten sind, um die Reaktionsfähigkeit der Mitarbeitenden unter realen Bedingungen zu testen. Die Simulationen werden anhand des Risikolevels jedes einzelnen Nutzers kalibriert:

  • Phishing-E-Mails, die bekannte Absender imitieren (Schweizer Banken, öffentliche Stellen, Lieferanten)
  • Regelmässige Tests mit stets aktualisierten Szenarien
  • Sofortiges Feedback für Nutzer, die „anbeissen“, wodurch der Fehler zu einem Lernmoment wird

Messbares Ergebnis: Strukturierte Awareness-Programme senken die Klickrate auf Phishing-E-Mails von anfänglich 33 % auf 5 % nach 12 Monaten kontinuierlicher Schulung.

 

Adaptive Lernpfade nach Risikolevel

Nicht alle Mitarbeitenden haben dasselbe Risikoprofil. Unser Programm weist differenzierte Schulungspfade je nach Rolle, Unternehmensbereich und Ergebnissen der Simulationen zu. Wer riskantere Verhaltensweisen gezeigt hat, erhält gezielte zusätzliche Schulung.

 

Human Risk Management

Wir gehen über einzelne Schulungen hinaus: Wir überwachen und steuern das menschliche Risiko als integralen Bestandteil der Sicherheitsstrategie des Unternehmens. Jeder Mitarbeitende verfügt über ein im Zeitverlauf aktualisiertes Risikoprofil, das es der Organisation ermöglicht, gezielt dort einzugreifen, wo das Risiko am höchsten ist.

 

Reporting und Compliance-Unterstützung

Wir stellen Dashboards und detaillierte Reports bereit, um:

  • den Abschluss der Schulungsmodule nachzuverfolgen
  • die Entwicklung der Phishing-Simulationen im Zeitverlauf zu messen
  • das Programm für interne und externe Audits zu dokumentieren
  • die Konformität mit Unternehmensrichtlinien und regulatorischen Anforderungen nachzuweisen

Wie das Programm funktioniert: die operativen Phasen

1. Erstes Assessment Analyse des Reifegrads der Mitarbeitenden durch Baseline-Phishing-Simulationen und Fragebögen zur Selbsteinschätzung. Wir identifizieren die Bereiche mit dem höchsten Risiko, bevor wir mit Schulungen beginnen.

2. Aktivierung der Plattform Konfiguration der Security-Awareness-Training-Plattform mit den Profilen aller Mitarbeitenden. Die Lösung ist cloudbasiert, von jedem Gerät aus zugänglich und erfordert keine Installationen.

3. Start des Schulungsprogramms Verteilung der Schulungsmodule gemäss dem vereinbarten Plan. Die Mitarbeitenden absolvieren die Kurse selbstständig, mit automatischen Erinnerungen und Fortschritts-Dashboards.

4. Kontinuierliche Phishing-Simulationen Über das ganze Jahr hinweg geplante simulierte Phishing-Kampagnen mit unterschiedlichen Szenarien, die zunehmend komplexer werden.

5. Analyse und Optimierung Regelmässige Daten-Reviews mit dem Team von VarGroup Suisse. Anpassung des Programms auf Basis der Ergebnisse: neue Szenarien, zusätzliche Module, interne Sensibilisierungskommunikation.

6. Reports für die Geschäftsleitung Executive- und technische Reports, bereit zur Weitergabe an Management, CISO oder Auditoren.

Die Vorteile für Ihre Organisation

Nutzen Konkrete Auswirkung
Reduzierung des menschlichen Risikos Weniger Klicks auf Phishing, weniger kompromittierte Zugangsdaten
Sicherheitskultur Mitarbeitende werden zu einem aktiven Teil der Verteidigung
Regulatorische Konformität Dokumentiertes Programm für Audits und Compliance
Messbarkeit Klare KPIs vor und nach dem Start des Programms
Adaptive Schulung Personalisierte Lernpfade nach Rolle und Risikoprofil
Kontinuierliche Abdeckung Ständige Aktualisierung zu neuen Bedrohungen und Techniken

Häufig gestellte Fragen zu Security Awareness

Was versteht man unter Security Awareness Training?
Es ist ein strukturiertes Schulungsprogramm, das Mitarbeitenden beibringt, die häufigsten Cyberbedrohungen zu erkennen und zu verhindern: Phishing, Social Engineering, missbräuchliche Nutzung von Zugangsdaten und riskante Verhaltensweisen beim Umgang mit digitalen Tools.

Was ist eine Phishing-Simulation?
Es handelt sich um den kontrollierten Versand von gefälschten E-Mails an Mitarbeitende, die darauf ausgelegt sind, reale Angriffe nachzuahmen. Wer auf den Link klickt oder Daten eingibt, wird auf eine Schulungsseite weitergeleitet. Ziel ist es nicht, zu „bestrafen“, sondern Bewusstsein durch direkte Erfahrung zu schaffen.

Ist die Schulung für alle Mitarbeitenden geeignet, auch für nicht-technisches Personal?
Ja. Das Programm ist so konzipiert, dass es für alle Unternehmensprofile zugänglich ist, unabhängig vom technologischen Hintergrund. Die Inhalte sind je nach Bedarf der Organisation auf Italienisch, Französisch oder Deutsch verfügbar.

Wie häufig werden Simulationen durchgeführt?
Das hängt vom gewählten Plan ab, der empfohlene Ansatz sieht jedoch monatliche oder vierteljährliche Simulationen vor, mit stets unterschiedlichen Szenarien, um die Aufmerksamkeit hoch zu halten.

Wie wird die Wirksamkeit des Programms gemessen?
Durch klare Kennzahlen: Klickrate bei Phishing-Simulationen vor und nach dem Start, Abschlussquote der Module und Ergebnisse der Wissenstests. Die Reports sind in Echtzeit auf der Plattform verfügbar.

Unterstützt das Programm die regulatorische Konformität?
Ja. Das Programm erstellt nützliche Dokumentation für Audits und weist die Erfüllung der Schulungspflichten nach, die von nDSG, ISO 27001 und anderen relevanten Vorschriften vorgesehen sind.

Wie viel Zeit benötigen Mitarbeitende für die Schulungsmodule?
Die einzelnen Module dauern typischerweise zwischen 5 und 15 Minuten. Das Micro-Learning-Format minimiert die Auswirkungen auf die Produktivität und erhöht die Wirksamkeit des Lernens.

Warum VarGroup Suisse wählen

VarGroup Suisse ist ein Technologiepartner mit etablierter Präsenz in der Schweiz und in Italien, mit zertifizierten Kompetenzen im Bereich Cybersecurity. Wir sind nicht nur ein Softwareanbieter: Wir begleiten Organisationen beim Aufbau einer langfristig nachhaltigen Sicherheitslage.

  • Lokale Präsenz: Team in der Schweiz, Verständnis des regulatorischen und kulturellen Umfelds der Schweiz
  • Beratungsorientierter Ansatz: Wir verkaufen keine Plattform, wir entwickeln ein massgeschneidertes Programm
  • Multi-Sektor-Erfahrung: KMU, Industrieunternehmen, professionelle Dienstleister, Enterprise-Organisationen
  • Integration mit der Sicherheitsstrategie: Awareness ist Teil eines umfassenderen Ökosystems, das Vulnerability Management, SOC und Incident Response umfasst

Beginnen Sie noch heute mit dem Schutz Ihrer Organisation

Phishing wartet nicht. Jeder Tag ohne ein Security-Awareness-Programm ist ein Tag, an dem deine Mitarbeitenden Bedrohungen ohne die nötigen Werkzeuge zu deren Erkennung begegnen.

Kontaktiere das Team von VarGroup Suisse für eine kostenlose Beratung und ein erstes Assessment des Risikoniveaus deiner Mitarbeitenden.