senn-techsenn-tech
Zurück zum Blog
Security2027-11-02

Security Awareness im KMU: Der Mensch als klügstes Glied

Firewall, CrowdSec, Mail-Gateway, Patch-Management — alles richtig. Und dann ruft „der Microsoft-Support" an und jemand gibt sein Passwort preis. Security Awareness ist kein Trainingsmodul, das man einmal durchläuft, sondern eine Haltung, die im Alltag lebt.

Warum das in KMU funktionieren muss

Im Grosskonzern gibt es ein Awareness-Team, das Phishing-Kampagnen fährt und E-Learning-Module einkauft. Im KMU mit 30 Mitarbeitern macht das jemand nebenbei — meist die Person, die auch die IT betreut.

Die gute Nachricht: Kleine Teams sind sozial dichter. Ein persönliches Gespräch wirkt mehr als ein anonymes Pflichtmodul.

Was wirkt

  • Keine Jahresvorträge, sondern Monatshappen: fünf Minuten beim Team-Meeting, ein aktuelles Beispiel, eine klare Handlung. „Diese Woche gab es eine Phishing-Mail mit Absender Zollamt — so sah sie aus, das war verdächtig."
  • Positives Feedback, nicht Bestrafung: Wer eine verdächtige Mail meldet, bekommt ein Danke, keinen Test. Wer draufklickt, bekommt keine Rüge, sondern eine Erklärung.
  • Passwort-Manager als Grundrecht: Jeder Mitarbeiter bekommt einen Passwort-Manager. Keine Zettel, keine Excel-Liste, keine „Kennwort123". KeePassXC oder Vaultwarden — die Initialhürde ist der einzige Aufwand.

Phishing: Die Königsdisziplin

Der beste SPAM-Filter (NoSpamProxy, eigener Artikel) fängt 99 %. Das 1 %, das durchkommt — eine personalisierte Mail, ein aktueller Vorwand — erreicht den Menschen. Genau dafür ist Awareness da.

Regel: Niemals klicken, immer prüfen. Absenderadresse ansehen, nicht Absendernamen. Keine Anhänge öffnen, die nicht angekündigt waren. Im Zweifel: anrufen, nicht antworten.

NIS2 und Awareness

NIS2 verlangt „angemessene Schulungsmassnahmen". Das ist kein Zertifikat, das man an die Wand hängt, sondern ein Prozess, den man vorweisen können muss: Wer wurde wann zu welchem Thema geschult? Ein einfaches Log — selbst im Markdown-Git — reicht.

Awareness für Geschäftsführung

Die Geschäftsführung ist das beliebteste Ziel — voller Zugriff, wenig Zeit, hohe Autorität. Ein CEO-Betrug („Überweisen Sie bitte dringend...") funktioniert immer noch. Die Lösung: kurze Wege, persönliche Bestätigung, keine Zahlung ohne telefonische Rückfrage.

Fazit

Security Awareness im KMU braucht kein Budget, sondern jemanden, der dranbleibt. Kurze Impulse, klare Regeln, positive Kultur. Der Mensch ist nicht das schwächste Glied — er ist das letzte, wenn die Technik versagt. Und darauf muss er vorbereitet sein.