settings
OTEX_BIGISTQB®
Süddeutsche Zeitung Institut Auszeichnung
Image
Alle Weitere Themen Schulungen

Schulung IT-Sicherheit am Arbeitsplatz: Security Awareness für Mitarbeitende

Phishing erkennen, Social Engineering durchschauen, Passwörter sicher verwalten 

1 Tag / S6915
Neues Seminar
Per E-Mail senden

Schulungsformen

Inhouse-/Firmenschulung

  • 1 Tag - anpassbar
  • Termin nach Wunsch
  • In Ihrem Hause oder bei der GFU
  • Preis nach Angebot
  • Lernumgebung in der Cloud
  • Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
Präsenz Online Hybrid
Unverbindlich anfragen

Individualschulung

  • 1 Tag - anpassbar
  • Termin nach Wunsch
  • In Ihrem Hause oder bei der GFU
  • Preis nach Angebot
  • Lernumgebung in der Cloud
  • 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Präsenz Online Hybrid
Unverbindlich anfragen

Beschreibung

Über 90 % aller erfolgreichen Cyberangriffe beginnen nicht mit einem technischen Hack - sondern mit einem Klick. Einer Mitarbeiterin wird eine E-Mail geschickt, die aussieht wie eine Nachricht von der IT-Abteilung: „Ihr Passwort läuft ab, klicken Sie hier." Ein Buchhalter bekommt einen Anruf vom angeblichen Geschäftsführer: „Überweisen Sie sofort 47.000 Euro an diesen Lieferanten, es eilt." Ein Praktikant findet einen USB-Stick auf dem Parkplatz und steckt ihn in seinen Rechner.
Die beste Firewall, das teuerste SIEM, die modernste Endpoint Protection - alles nutzlos, wenn ein Mitarbeitender auf den falschen Link klickt. Deshalb verpflichten NIS-2, ISO 27001 und BSI IT-Grundschutz Unternehmen zu regelmäßigen Security-Awareness-Schulungen für alle Mitarbeitenden.
Dieses Ein-Tages-Seminar ist kein Folienvortrag über abstrakte Bedrohungen. Es ist ein interaktiver Praxis-Tag : die Teilnehmenden erleben Live-Phishing-Demos, üben das Erkennen manipulierter E-Mails, richten Passwort-Manager und Multifaktor-Authentifizierung ein und lernen die konkreten Verhaltensregeln, die sie ab morgen im Büroalltag anwenden. Der Aha-Effekt, wenn die selbst verfasste Phishing-Mail von der Hälfte der Gruppe angeklickt wird, wirkt nachhaltiger als jeder Compliance-Vortrag.

Schulungsziel

Jede teilnehmende Person verlässt das Seminar mit der Fähigkeit, Phishing-E-Mails, Social Engineering und Manipulationsversuche zu erkennen, einem funktionierenden Passwort-Manager und aktivierter MFA, dem Wissen über sicheres Verhalten im Büroalltag (Clean Desk, WLAN, mobile Geräte, KI-Tools), der Kenntnis der Meldewege bei Sicherheitsvorfällen, einer persönlichen Notfallkarte mit Ansprechpartnern und einem Teilnahmenachweis für Compliance-Anforderungen (NIS-2, ISO 27001, BSI IT-Grundschutz).

Details

Inhalt

1. Bedrohungslage: Warum gerade ich?
  • Ziele und Erwartungen der Teilnehmenden
    • Klärung individueller Lernziele und Erwartungen für ein praxisnahes und relevantes Seminar
  • Warum Mitarbeitende das Hauptziel sind - nicht Server, nicht Firewalls, sondern Menschen. Aktuelle Beispiele: erfolgreiche Angriffe auf deutsche Unternehmen und Behörden (anonymisiert, aus den letzten 12 Monaten).
  • Angreifertypen: organisierte Kriminalität (Ransomware, Erpressung), staatliche Akteure (Spionage), Innentäter (fahrlässig oder absichtlich). Was Angreifer wollen: Zugangsdaten, Geld, Daten, Verschlüsselung als Druckmittel.
  • Der Faktor Mensch: Stress, Zeitdruck, Hilfsbereitschaft und Autoritätshörigkeit als Einfallstore - Angreifer nutzen menschliche Psychologie, nicht technische Schwachstellen.
  • Interaktiv: Kurzes Quiz: „Würden Sie auf diese E-Mail klicken?" - 5 Screenshots (3 Phishing, 2 echt). Ergebnis: fast alle liegen mindestens einmal falsch.
2. Phishing erkennen: E-Mail, SMS, Anruf und QR-Code
  • E-Mail-Phishing: Absenderadresse prüfen (Display-Name vs. tatsächliche Adresse), Links prüfen (Hover statt Klick - wohin führt der Link wirklich?), Dringlichkeit und Drohung als Warnsignal, untypische Sprache und Formatierung, Anhänge von Unbekannten.
  • Spear-Phishing und CEO-Fraud: Personalisierte Angriffe, die echte Namen, Positionen und interne Informationen verwenden. „Ihr Chef" bittet per E-Mail um eine Überweisung - warum das funktioniert und wie man es durchschaut.
  • Smishing (SMS) und Vishing (Telefon): Paketbenachrichtigungen mit Link, Anrufe von der „IT-Abteilung" oder der „Bank". Quishing (QR-Codes): manipulierte QR-Codes auf Flyern, Parkautomaten oder in E-Mails.
  • KI-generiertes Phishing: Warum Phishing-Mails 2026 perfektes Deutsch haben, keine Rechtschreibfehler mehr enthalten und sogar den Schreibstil des angeblichen Absenders imitieren. Alte Erkennungsregeln (Tippfehler, schlechte Grammatik) greifen nicht mehr - neue Regeln nötig.
  • Praxis-Übung: Live-Phishing-Simulation: 10 E-Mails analysieren (Phishing oder echt?) - jede einzeln durchsprechen, Erkennungsmerkmale identifizieren. Dann: die Gruppe verfasst selbst eine Phishing-Mail für ein fiktives Szenario -> erkennen, wie einfach es ist.
3. Social Engineering: Manipulation durchschauen
  • Techniken: Pretexting (falsche Identität vortäuschen: „Ich bin der neue IT-Techniker"), Tailgating (hinter jemandem durch die gesicherte Tür gehen), Baiting (USB-Stick auf dem Parkplatz), Quid pro quo (Hilfe anbieten im Austausch für Zugangsdaten).
  • Psychologische Hebel: Autoritätshörigkeit (der „Chef" ruft an), Hilfsbereitschaft (Kollegin braucht dringend Zugang), Zeitdruck (Frist läuft ab), Angst (Ihr Konto wird gesperrt), Neugier (USB-Stick mit der Aufschrift „Gehaltsliste 2026").
  • Richtig reagieren: Rückfrage über einen zweiten Kanal (anrufen statt auf die E-Mail antworten), keine Zugangsdaten am Telefon nennen, fremde Personen im Gebäude ansprechen, USB-Sticks nicht anschließen, im Zweifel die IT-Abteilung fragen - lieber einmal zu viel als einmal zu wenig.
  • Interaktiv: Rollenspiel: ein Szenario wird vorgespielt (Anruf eines „IT-Technikers", der Remote-Zugriff benötigt). Teilnehmende reagieren -> Auflösung und Diskussion.
4. Passwörter und Authentifizierung
  • Warum Passwörter das schwächste Glied sind: die häufigsten Passwörter (123456, password, Name+Geburtsjahr), Credential Stuffing (ein geleaktes Passwort wird überall probiert), Brute Force.
  • Sichere Passwörter: lang > komplex (Passphrase „Mein-Hund-frisst-gerne-Käse-2026!" vs. „P@55w0rd!"). Für jedes Konto ein eigenes Passwort - kein Mensch kann sich 50 einzigartige Passwörter merken.
  • Passwort-Manager: Was ist das, wie funktioniert es, warum ist es sicherer als das Notizbuch in der Schublade? Ein Master-Passwort, der Manager generiert und speichert alle anderen. Keine Angst: der Tresor ist verschlüsselt.
  • Multifaktor-Authentifizierung (MFA): Wissen (Passwort) + Besitz (Handy/Token) + Biometrie (Fingerabdruck). Warum MFA 99 % aller Account-Übernahmen verhindert. Authenticator-App vs. SMS (SMS ist unsicher, App bevorzugen).
  • Praxis-Übung: Passwort-Manager auf dem Seminar-Gerät einrichten (oder auf dem eigenen Smartphone). 3 Passwörter migrieren. MFA für ein Testkonto aktivieren. Ergebnis: jeder Teilnehmende verlässt das Seminar mit einem funktionierenden Passwort-Manager und aktivierter MFA.
5. Sicheres Verhalten im Büroalltag
  • Clean Desk: Bildschirmsperre beim Verlassen (Win+L), keine vertraulichen Dokumente offen liegen lassen, Drucker-Ausgaben sofort abholen, Gäste nicht allein lassen.
  • Mobile Geräte: Smartphone-Sperre, keine unbekannten Apps installieren, Bluetooth und WLAN nicht permanent offen, keine vertraulichen Gespräche in der Öffentlichkeit.
  • Öffentliches WLAN: Warum Hotel-WLAN gefährlich ist (Man-in-the-Middle). VPN als Schutz. Mobile Daten als sicherere Alternative.
  • Datenträger und Cloud: USB-Sticks verschlüsseln oder vermeiden, Dateien über firmeneigene Cloud teilen (nicht per WeTransfer oder privater Dropbox), vertrauliche Dokumente nicht per privater E-Mail weiterleiten.
  • KI-Tools und Datenschutz: Keine vertraulichen Firmendaten, Kundendaten oder personenbezogenen Daten in öffentliche KI-Tools (ChatGPT, Gemini) eingeben - die Daten werden für Training verwendet. Firmeninterne KI-Tools nutzen, wenn vorhanden.
  • Interaktiv: Foto-Quiz: 5 Arbeitsplatz-Fotos mit Sicherheitsverstößen (offener Bildschirm mit Kundendaten, Passwort auf Post-it, unbeaufsichtigter Besuch, offenes Postfach, USB-Stick im Rechner). Teilnehmende identifizieren die Verstöße.
6. Wenn es passiert ist: Vorfälle erkennen und melden
  • Warnsignale: Ungewöhnliche Systemverlangsamung, Pop-ups mit Lösegeld-Forderung, Kollegen berichten über seltsame E-Mails von meinem Account, Login-Benachrichtigungen für Orte an denen ich nicht war, unbekannte Abbuchungen.
  • Meldewege: An wen wende ich mich? (IT-Abteilung, IT-Sicherheitsbeauftragter, Datenschutzbeauftragter - die konkreten Ansprechpartner im eigenen Unternehmen identifizieren). Lieber einmal zu viel melden als einmal zu wenig. Keine Schuldzuweisung - Melden ist erwünscht, Vertuschen ist gefährlich.
  • Was tun bei Ransomware: Rechner sofort vom Netzwerk trennen (Kabel ziehen, WLAN aus), nicht auf Forderungen eingehen, IT-Abteilung rufen. Was tun bei Datenverlust: IT-Abteilung und Datenschutzbeauftragten informieren (72-Stunden-Meldefrist nach DSGVO).
  • Praxis-Übung: Notfallkarte ausfüllen: „Mein Ansprechpartner bei IT-Sicherheitsvorfällen ist ___. Die Telefonnummer ist ___. Bei Ransomware tue ich als Erstes ___." Karte mitnehmen und am Arbeitsplatz aufhängen.
7. Abschluss-Quiz und persönlicher Sicherheitsplan
Abschluss-Quiz (15 Min):
  • 15 Fragen (Multiple Choice + Szenarien) - alles aus dem Seminartag. Auswertung direkt: wo steht die Gruppe? Welche Themen sind gefestigt, wo gibt es noch Unsicherheit?
  • Zertifikat: Teilnahmebestätigung für die Personalakte - als Nachweis für NIS-2-, ISO-27001- oder BSI-Compliance.
Persönlicher Sicherheitsplan (15 Min):
  • Jeder Teilnehmende erstellt einen Plan mit 5 konkreten Maßnahmen, die ab morgen umgesetzt werden: (1) Passwort-Manager für alle Konten nutzen, (2) MFA überall aktivieren, (3) Bildschirmsperre bei jedem Verlassen, (4) Keine Links in E-Mails klicken ohne Hover-Prüfung, (5) Eigene Maßnahme.

  • Alle Mitarbeitenden eines Unternehmens: Vom Empfang über die Buchhaltung bis zur Geschäftsleitung - IT-Sicherheit betrifft jeden, der einen Rechner, ein Smartphone oder E-Mail nutzt.
  • Führungskräfte: Die ihre Vorbildfunktion bei IT-Sicherheit verstehen und Sicherheitskultur im Team vorleben.
  • Neue Mitarbeitende: Die im Rahmen des Onboardings für IT-Sicherheitsrisiken sensibilisiert werden.
  • Unternehmen mit NIS-2- oder ISO-27001-Pflicht: Die nachweisbare Awareness-Schulungen für alle Mitarbeitenden benötigen.
Voraussetzungen: Keine. Das Seminar richtet sich an alle Mitarbeitenden unabhängig von IT-Kenntnissen. Alltagswissen im Umgang mit E-Mail, Internet und Smartphone genügt.


In Präsenz
Online
Lernmethode

Ausgewogene Mischung aus Theorie und praktischen Übungen auf persönlichem Schulungs-PC.

Wie auch bei unseren Präsenz-Seminaren: Ausgewogene Mischung aus Theorie und praktischen Übungen. Trainer durchgehend präsent.

Unterlagen

Seminarunterlagen oder Fachbuch inklusive. Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne.

Seminarunterlagen oder Fachbuch inklusive (via DHL). Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne.

Arbeitsmaterialien

Din A4 Block, Notizblock, Kugelschreiber, USB-Stick, Textmarker, Post-its

Teilnahmezertifikat

Nach Abschluss des Seminars erhalten Sie das Teilnahmezertifikat inkl. Inhaltsverzeichnis per E-Mail als PDF.


In Präsenz
Online
Teilnehmendenzahl

min. 1, max. 8 Personen

Garantierte Durchführung *

Ab 1 Teilnehmenden

Schulungszeiten
1 Tag, 09:00 - 16:00 Uhr
Ort der Schulung
GFU Schulungszentrum oder Virtual Classroom
GFU Schulungszentrum
Am Grauen Stein 27
51105 Köln-Deutz

oder online im Virtual Classroom oder europaweit bei Ihnen als Inhouse-Schulung

Um ein optimales Raumklima zu gewährleisten, haben wir das Schulungszentrum mit 17 hochmodernen Trotec TAC V+ Luftreinigern ausgestattet. Diese innovative Filtertechnologie (H14 zertifiziert nach DIN EN1822) sorgt dafür, dass die Raumluft mehrfach pro Stunde umgewälzt wird und Schadstoffe zu 99.995% im HEPA-Filter abgeschieden und infektiöse Aerosole abgetötet werden.

Zusätzlich sind alle Räume mit CO2-Ampeln ausgestattet, um jederzeit eine hervorragende Luftqualität sicherzustellen.

Räumlichkeiten

Helle und modern ausgestattete Räume mit perfekter Infrastruktur

Bequem aus dem Homeoffice von überall

All-Inclusive

Frühstück, Snacks und Getränke ganztägig, Mittagessen im eigenen Restaurant, täglich 6 Menüs, auch vegetarisch

Eine Auswahl unserer Frühstücks-Snacks und Nervennahrungs-Highlights senden wir Ihnen mit den Seminarunterlagen via DHL zu.
Barrierefreiheit

Das GFU-Schulungszentrum (Am Grauen Stein 27) ist barrierefrei

-

In Präsenz
Online
  • Eigener Shuttle-Service
  • Reservierte Parkplätze
  • Hotelreservierung
  • Technik-Sofort-Support

Buchungsmöglichkeiten

Online oder in Präsenz teilnehmen

Sie können sowohl Online als auch in Präsenz am Seminar teilnehmen. Klicken Sie bei Ihrer Buchung oder Anfrage einfach die entsprechende Option an.

Mehr Infos
Inhouse-/Firmenschulung
  • Lernumgebung in der Cloud
  • Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
Präsenz Online Hybrid
Unverbindlich anfragen
Individualschulung
  • Lernumgebung in der Cloud
  • 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Präsenz Online Hybrid
Unverbindlich anfragen

So haben GFU-Kunden gestimmt

Zu diesem Seminar wurden noch keine Bewertungen abgegeben.

FAQ für Inhouse Schulungen

Bei einer offenen Schulung stehen Ort und Termin vorab fest. Jeder Interessent kann eine offene Schulung buchen, daher treffen Teilnehmer aus verschiedenen Unternehmen aufeinander.

Inhouse Schulungen können auf Ihren individuellen Schulungsbedarf zugeschnitten werden. Sie bestimmen den Teilnehmerkreis, Termin und Schulungsort.

Bei einer Inhouse Schulung gehen wir auf die individuellen Bedürfnisse Ihres Unternehmens ein und decken den Schulungsbedarf direkt bei Ihnen im Unternehmen ab.

Das spart Zeit und Geld und sorgt für einen schnellen Wissenstransfer Ihrer Mitarbeiter.

Eine komplette Lernumgebung in der Cloud mit Remote Zugriff ist für uns selbstverständlich. Sie müssen sich um nichts kümmern. Lediglich ein funktionierender PC oder Notebook mit Internetanschluss sollte für jeden Teilnehmer am Schulungstag bereit stehen.

  • Kompetente Seminarberatung
  • Dozenten aus der Praxis
  • Auf Ihre Bedürfnisse zugeschnittener individueller Lernstoff
  • Sie können den Termin flexibel gestalten, so wie es für Sie am besten passt
  • Unsere Inhouse Schulungen können Europaweit durchgeführt werden
  • Der Fokus liegt auf Ihrem Schulungsbedarf, somit schonen Sie Ihr Budget
  • Wissenslücken Ihrer Mitarbeitet werden schnell geschlossen
aegallianzaxaElement 1deutsche-bankdeutsche-postlufthansamercedessonyzdf
160.051
Teilnehmende
4.709
Seminarthemen
39.033
Durchgeführte Seminare