LeistungenReferenzenBlogÜber unsStandorteKontakt

Menschliches Risiko messen und reduzieren

Security Awareness – den Faktor Mensch zur ersten Verteidigungslinie machen

Technische Kontrollen können 80 % der Angriffe abwehren. Die verbleibenden 20 % – überwiegend Phishing, Social Engineering und kompromittierte Zugangsdaten – gelangen über Mitarbeitende ins Unternehmen. MineData implementiert und betreibt Security-Awareness-Programme, die messbar und nachhaltig das Sicherheitsverhalten verändern. Wir setzen auf die KnowBe4-Plattform, einen der weltweit führenden Anbieter für Human Risk Management, und passen Inhalte, Kampagnen und Reporting auf Schweizer und deutsche KMU zu.

Unverbindlich beraten lassen+41 41 552 1311

Warum Security Awareness?

Rund 90 % erfolgreicher Datenpannen beginnen mit einem menschlichen Klick. Ein Mitarbeitender öffnet einen Link, gibt Zugangsdaten auf einer gefälschten Seite ein oder lädt eine Makro-Word-Datei herunter. Keine Firewall, kein Endpoint-Schutz und kein SIEM kann diesen ersten Schritt verhindern – nur das Verhalten selbst.

Klassische einmalige E-Learning-Kurse wirken nicht. Mitarbeitende klicken trotzdem, weil der Angreifer mit den neuesten Techniken arbeitet und das gelernte Wissen nach wenigen Wochen verblasst. Effektive Awareness braucht kontinuierliche Wiederholung, realistisches Training am echten Angriffsmuster und messbare Verhaltensmetriken.

Leistungsumfang

Unser Awareness-Programm ist modular aufgebaut und wird auf eure Organisation angepasst – Branche, Sprachen, Vorbildung, regulatorischer Rahmen. Wir übernehmen Setup, Betrieb und die Auswertung; euer Team muss nichts selbst bauen.

  • Baseline-Phishing-Test vor Start: misst die Klickrate, bevor ein einziger Kurs läuft – damit ist der Fortschritt über Monate nachvollziehbar
  • Kontinuierliche Phishing-Simulationen: realistische, regelmässige Kampagnen mit wechselnden Templates (Rechnung, Microsoft 365, Paket, interne Kommunikation)
  • Microtraining-Kurse: 3–5-minütige Videos und Quizzes, die Mitarbeitende nebenbei absolvieren und die auf erkannten Schwächen aufsetzen
  • USB-Drop- und Smishing-Tests (SMS-Phishing) als Ergänzung zu E-Mail-Phishing
  • Rollenbasierte Inhalte: Führungskräfte erhalten andere Trainings als Buchhaltung oder IT
  • Mehrsprachigkeit: Deutsch, Französisch, Italienisch, Englisch – KnowBe4 bietet über 35 Sprachen
  • PhishER-Reporting-Plugin: ein Klick in Outlook / M365 meldet verdächtige Mails an uns, wir triagieren und antworten dem Mitarbeitenden
  • Monatliche Management-Reports mit Klickrate, Meldequote, Abschlussquote pro Abteilung

Ablauf der Einführung

Typischer Zeitrahmen vom Kickoff bis zum produktiven Betrieb: vier bis sechs Wochen. Das Programm läuft anschliessend fortlaufend, typischerweise mit einem jährlichen Review und Inhalts-Refresh.

  • Kickoff & Scoping: Definition der Zielgruppen, Sprachen, Compliance-Anforderungen und des Kommunikationsplans
  • Setup KnowBe4: Benutzer-Import aus Azure AD / Google Workspace, Policy-Konfiguration, Allowlist-Einträge
  • Baseline-Phishing: der erste Test läuft anonymisiert, um die Klickrate zu dokumentieren
  • Trainings-Rollout: erste Kurse zugewiesen, Fristen kommuniziert, Führungskräfte informieren ihre Teams
  • Laufender Betrieb: monatlich neue Phishing-Kampagne + 1–2 Kurse, vierteljährliche Management-Reviews

Für wen ist das geeignet?

Awareness-Programme sind für jede Organisation mit mindestens 10 Mitarbeitenden sinnvoll. Zwingend werden sie, sobald ihr ISO-27001-zertifiziert seid, NIS2-pflichtig werdet, mit sensiblen Kundendaten arbeitet (Gesundheit, Recht, Finanzen) oder eine Cyberversicherung mit reduziertem Selbstbehalt abschliesst.

Besonders hohe Wirkung erzielt das Programm bei Organisationen mit hohem Anteil an administrativen Mitarbeitenden (Buchhaltung, HR, Kundendienst) – genau die Rollen, die typischerweise Ziel von Business-Email-Compromise-Angriffen sind.

Praxisbeispiel: BERNT LORENTZ GmbH

BERNT LORENTZ hat mit MineData ein Schulungsportal für die gesamte Belegschaft aufgebaut. Sicherheitsvideos, Kurse, Quizzes und Awareness-Inhalte sind flexibel in den Arbeitsalltag integriert – vom Einkauf bis zur Geschäftsleitung.

Jens Lorentz, CFO: «In der heutigen Zeit halte ich es für extrem wichtig, sich mit Cybersicherheit auseinanderzusetzen. Die Schulungen von MineData waren sehr lehrreich — selbst skeptische Mitarbeitende haben wertvolle Erkenntnisse gewonnen.»

Referenz · BERNT LORENTZ GmbH

Security-Awareness-Programm für eine verteilte Belegschaft

Parallel zum Managed SOC hat BERNT LORENTZ ein kontinuierliches Security-Awareness-Programm eingeführt. Ziel: die Belegschaft zur ersten Verteidigungslinie machen und messbar die Anfälligkeit für Phishing und Social Engineering reduzieren.

Vollständige Case Study lesen

Häufige Fragen

Wie messt ihr den Erfolg des Programms?

Wir messen drei Kernmetriken monatlich: Phishing-Klickrate (wie viele Mitarbeitende klicken auf simulierte Phishing-Mails), Meldequote (wie viele Mitarbeitende melden verdächtige Mails über das PhishER-Plugin) und Abschlussquote (wie viele Mitarbeitende erledigen zugewiesene Trainings fristgerecht). Nach 12 Monaten mit aktivem Programm sinkt die Klickrate typischerweise von 20–30 % auf unter 5 %.

Wie viel Zeit müssen unsere Mitarbeitenden investieren?

Typischerweise 15–30 Minuten pro Monat: eine kurze Phishing-Simulation (die entweder erkannt oder nicht erkannt wird) plus ein Microtraining von 3–10 Minuten. Der Aufwand ist bewusst klein gehalten, um die Akzeptanz hoch zu halten und Trainings-Müdigkeit zu vermeiden.

Was kostet Security Awareness?

Die Kosten setzen sich aus KnowBe4-Lizenz (pro Nutzer und Jahr, staffelabhängig) und unserer Betriebspauschale zusammen. Für ein mittelständisches KMU mit 100 Mitarbeitenden liegt das Gesamtpaket typischerweise zwischen CHF 8'000 und CHF 14'000 pro Jahr – deutlich günstiger als der durchschnittliche Schaden eines einzigen erfolgreichen Phishing-Angriffs.

Wir hatten schon mal ein Awareness-Training. Warum nochmal?

Einmalige Trainings wirken maximal 3 Monate. Danach fallen Mitarbeitende messbar in alte Muster zurück. Effektive Awareness ist kontinuierlich, nicht projektbasiert. Auch Angriffsmuster ändern sich laufend – die Deepfake-Voice-Anrufe und QR-Code-Phishing der Jahre 2025/2026 waren vor zwei Jahren kein Thema.

Können wir die Inhalte an unsere Branche anpassen?

Ja. KnowBe4 hat branchenspezifische Kursreihen für Gesundheitswesen, Finanzindustrie, Fertigung, Bildung und öffentliche Verwaltung. Wir wählen die passenden Module aus und können zusätzlich eigene Kampagnen mit euren Branding und euren realen Beispielen (anonymisiert) erstellen.

Unterstützt ihr auch die Aufarbeitung echter Vorfälle?

Ja. Wenn ein tatsächlicher Vorfall passiert – ein Mitarbeitender meldet einen realen Phishing-Versuch oder es wurde bereits geklickt – unterstützen wir bei der Aufarbeitung: Forensik der Mail-Indikatoren, Prüfung auf Folgeinfektionen, interne Kommunikation mit betroffenem Team, ggf. Integration in das nächste Training-Modul als echtes Beispiel.

Verwandte Leistungen

Cybersecurity

SOC as a Service

Managed Security Operations Center für Schweizer und deutsche KMU. 24/7-Überwachung, Echtzeit-Incident Response und forensische Analyse. Von MineData in Baar und Konstanz.

Mehr erfahren

Cybersecurity

Penetration Testing

Ethische Hacking-Services für Schweizer und deutsche KMU. Externe und interne Pentests, Web-Applikations-Tests, Social Engineering und Red-Team-Simulationen. MineData Baar & Konstanz.

Mehr erfahren

Bereit, ein Gespräch zu führen?

Wir prüfen mit Ihnen in einem 30-minütigen, unverbindlichen Gespräch, ob und wie Security Awareness für Ihr Unternehmen sinnvoll ist. Standorte in Baar (Schweiz) und Konstanz (Deutschland).

Kontakt aufnehmeninfo@minedata.ch
Alle Leistungen

Wir verwenden Google Analytics zur Verbesserung unserer Website. Ihre IP-Adresse wird anonymisiert. Mehr erfahren