Awareness 2.0: Die 5-Level-Journey zur Human Firewall

Die Realität zeigt: Trotz regelmässiger Sensibilisierung und wachsendem Sicherheitsbewusstsein der Mitarbeitenden geraten Unternehmen nach wie vor täglich ins Visier raffinierter Cyberangriffe. Deshalb braucht es einen Ansatz, bei dem der Mensch im Mittelpunkt steht – denn nur mit Human Centered Security wird Cyberschutz wirklich wirksam und nachhaltig.

Abbildung 1: Spearphishing-Links und Phishing zählen zu den zehn häufigsten Einfallstoren. 

Selbst geschulte Teams bleiben angreifbar! Das zeigte der Angriff auf Radix in Zürich im Juni 2025 auf erschreckende Weise: Geschulte Mitarbeitende wurden gezielt ins Visier genommen und die „Human Firewall“ durch listige Methoden überwunden. Sensible Daten, auch aus Bundesverwaltungen, gelangten bei diesem Angriff in die Hände der Angreifer und tauchten später im Darknet wieder auf.

Dieser Vorfall verdeutlicht, wie gross die Gefahr auch oder besonders für kritische Infrastrukturen und deren Zulieferer in der Schweiz ist. Dabei zeigt sich, dass Wissen allein nicht reicht. Eine starke Human Firewall entsteht erst, durch eine systematische, gelebte Verhaltensänderung.

Im Wettlauf zwischen Angriff und Verteidigung stehen Spearphishing-Links und Phishing unangefochten an der Spitze der bedeutendsten Angriffsvektoren, wie aktuelle Auswertungen unseres Incident-Response-Teams zeigen.

Regulatorischer Druck auf die Sicherheitsverantwortlichen in den Unternehmen verstärken die Herausforderungen zusätzlich. Denn die EU verschärft kontinuierlich die Anforderungen an die Cybersicherheit. Auch der Schweizer Bund hat erkannt, dass menschliche Faktoren in der IT-Sicherheit gesetzlich stärker geregelt werden müssen. Weitere Regulierungen sind daher absehbar. Unternehmen, die jetzt handeln, sind deshalb klar im Vorteil.

Wer eine Organisation nachhaltig gegen Cyberbedrohungen schützen will, muss über reines Wissen hinausgehen, ganz ähnlich wie bei der eigenen Gesundheit. Denn genauso wenig, wie theoretisches Know-how über Ernährung und Bewegung automatisch fit macht, genügt es in punkto Security Awareness nicht, nur über mögliche Cybergefahren informiert zu sein.

Entscheidend für die Sicherheit eines Unternehmens ist, das richtige Verhalten zum Schutz vor Cyberangriffen durch Spearphishing, Phishing und Social Engineering regelmässig zu üben und im Alltag aktiv und dauerhaft zu verankern. 

Welche Massnahmen sind für eine starke Security Awareness zentral?

Auf dem Weg zu einer starken Sicherheitskultur durchläuft jede Organisation fünf unterschiedliche Entwicklungsstufen. Dabei ist es notwendig, zu erkennen, dass nicht nur Unternehmen als Einheit, sondern auch die Teams und einzelne Mitarbeitende im Unternehmen auf unterschiedlichen Reifegraden abzuholen sind.

Unsere Security Awareness Journey ermöglicht es Unternehmen, ihren aktuellen Maturitätsgrad, abgestimmt auf die jeweilige Ausgangslage, gezielt und mit den passenden Massnahmen zu erhöhen.

Abbildung 2: Sicherheitskultur von 0 auf 100 in 5 Etappen hochleveln.

Level 1: Einstieg - Inventar & Konzept (10 %)

Human Centered Security entfaltet erst dann ihre volle Wirkung, wenn die Ausgangslage und Ziele klar definiert sind. Vielen Unternehmen fehlt die Orientierung, wie sie den Einstieg in ihr Sensibilisierungsprogramm gestalten und an welchem Punkt sie ansetzen sollen.  Denn oft ist unklar, welche Teams die dringendste Unterstützung benötigen.

Genau hier setzt der erste Schritt der Security Awareness Journey an. Gemeinsam mit dem Unternehmen verschaffen wir uns einen strukturierten Überblick. über bestehende Ressourcen, relevante Zielgruppen und mögliche Stolpersteine und legen so das Fundament für ein gezieltes und wirkungsvolles Awareness-Programm.

Typische Schlüsselfragen:

• Was benötigen wir?
• Wo stehen wir aktuell?
• Wie gehen wir am besten vor?

Nach Analyse der Ausgangslage definieren wir mit dem Unternehmen die nächsten entscheidenden Schritte. Auf dieser Basis ist es möglich, ein solides, auf die Organisation zugeschnittenes Fundament zur Entwicklung einer nachhaltigen Security Awareness zu erarbeiten.

Level 2: Management Buy-in (30 %)

Nachhaltige Sensibilisierung und Verhaltensänderung in der Sicherheitskultur beginnt auf Führungsebene. Auf diesem Journey-Level prüfen wir, ob und wie stark das Thema Awareness im Management verankert ist. Anschliessend entwickeln wir gemeinsam konkrete Massnahmen, um die Führungsebene einzubinden und für das Thema zu gewinnen.

Typische Schlüsselfragen:

• Wird Awareness im C-Level getragen?
• Gibt es KPIs oder Budget?

Top-Massnahmen auf Level «Management Buy-in»:

• Management-Workshops
• Phishing-Simulationen mit Reporting
• KPIs und Report-Zusammenstellung

Level 3: Trainings & Schulungen (50 %)

Ziel beim Aufbau einer nachhaltigen Sicherheitskultur ist eine dauerhafte Verhaltensänderung. Dafür setzen wir auf ausgewählte, praxisnahe Schulungsformate und entwickeln bei Bedarf individuelle Trainings, die genau zu den aktuellen Anforderungen passen.

Typische Schlüsselfragen:

• Haben wir Schulungen für verschiedene Zielgruppen?
• Decken unsere Schulungen alle relevanten Risiken und aktuellen Bedrohungen ab?
• Welche Compliance-Anforderungen müssen wir erfüllen?

Top-Massnahmen auf Level «Trainings & Schulungen»:

• E-Learnings
• Persönliche Awareness Shows
• Admin-Schulung

Level 4: Engagement & Branding (70 %)

In dieser Phase stärken wir durch gezielte Massnahmen die positive Einstellung zur Sicherheit und fördern aktives Mitmachen. Denn nur so wird Awareness im Alltag lebendig und zu einem selbstverständlichen Teil der Unternehmenskultur.

Typische Schlüsselfragen:

• Werden Sicherheitsinhalte freiwillig und mit Interesse genutzt?
• Wie regelmässig und abwechslungsreich sind die Kommunikationsmassnahmen?

Top-Massnahmen auf Level «Engagement & Branding»:

• Kampagnen zu aktuellen Themen (z.B. Deepfakes, Künstliche Intelligenz)
• Awareness Videos
• Gamification

Level 5: Sicherheitskultur entwickeln (100 %)

Eine starke Sicherheitskultur wächst über reine Sensibilisierung hinaus. Sie zeigt sich, wenn messbare Erfolge erzielt und Sicherheit selbstverständlich in den Alltag integriert wird. Selbstverständlich ist das gemeinsame Mittragen durch Mitarbeitende und Management hier zentral.

Typische Schlüsselfragen:

• Wie steht es um die aktuelle Sicherheitskultur?
• Wie messen wir den Lernerfolg und die tatsächliche Verhaltensänderung?
• Wie stark identifizieren sich Mitarbeitende mit dem Thema Sicherheit?

Top-Massnahmen auf Level «Sicherheitskultur entwickeln»:

• Umfrage zur Sicherheitskultur
• Individuelles Security-Ambassadors-Programm 

Nutzen Sie Ihren Sicherheitsvorsprung mit InfoGuard

Wirksamer Schutz vor Cyberbedrohungen entsteht, wenn Schwächen sichtbar gemacht und durch passgenaue Massnahmen gezielt behoben werden.

Profitieren Sie von einer systematischen Herangehensweise zur präzisen Ermittlung des aktuellen Reifegrads und Identifikation der Schwachstellen in Ihrer Organisation. Anstatt Standardschulungen erhalten Sie eine massgeschneiderte Awareness-Strategie, die an den zentralen Hebeln ansetzt. Nämlich da, wo der markanteste Sicherheitsgewinn erzielt werden kann. 

Denn Cyber Security ist unsere Leidenschaft und im heutigen Bedrohungsfeld von Spearphishing-Links, Phishing und Social Engineering wissen wir: Ohne gelebte Security Awareness bleibt jede Verteidigung unvollständig. Deshalb setzen wir seit über 20 Jahren alles daran, unsere Kunden Tag für Tag vor Cyberbedrohungen zu schützen. Und weil Security Awareness kein fester Zustand sein kann, sondern Schritt für Schritt auf ein wirksames Level gehoben werden, ist die Analyse des eigenen Reifegrads ein zentraler Ausgangspunkt. 

Ob Sie erst den ersten Schritt gehen oder Ihre bestehende Human Firewall gezielt weiterentwickeln wollen: Für Ihre nächsten Schritten Ihrer Security Awareness Journey sind wir Ihr Partner.

Bildlegende: mit KI generiertes Bild