StartseiteBlog → Blue Collar & Deskless
HomeBlog → Blue Collar & Deskless

Security Awareness für Blue Collar und Deskless Workers — Warum klassische Trainings die Hälfte der Belegschaft vergessen

April 2026

Die meisten Security Awareness Trainings sind für Büroarbeitsplätze gemacht: 60 Minuten am Desktop, Firmenlaptop vorausgesetzt, Login über Active Directory. Für Mitarbeitende in Produktion, Logistik, Handel, Gastronomie oder Außendienst funktioniert dieses Modell nicht — und genau dort entsteht die gefährlichste Lücke.

Die blinde Stelle — Mitarbeitende ohne Firmen-Laptop

In vielen Unternehmen arbeiten 30 bis 60 Prozent der Belegschaft ohne eigenen Firmen-Computer. Produktionsmitarbeitende, Lagerpersonal, Fahrer, Filialmitarbeitende im Einzelhandel, Außendiensttechniker — sie alle haben selten eine Firmen-E-Mail-Adresse, keinen Zugang zum LMS und oft keinen eigenen Schreibtisch.

Für die IT-Abteilung sind diese Mitarbeitenden unsichtbar. Sie tauchen in keinem Active Directory auf, sie bekommen keine Software-Rollouts und sie werden bei der Planung von Awareness-Maßnahmen schlicht vergessen.

Aber für Angreifer sind sie keineswegs unsichtbar. Ein Produktionsmitarbeiter, der einen USB-Stick auf dem Parkplatz findet und in den erstbesten Rechner steckt. Ein Lagermitarbeiter, der eine SMS mit einem „Lieferstatus-Update" erhält und auf den Link klickt. Ein Filialleiter, der am privaten Handy eine angebliche Nachricht der Zentrale öffnet. Die menschliche Angriffsfläche endet nicht am Schreibtisch.

Warum Standard-E-Learnings hier nicht funktionieren

Klassische Security-Awareness-Trainings scheitern bei Blue-Collar-Mitarbeitenden aus drei Gründen.

Der erste ist der Zugang. Wer keinen Firmen-Laptop und keine Firmen-E-Mail hat, kommt gar nicht erst auf die Trainingsplattform. Die meisten Enterprise-Lösungen setzen einen Active-Directory-Account voraus — den ein Produktionsmitarbeiter nicht hat.

Der zweite ist das Format. Ein 60-Minuten-Modul am Desktop ist in einer Produktionsumgebung nicht umsetzbar. Es gibt keine 60 Minuten ungestörte Bildschirmzeit. Die Module müssen kurz, mobil und unterbrechbar sein.

Der dritte ist die Sprache. Trainings voller Fachjargon — „Implementieren Sie Multi-Faktor-Authentifizierung für alle privilegierten Accounts" — gehen an der Lebensrealität eines Lagermitarbeiters vorbei. Die Inhalte müssen verständlich sein, ohne herablassend zu wirken.

Was stattdessen funktioniert

Mobile-First ist nicht optional, sondern Voraussetzung. Das Training muss am privaten Smartphone des Mitarbeiters funktionieren — komplett, ohne Einschränkungen, ohne App-Installation. Ein responsive Design reicht nicht; die gesamte Erfahrung muss für einen 6-Zoll-Bildschirm konzipiert sein.

Der Login muss ohne Firmen-E-Mail und ohne Passwort funktionieren. Ein Einmal-Code per E-Mail — auch an eine private E-Mail-Adresse — ist der niedrigschwelligste Zugang. Keine Registrierung, kein Account-Management, kein IT-Aufwand.

Die Module müssen kurz sein: 10 bis 15 Minuten pro Einheit, jederzeit unterbrechbar mit automatischer Fortschrittsspeicherung. Ein Produktionsmitarbeiter kann das in der Pause am Handy absolvieren.

Storytelling statt Bullet Points: Geschichten bleiben im Gedächtnis, Aufzählungslisten nicht. Ein Szenario, in dem ein Kollege auf einen Phishing-Angriff hereinfällt, ist einprägsamer als zehn Regeln zum Auswendiglernen. Interaktive Formate — Spiele, Szenarien, Quizzes — erhöhen das Engagement zusätzlich.

Die gesamte Angriffsfläche schützen

Security Awareness für Blue Collar umfasst andere Bedrohungsszenarien als für Büromitarbeitende.

Social Engineering am Werkstor: Ein Unbekannter folgt einem Mitarbeiter durch die Tür, gibt sich als Handwerker oder Lieferant aus. Tailgating ist in Produktionsumgebungen ein reales Risiko.

USB-Sticks und physische Medien: In Fabrikhallen, auf Parkplätzen, in Pausenräumen — manipulierte Speichermedien werden gezielt platziert.

Vishing am Festnetztelefon: In Empfangsbereichen, Lagerbüros und Filialen stehen Telefone, die von jedem bedient werden. Angreifer nutzen das gezielt.

Mobile Risiken: Wenn Mitarbeitende das private Smartphone auch für dienstliche Kommunikation nutzen — WhatsApp-Gruppen, private E-Mail für Dienstpläne — verwischt die Grenze zwischen privat und dienstlich. Das schafft neue Angriffsvektoren.

Ein Awareness-Training, das nur Phishing-Mails am Desktop behandelt, verfehlt diese gesamte Angriffsfläche.

Für die Geschäftsführung: Die menschliche Firewall endet nicht am Schreibtisch

NIS2 verlangt, dass „alle Mitarbeiter" geschult werden — nicht nur die mit Firmen-Laptop. Wer die Hälfte der Belegschaft ausschließt, erfüllt die Schulungspflicht nicht und lässt gleichzeitig die größte Lücke in der menschlichen Verteidigung offen.

Die Lösung muss von der Realität der Mitarbeitenden ausgehen, nicht von der IT-Infrastruktur. Ein Training, das am Smartphone funktioniert, keinen Firmen-Account braucht und in 15-Minuten-Einheiten absolvierbar ist, erreicht die gesamte Belegschaft — vom Vorstand bis zum Lagerarbeiter.

Training das am Smartphone funktioniert — für die gesamte Belegschaft.

Training that works on smartphones — for your entire workforce.

Kostenlos starten → Start free →

Weiterlesen

Read more

NISG 2026 Schulungspflicht — Was Unternehmen in Österreich bis Oktober umsetzen müssen

NISG 2026 Training Requirements — What Austrian Companies Must Implement by October

Das NISG 2026 ist seit Dezember 2025 beschlossen. Ab Oktober 2026 gelten Schulungspflichten.

The NISG 2026 was enacted in December 2025. Training obligations take effect October 2026.

NIS2 Schulungsnachweis erstellen — Anforderungen & Checkliste

Creating NIS2 Training Records — Requirements & Checklist

Was ein NIS2-konformer Schulungsnachweis enthalten muss.

What a NIS2-compliant training record must contain.