Erfolgsmessung bei Security Awareness Trainings – was wirklich zählt

Margarita Schmidt: Ein Klassiker ist die Klickrate bei Phishing-Simulationen: Wer öffnet Anhänge, klickt auf Links oder gibt Daten ein? Aber auch die Teilnahmequote an Schulungen, der Lernfortschritt oder das Meldeverhalten bei verdächtigen E-Mails spielen eine Rolle. Einige Unternehmen messen sogar, welche Reaktionszeit zwischen einer Phishing-Mail und der Meldung liegt.

Wir bemerken bei unseren Kunden, dass sie ein wachsendes Augenmerk auf die Qualität des Handelns legen: Melden Mitarbeitende nur reflexartig oder differenzieren sie zwischen eindeutigem Spam und echten Zweifelsfällen? Und wie konsequent wird im Alltag Gelerntes umgesetzt, etwa durch besseres Passwortmanagement oder ein erhöhtes Problembewusstsein.

Margarita Schmidt: Sie liefern Orientierung, aber keine Gewissheit. Bei einer Phishing Simulation sind Kennzahlen wie Klick- oder Melderaten nur dann aussagekräftig, wenn sie im richtigen Kontext stehen: Welche Mail wurde simuliert? Wie komplex war sie? Wie risikobehaftet ist die Rolle des Mitarbeitenden?

Die Erfahrung zeigt: Ein einzelner Wert – zum Beispiel – „9 von 10 Punkten im Sicherheitsindex“ – hat keine Aussagekraft und ist trügerisch. Sicherheit ist kein Zustand, sondern ein Verhalten. Und das verändert sich je nach Bedrohungslage, Schulung, Stresslevel oder Tagesform. Es braucht also eine differenzierte Betrachtung.

Margarita Schmidt: Die wirksamsten Kennzahlen sind die, die zur Unternehmensrealität passen. Einige unserer Kunden gehen das Thema sehr strategisch an und nutzen unterschiedliche Zahlen. Dazu gehört etwa das finanzielle Risiko eines Vorfalls – wenn der Betrieb für eine Stunde ausfällt, verursacht dies je nach Firmengrößen einen Schaden von 10.000 Euro oder mehr – oder die Anzahl potenziell abgewendeter Angriffe durch rechtzeitiges Melden. Andere betrachten wiederum das Meldeverhalten an den einzelnen Unternehmensstandorten, um kulturelle Unterschiede zu erkennen. Neben der Teilnahme- und Abschlussquote bei Trainingsreihen schauen Verantwortliche auch auf die Art der Phishing-Mails, die zu Reaktionen führen. Gibt es etwa einen signifikanten Unterschied zwischen einem CEO-Fraud und Massen-Phishing.

Diese Kennzahlen entstehen im Dialog zwischen IT, Geschäftsführung und Fachabteilungen. Nur so spiegeln sie die tatsächlichen Risiken und strategischen Ziele wider.

Margarita Schmidt: Viele Wettbewerber bieten pauschale Sicherheitsindizes an – ein Wert von 1 bis 100, der Awareness beziffern soll. Doch diese Scores wiegen aus meiner Sicht die Verantwortlichen in falscher Sicherheit. Ein hoher Wert bedeutet nicht, dass keine Angriffe mehr erfolgreich sein können. Awareness ist dynamisch – und lässt sich nicht über alle Branchen, Rollen und Unternehmensgrößen hinweg vereinheitlichen.

In der G DATA academy verzichten wir daher bewusst auf einen standardisierten Score. Stattdessen unterstützen wir unsere Kunden und Kundinnen dabei, individuelle Kennzahlen zu entwickeln. Angepasst auf das eigene Unternehmen, mit einem realistischen Blick auf Wirkung, Schwachstellen und Prioritäten.

Margarita Schmidt: Typische Parameter lassen sich aus einer Phishing-Simulation ableiten, beispielsweise die Reaktionszeit zwischen Erhalt und Meldung einer Phishing-Mail. Andere Firmen nutzen die Beteiligung von Führungskräften an Awareness-Maßnahmen als Faktor oder führen Umfragen in der Belegschaft durch. So erhalten sie Aussagen zur gefühlten Sicherheit und zu Verhaltensänderungen infolge von Awareness-Kampagnen. Einige Unternehmen berechnen sogar hypothetische Schadenssummen abgewendeter Vorfälle. Diese nutzen sie als Argumentationshilfe gegenüber der Geschäftsleitung oder dem Controlling, um Budget für Security Awareness Trainings zu erhalten.

Margarita Schmidt: Ein Phishing Simulation ist ein zentraler Bestandteil, denn sie erlaubt, realitätsnahe Szenarien zu testen – ohne echte Gefahr. Unternehmen können gezielt Mails nutzen, die typischen Angriffsmustern oder bekannten Vorfällen ähneln. Dabei lassen sich nicht nur Klickverhalten und Melderaten messen, sondern auch Reaktionen über Zeit und Standorte hinweg analysieren. Wichtig dabei ist: Phishing-Simulationen sollten nicht zur Kontrolle, sondern zur Aufklärung eingesetzt werden. Sie sollen Schwächen aufzeigen und nicht bloß Fehlverhalten dokumentieren.

Margarita Schmidt: Hier lassen sich zahlreiche Parameter nutzen, wie etwa die Klickrate auf Links, das Öffnen von Anhängen oder das Eingeben persönlicher Daten in gefälschte Formulare. Und auch die Reaktionszeit, also die Zeitspanne zwischen Öffnen und Meldung über einen Phishing-Button, ziehen Verantwortliche heran. Ebenfalls ist das Verhalten nach Fehlern sehr aufschlussreich. Wenn ein Angestellter im Verdachtsfall die IT informiert, ist das ein Zeichen für sein Sicherheitsbewusstsein. Ganz entscheidend ist aus meiner Sicht, dass sich über mehrere Kampagnen eine Verbesserung erkennen lässt. Einzelwerte sagen wenig. Aussagekräftig wird es erst, wenn Muster sichtbar werden und die Organisation daraus lernt.

Margarita Schmidt: Subjektive Einschätzungen ergänzen harte Fakten sinnvoll. Fragen wie „Fühlst du dich nach dem Training sicherer?“ oder „Hast du etwas im Alltag geändert?“ geben Hinweise darauf, ob Inhalte tatsächlich wirken. Diese qualitative Feedback lässt sich sowohl in Einzelgesprächen als auch über Umfragen einholen.

Ein Beispiel: Wenn Mitarbeitende berichten, dass sie immer ihren Bildschirm sperren, wenn sie den Arbeitsplatz verlassen. Dafür müssen sie nur die Windows-Taste gleichzeitig mit der „L“-Taste drücken. Das lässt sich nicht in Prozenten messen, aber es zeigt, dass Awareness in den Arbeitsalltag übernommen wurde.

Margarita Schmidt: Reaktionszeiten zeigen, wie schnell Personen eine Bedrohung erkennen und ob sie wissen, was im Ernstfall zu tun ist. Ein schneller Klick auf „Melden“ kann entscheidend sein, um Schaden zu vermeiden.

Der Lernfortschritt wiederum offenbart, ob Schulungen konsequent durchlaufen werden und ob es Hürden gibt, etwa wegen zeitlicher Überlastung einzelner Personen oder technische Probleme. Führungskräfte sind dabei als Vorbilder besonders relevant. Wenn sie Zeit für die Schulungen finden, sollten andere Angestellte das auch schaffen.

Margarita Schmidt: Die Sehnsucht nach Benchmarks ist verständlicherweise groß. Doch in der Security Awareness sind Vergleiche mit Vorsicht zu genießen. Jede Organisation tickt anders. Wer einem Wert vertraut, der besser als der Branchendurchschnitt ist, vergisst: Es reicht nur ein Klick, um einen IT-Sicherheitsvorfall auszulösen.

Ich empfehle daher: Jedes Unternehmen sollte eigene Ziele definieren. Was sollen die Angestellten nach sechs oder zwölf Monaten erreicht haben? Diese Ziele sind als Benchmark viel relevanter als jeder Branchenwert.

Margarita Schmidt: Man kann noch so viele Kennzahlen haben, entscheidend ist die Bedeutung dahinter. Wer weiß, dass ein Klick mehrere tausend Euro kosten oder den Betrieb lahmlegen kann, handelt anders.

Dabei ist gute Kommunikation entscheidend: Die Verantwortlichen sollten den Mitarbeitenden zeigen, was auf dem Spiel steht. Ohne erhobenen Zeigefinger, aber mit Klartext. Sicherheitsbewusstsein lässt sich durch Schulungen, Aktionen und Erfolgsgeschichten sichtbar machen. Ganz wichtig ist außerdem, dass Führungskräfte Security Awareness vorleben müssen.

Security Awareness lässt sich nicht auf eine Zahl reduzieren. Doch mit klugen KPIs, realistischen Zielen und einem ganzheitlichen Verständnis für Sicherheit entsteht ein Bild, das mehr ist als eine Momentaufnahme. Es zeigt: Wir entwickeln uns weiter. Und wir sind wachsam.