Kurz vorweg: Eine einzelne Phishing-Mail, auf die ein Mitarbeitender klickt, kostet 2026 im Schnitt CHF 50’000–250’000 (NCSC-Zahlen). Awareness-Training macht aus dem schwächsten Glied das aktivste Sensor-Netz. Wer regelmässig trainiert, reduziert die Klick-Quote in unabhängigen Studien (Verizon DBIR, KnowBe4 Phishing Industry Benchmark) von 30% auf unter 5% – innerhalb von 12 Monaten.
Was ein wirksames Programm enthält
Mikro-Lernen statt Pflicht-Schulung
Statt einer 60-Minuten-Schulung pro Jahr: monatliche 3–5-Min-Module, in den Arbeitsfluss eingebettet. Studien zeigen 4–6× höhere Verhaltensänderung gegenüber Big-Bang-Schulungen.
Realistische Phishing-Simulationen
Mindestens pro Quartal eine simulierte Phishing-Welle, branchen- und rollenangepasst. Wer klickt, bekommt sofort eine Lern-Einheit – kein Pranger, kein Personalakt.
Phish-Reporting-Button
Mitarbeitende können verdächtige Mails mit einem Klick melden. Die Plattform analysiert, dankt automatisch und meldet ans Security-Team. Reduziert Reaktionszeit auf echte Angriffe um Faktor 3–10.
Rollen- und risikobasierte Inhalte
Buchhaltung lernt Rechnungs-Betrug (CEO-Fraud, Zahlungsumleitung), HR lernt CV-Phishing, Sales lernt LinkedIn-Tricks. Generische Schulungen verlieren in der Praxis Wirkung.
Messung statt Hoffnung
Klick-Quote pro Welle, Report-Quote, Modul-Abschlussquote, wiederholte Klicker („repeat offenders“) – das alles wird gemessen, an die Geschäftsleitung berichtet und in Ziele eingebaut.
Plattformen im Vergleich
| Tool | Preis/User/Jahr | Stärke | Hosting |
|---|---|---|---|
| KnowBe4 | CHF 30–80 | Marktführer, sehr grosse Inhalts-Bibliothek, KillPhish AI | EU/US |
| SoSafe (DE) | CHF 25–55 | EU-fokussiert, sehr gute Lokalisierung, einfaches UI | EU (DE) |
| Hoxhunt | CHF 35–70 | Personalisierte adaptive Phishing, sehr starke Verhaltens-Wirkung | EU (FI) |
| MetaCompliance | CHF 20–45 | Compliance-fokussiert, Policies & Trainings kombiniert | EU (UK) |
| Microsoft Defender ATP | in M365 E5/Add-on | Tiefe M365-Integration, Attack Simulation Training | CH/EU |
| Phished (BE) | CHF 22–45 | KI-getriebene Personalisierung, einfacher Einstieg | EU (BE) |
| Lucy Security (CH) | CHF 25–55 | Schweizer Anbieter, lokaler Support, On-Premises möglich | CH |
Für M365-zentrierte KMU ist Microsoft Defender Attack Simulation Training die naheliegende Wahl, oft bereits lizenziert. Wer Verhaltensänderung priorisiert, wählt Hoxhunt oder KnowBe4. Für Schweizer Datenschutz-Maximalkonform ist Lucy Security (CH-Anbieter, CH-Hosting möglich) die schlanke Lösung.
12-Monats-Programm Schritt für Schritt
- Monat 1: Baseline-Phishing-Simulation (ohne Vorwarnung) – misst die Klick-Quote im Ist-Zustand. Erfahrungswert: 25–40% bei untrainierten KMU.
- Monat 2: Kommunikation an alle Mitarbeitenden, „No-Blame-Kultur" verankern. Tool-Onboarding (Plugin in Outlook/Teams), Phish-Button installieren.
- Monat 3: Erstes Mikro-Modul (Phishing-Grundlagen, 4 Min.). Geschäftsleitung macht es zuerst – Vorbild-Effekt zählt.
- Monat 4–6: Monatliche Mikro-Module rollenspezifisch, eine zweite Phishing-Welle (etwas raffinierter), erste Auswertung mit der Geschäftsleitung.
- Monat 7–9: Themen-Vertiefung: BEC/CEO-Fraud (Buchhaltung), Smishing (Sales/Aussendienst), MFA-Müdigkeit (Admins). Dritte Phishing-Welle inkl. Auswertung.
- Monat 10–12: Reife-Test mit branchenspezifischer Welle (z.B. Lieferanten-Mail-Spoof), Auffrischung der Top-3-Themen, Jahres-Bericht für Geschäftsleitung und Cyber-Versicherer.
Welche KPIs Sie messen sollten
| KPI | Startwert (Monat 1) | Ziel (Monat 12) |
|---|---|---|
| Klick-Quote in Phishing-Simulation | 25–40% | < 5% |
| Reporting-Quote | < 10% | > 70% |
| Wiederholte Klicker („repeat offenders") | 15% | < 2% |
| Modul-Abschluss-Quote | – | > 90% |
| Time-to-Report (Schnitt) | > 30 min | < 5 min |
Typische Fehler im Awareness-Programm
- Pranger-Kultur: Mitarbeitende werden öffentlich für Klicks blossgestellt. Effekt: Reporting bricht ein, Vertrauen geht verloren. Lösung: No-Blame, anonymisierte Statistiken.
- Einmal-Schulung: 60-Min-Pflichtmodul pro Jahr ohne Wiederholung. Wirkungslos – Mitarbeitende vergessen 90% innerhalb von 4 Wochen.
- Generische Inhalte: Office-Mitarbeitende und Lager-Personal bekommen die gleiche Schulung. Lösung: rollenspezifische Inhalte, branchenspezifische Beispiele.
- Keine Geschäftsleitung an Bord: Awareness wird als IT-Thema „delegiert“. Wer keine Vorbild-Wirkung von oben hat, stagniert. Lösung: GL macht Module zuerst und zeigt das.
- Nur Phishing-Simulationen: Ohne begleitendes Lernen sind Simulationen nur Stress. Lösung: Sofortige, kurze Lernlektion bei Klick.
- Datenschutz vergessen: Phishing-Simulationen mit personalisierten Daten sind revDSG-relevant. Lösung: Information an Mitarbeitende, Zweck dokumentieren, ggf. Betriebsrat einbeziehen.
Fazit: Wer trainiert, gewinnt
Awareness-Training ist 2026 die mit Abstand kosteneffektivste Cyber-Security-Massnahme: CHF 25–80 pro Mitarbeitenden und Jahr senken die Klick-Quote in Phishing-Simulationen um Faktor 5–10. Cyber-Versicherungen verlangen es, NIS2-Lieferanten erwarten es – und Auditoren prüfen es zunehmend.
Das Erfolgs-Rezept ist immer dasselbe: Mikro-Lernen statt Mega-Schulung, regelmässige Phishing-Simulationen mit sofortiger Lernlektion, klare KPIs und eine No-Blame-Kultur. Plattform-Auswahl ist sekundär – Konsequenz und Vorbild von oben sind primär.
Awareness-Programm starten
Wir wählen die passende Plattform, konfigurieren Phishing-Simulationen, definieren die KPIs und übernehmen das laufende Reporting. In 4 Wochen produktiv.
Beratung anfragen