Wie oft sollte Security Awareness Training stattfinden?

April 2026

„Einmal im Jahr" ist die Antwort, die die meisten Unternehmen geben. Es ist auch die Antwort, die am wenigsten wirkt. Die Forschung zeigt klar: Wissen, das einmal pro Jahr aufgefrischt wird, ist nach drei bis sechs Monaten weitgehend vergessen.

Aber „jeden Monat eine Stunde Pflichtschulung" ist für KMU genauso unrealistisch. Die Frage ist: Was ist der optimale Kompromiss zwischen Wirksamkeit und Aufwand?

Was Regulierung und Standards empfehlen

NIS2 spricht von „regelmäßigen" Schulungen, ohne ein konkretes Intervall zu nennen. In der Praxis bedeutet „regelmäßig" mindestens jährlich — aber Auditoren werden bei einer Schulung pro Jahr kritisch nachfragen, ob das ausreicht.

ISO 27001 empfiehlt ebenfalls mindestens jährliche Schulungen, ergänzt durch anlassbezogene Schulungen bei neuen Bedrohungen oder nach Sicherheitsvorfällen. Der BSI-Grundschutz geht einen Schritt weiter und empfiehlt eine Kombination aus regelmäßigen und situativen Maßnahmen.

Die ENISA-Leitlinien betonen, dass Awareness kein einmaliges Ereignis ist, sondern ein kontinuierlicher Prozess. Schulungen sollten unterschiedliche Formate nutzen und über das Jahr verteilt sein.

Was die Forschung zeigt

Die Vergessenskurve nach Ebbinghaus zeigt, dass neu erlerntes Wissen ohne Wiederholung exponentiell verfällt. Nach einem Monat sind etwa 80 Prozent vergessen. Für Security Awareness bedeutet das: Ein jährliches Training hat im besten Fall drei bis vier Monate Wirkung.

Studien zu Phishing-Simulationen bestätigen dieses Muster. Die Klickrate steigt nach einer Schulung deutlich an, wenn keine Wiederholung stattfindet. Unternehmen, die über einen Zeitraum von zwölf Monaten regelmäßige Simulationen durchführen, erreichen signifikant bessere Ergebnisse als solche mit einer einmaligen Kampagne.

Der optimale Rhythmus laut Forschung: eine Basis-Schulung plus mindestens vier „Touchpoints" pro Jahr — sei es durch kurze Auffrischungen, Phishing-Simulationen oder anlassbezogene Kommunikation.

Ein praktikabler Schulungsplan für KMU

Ein realistischer Jahresplan für ein KMU mit begrenztem Zeitbudget sieht so aus:

Im ersten Monat absolvieren alle Mitarbeitenden das Basis-Training zu den Kernthemen: Phishing, Passwörter, Social Engineering. Dauer pro Person: 45 bis 60 Minuten. Das kann über zwei bis drei Wochen flexibel absolviert werden.

In Monat drei bis sechs folgt das Vertiefungstraining: mobiles Arbeiten, physische Sicherheit, KI-Risiken, Clean Desk. Wieder flexibel, in kurzen Modulen.

Über das gesamte Jahr verteilt laufen vier Phishing-Simulationen — unangekündigt, mit unterschiedlichen Templates. Jede Simulation ist ein Lernmoment: Wer klickt, bekommt sofort Feedback. Wer meldet, bekommt Bestätigung.

Anlassbezogen kommen kurze Kommunikationen hinzu: Nach einem echten Phishing-Versuch im Unternehmen, bei neuen Betrugsmaschen in den Medien oder nach einem Sicherheitsvorfall.

Neue Mitarbeiter — Onboarding-Schulung

Für neue Mitarbeitende sollte Security Awareness Teil des Onboardings sein — innerhalb der ersten 30 Tage. Sie starten mit dem Basis-Training und werden dann in den regulären Jahresrhythmus integriert.

Die ersten Wochen sind die Phase mit dem höchsten Risiko: Neue Mitarbeitende kennen die internen Abläufe noch nicht, können echte von gefälschten internen E-Mails nicht unterscheiden und sind besonders anfällig für Social Engineering.

Die Faustregel

Einmal pro Jahr ist das Minimum für Compliance. Viermal pro Jahr ist das Minimum für Wirksamkeit. Die Kombination aus jährlichem Basis-Training und vierteljährlichen Phishing-Simulationen ist der praktikabelste Ansatz für KMU — mit dem besten Verhältnis von Aufwand zu Ergebnis.