Security Awareness Onboarding — Neue Mitarbeiter in den ersten 30 Tagen sensibilisieren

April 2026

Die ersten Wochen in einem neuen Job sind die Phase mit dem höchsten Risiko. Neue Mitarbeitende kennen die internen Prozesse noch nicht, wissen nicht, wie eine echte E-Mail vom IT-Support aussieht, und sind besonders anfällig für Social Engineering — weil sie helfen wollen, einen guten Eindruck machen und Autoritäten nicht hinterfragen.

Gleichzeitig ist das Onboarding die Phase, in der Gewohnheiten geprägt werden. Wer in den ersten 30 Tagen lernt, verdächtige E-Mails zu erkennen und zu melden, behält dieses Verhalten bei. Wer nie damit konfrontiert wird, entwickelt keine Routine.

Warum neue Mitarbeitende besonders gefährdet sind

Angreifer nutzen die Onboarding-Phase gezielt aus. Ein neuer Mitarbeiter, der eine E-Mail vom „IT-Support" erhält mit der Aufforderung, sein Passwort zu bestätigen, wird das mit hoher Wahrscheinlichkeit tun — weil es plausibel klingt. Neue Kolleginnen und Kollegen wissen noch nicht, dass die IT-Abteilung niemals per E-Mail nach Passwörtern fragt.

CEO-Fraud funktioniert bei neuen Mitarbeitenden besonders gut. Eine vermeintlich dringende Anfrage von der Geschäftsführung wird von jemandem, der die Stimme oder den Schreibstil des CEOs noch nicht kennt, eher befolgt als von einem langjährigen Mitarbeiter.

Auch physische Sicherheit ist ein Thema: Wer weiß am ersten Tag schon, ob die Person hinter einem die Tür aufhält, tatsächlich zum Unternehmen gehört? Tailgating ist gerade in den ersten Wochen ein realistisches Szenario.

Was im Security-Awareness-Onboarding abgedeckt sein muss

Ein gutes Onboarding-Modul für Security Awareness deckt die wichtigsten Alltagsszenarien ab, ohne zu überfordern. Es geht nicht darum, in 30 Tagen einen Security-Experten auszubilden. Es geht darum, die grundlegenden Reflexe zu etablieren.

Phishing-Erkennung ist das wichtigste Thema. Neue Mitarbeitende müssen wissen, worauf sie bei E-Mails achten müssen: Absenderadresse prüfen, Links vor dem Klicken hovern, Dringlichkeit als Warnsignal erkennen. Genauso wichtig: Wissen, an wen man verdächtige E-Mails meldet.

Passwortsicherheit und sichere Anmeldung folgen direkt danach. Passphrases statt einfacher Passwörter, Passwort-Manager, Multi-Faktor-Authentifizierung — und warum man dasselbe Passwort niemals für mehrere Dienste verwenden sollte.

Meldewege müssen klar sein. Neue Mitarbeitende müssen wissen: An wen wende ich mich, wenn etwas Verdächtiges passiert? Was melde ich? Lieber einmal zu viel als einmal zu wenig. Diese Botschaft muss von Anfang an verankert sein.

Zeitplan: Security Awareness in 30 Tagen

Ein pragmatischer Onboarding-Plan sieht so aus:

In der ersten Woche absolviert der neue Mitarbeiter ein Basis-Training zu den drei Kernthemen: Phishing, Passwörter und Meldewege. Dauer: 30 bis 45 Minuten, am besten am eigenen Arbeitsplatz oder Smartphone.

In Woche zwei bis drei folgt die Vertiefung mit Themen wie Social Engineering, mobiles Arbeiten und physische Sicherheit. Diese Module können flexibel absolviert werden — der Fortschritt wird automatisch gespeichert.

In Woche vier erhält der neue Mitarbeiter — idealerweise ohne Vorankündigung — eine simulierte Phishing-Mail. Das ist kein Test im Sinne von „bestanden oder durchgefallen". Es ist ein Lernmoment: Wer klickt, bekommt sofort Feedback. Wer meldet, bekommt Bestätigung.

Am Ende des ersten Monats hat der neue Mitarbeiter ein Zertifikat, das die Teilnahme dokumentiert — verwendbar als Schulungsnachweis für NIS2 oder ISO 27001.

Integration in bestehende Onboarding-Prozesse

Security Awareness sollte nicht als separater Prozess neben dem Onboarding laufen, sondern Teil davon sein. Wenn HR bereits eine Onboarding-Checkliste hat — Arbeitsvertrag, Schlüssel, Laptop-Einweisung, Brandschutzunterweisung — gehört Security Awareness auf dieselbe Liste.

Bei Unternehmen mit LMS kann das Training als SCORM-Paket direkt neben den anderen Pflichtschulungen eingefügt werden. Bei Cloud-basierten Lösungen reicht ein Link in der Onboarding-E-Mail.