# Mitarbeiterschulung (Awareness)

**Was ist eine Awareness-Schulung?**

Eine Awareness-Schulung ist eine kurze, regelmäßige Unterweisung der Belegschaft, die typische Angriffe auf Menschen erkennbar macht, etwa gefälschte Rechnungen, Anrufe im Namen der Geschäftsführung oder nachgebaute Anmeldeseiten. Sie legt außerdem fest, wo ein Verdacht gemeldet wird.

Angriffe zielen regelmäßig auf Menschen. Eine E-Mail, die aussieht wie die Rechnung eines bekannten Lieferanten. Ein Anruf, der angeblich aus der Geschäftsführung kommt und eine eilige Überweisung verlangt. Eine Nachricht der vermeintlichen IT mit der Bitte um das Kennwort. Technische Filter fangen einen Teil davon ab. Die letzte Entscheidung trifft die Person vor dem Bildschirm, und genau dort setzt eine Awareness-Schulung an.

Eine wirksame Schulung ist kurz, wiederholt sich und arbeitet mit Beispielen aus dem eigenen Arbeitsalltag. Zeigen Sie echte E-Mails, die im Betrieb angekommen sind, samt den Merkmalen, an denen man sie erkennt: der Absender, der auf den zweiten Blick anders lautet, der aufgebaute Zeitdruck, die geänderte Kontonummer auf einer bekannten Rechnung, das Ziel eines Links, das beim Darüberfahren mit der Maus sichtbar wird. Arbeiten Sie mit konkreten Fällen aus Ihrer eigenen Branche, weil die Belegschaft sie im Alltag wiedererkennt.

Der wichtigste Satz einer Schulung lautet: Melden ist erwünscht, und wer meldet, bekommt keine Schwierigkeiten. Eine Mitarbeiterin, die fürchtet, für einen Klick gerügt zu werden, meldet den Vorfall Stunden später, und diese Stunden entscheiden über den Schaden. Legen Sie deshalb einen einfachen Meldeweg fest, eine Adresse oder eine Telefonnummer, hängen Sie ihn sichtbar aus und sagen Sie zu, was nach einer Meldung geschieht.

Phishing-Simulationen, also gefälschte Test-E-Mails an die eigene Belegschaft, sind ein nützliches Übungsmittel unter Bedingungen. Kündigen Sie das Übungsprogramm vorher an, werten Sie die Ergebnisse anonym aus, binden Sie eine allfällige Mitarbeitervertretung ein und verzichten Sie auf personenbezogene Auswertungen. Das Ziel der Übung ist eine höhere Meldebereitschaft im Betrieb.

Die NIS2-Richtlinie führt Cyberhygiene und Schulungen ausdrücklich in ihrem Katalog der Risikomanagementmaßnahmen an und verpflichtet die Leitungsorgane erfasster Einrichtungen, selbst an Schulungen teilzunehmen. In Österreich setzt das NISG 2026 diese Vorgaben um. Für Betriebe außerhalb des Anwendungsbereichs bleibt die Schulung eine Maßnahme mit geringem Aufwand und unmittelbarer Wirkung. Ob es einen bekannten Meldeweg gibt und wie im Haus mit verdächtigen E-Mails umgegangen wird, gehört zu den organisatorischen Punkten, die der IT-Check erhebt.

## Verwandte Begriffe
- [Phishing](https://vetosec.at/it-sicherheit/phishing/)
- [Social Engineering](https://vetosec.at/it-sicherheit/social-engineering/)
- [CEO-Fraud und Rechnungsbetrug](https://vetosec.at/it-sicherheit/ceo-fraud/)
- [Zwei-Faktor-Authentifizierung (2FA)](https://vetosec.at/it-sicherheit/zwei-faktor-authentifizierung/)

## Quelle
https://vetosec.at/it-sicherheit/awareness-schulung/ (vetosec, schutz)
