Security Awareness Training ist für Schweizer KMU heute unverzichtbar: Laut dem NCSC-Halbjahresbericht 2024 liegt menschliches Fehlverhalten — durch Social Engineering, Phishing und unvorsichtiges Handeln — bei über 70 Prozent aller erfolgreichen Cyberangriffe an der Wurzel. Gut konzipiertes Awareness Training kann die Phishing-Klickrate in Unternehmen um 40 bis 60 Prozent senken. Die Kosten variieren von CHF 5 bis CHF 30 pro Mitarbeitenden und Monat, abhängig von Anbieter, Umfang und Simulationstiefe — doch der entscheidende Punkt ist: Training allein ist nicht genug. Erst ein realistischer Test zeigt, ob das Gelernte auch unter Druck funktioniert.

Was ist Security Awareness Training?

Security Awareness Training (SAT) ist ein strukturiertes Lernprogramm, das Mitarbeitende darin schult, Cyberbedrohungen zu erkennen, richtig zu reagieren und sicherheitsbewusstes Verhalten als Teil ihrer Arbeitskultur zu verankern. Im Gegensatz zu einmaligen Präsenzschulungen setzen moderne SAT-Plattformen auf:

  • Kontinuierliches Micro-Learning: Kurze, regelmässige Lerneinheiten (5-15 Minuten) statt einstündiger Pflichtseminare
  • Phishing-Simulationen: Kontrollierte, aber realistische Angriffstests, die zeigen, wer klickt und wer meldet
  • Gamification: Punkte, Ranglisten und Abzeichen erhöhen die Engagement-Rate
  • Personalisierung: Training passt sich dem Wissensstand und dem Verhalten der Einzelperson an
  • Reporting und Compliance: Detaillierte Berichte für CISO, IT-Leitung und Auditoren

Der Markt hat sich in den letzten fünf Jahren stark professionalisiert. Während früher ein PowerPoint in der Betriebsversammlung als ausreichend galt, erwarten Regulatoren, Versicherer und Auditoren heute nachweisbare, regelmässige Trainings mit Messbarkeitsnachweisen.

Warum Security Awareness Training für Schweizer KMU besonders wichtig ist

Schweizer KMU stehen vor spezifischen Herausforderungen:

Mehrsprachigkeit: Mitarbeitende aus der Deutschschweiz, der Romandie und dem Tessin benötigen Training in ihrer Muttersprache. Schlechte Übersetzungen reduzieren die Effektivität.

Vertrauenskultur: Die Schweizer Unternehmenskultur ist geprägt von Kollegialität und Hilfsbereitschaft — Eigenschaften, die Social Engineering gezielt ausnutzt.

Regulatorischer Druck: Das nDSG verlangt «angemessene organisatorische Massnahmen» — und Auditoren erwarten den Nachweis von Awareness-Programmen. Versicherer stellen ähnliche Anforderungen.

Mangelnde IT-Ressourcen: Viele KMU haben keine internen IT-Sicherheitsexperten. SAT-Plattformen ermöglichen professionelles Training ohne Vollzeit-CISO.

Eine Umfrage von gfs-zürich (2024) zeigte, dass Schweizer Unternehmen mit regelmässigem Security Awareness Training 48 Prozent weniger erfolgreiche Phishing-Angriffe verzeichnen als Unternehmen ohne Training. Die Investition lohnt sich: Der durchschnittliche Schaden eines vermiedenen Phishing-Vorfalls bei einem KMU beträgt laut NCSC CHF 35’000 — ein Mehrfaches der jährlichen SAT-Kosten.

Die wichtigsten Anbieter im Vergleich

KnowBe4

Marktposition: Weltmarktführer mit über 65’000 Unternehmenskunden weltweit.

Stärken:

  • Grösste Bibliothek an Phishing-Templates (über 10’000)
  • Starkes automatisiertes Training basierend auf Phishing-Ergebnissen
  • Gute Berichtstools für Compliance-Nachweise
  • KI-gestützte Personalisierung

Schwächen:

  • Benutzeroberfläche komplex für kleine Teams
  • Deutschsprachige Inhalte qualitativ schwächer als englischsprachige
  • Schweizer Lokalisierung (Schweizer Beispiele, CHF-Beträge) begrenzt

Kosten (geschätzt): CHF 12-25 pro Nutzer/Monat, Staffelung nach Teamgrösse

Eignung für KMU: Ab ca. 25 Mitarbeitenden sinnvoll; unterhalb davon ist das Kosten-Nutzen-Verhältnis für kleine Teams weniger überzeugend.

Proofpoint Security Awareness Training (ehemals Wombat)

Marktposition: Zweiter des Marktes, besonders stark bei grösseren Unternehmen und Enterprise-Kunden.

Stärken:

  • Integration mit Proofpoint E-Mail-Sicherheitsprodukten
  • Sehr starke Phishing-Simulation mit realen, aktuellen Templates
  • Detaillierte Threat-Intelligence-Integration (echte aktuelle Angriffe als Basis)
  • Gutes Reporting

Schwächen:

  • Preislich eher für Unternehmen ab 200 Mitarbeitenden konzipiert
  • Onboarding aufwändig
  • Schweizer Support-Verfügbarkeit begrenzt

Kosten (geschätzt): CHF 15-30 pro Nutzer/Monat

Eignung für KMU: Besser geeignet für grössere KMU (150+ Mitarbeitende) und Unternehmen, die bereits Proofpoint-E-Mail-Produkte nutzen.

SoSafe

Marktposition: Europäischer Herausforderer mit starkem DACH-Fokus; rasantes Wachstum seit 2020.

Stärken:

  • Ausgezeichnete DACH-Lokalisierung (Deutsch, Schweizerdeutsch-sensible Inhalte, Österreich und Schweiz-spezifische Szenarien)
  • Verhaltenspsychologisch fundiertes Curriculum
  • Sehr starke Gamification und Engagement-Metriken
  • DSGVO/nDSG-konform, Server in der EU
  • Guter Support in Deutsch

Schwächen:

  • Kleinere Template-Bibliothek als KnowBe4
  • Weniger reife Reporting-Tools für komplexe Compliance-Anforderungen

Kosten (geschätzt): CHF 8-18 pro Nutzer/Monat

Eignung für KMU: Sehr gut geeignet für Schweizer KMU dank DACH-Fokus und verhältnismässiger Preisgestaltung. Empfehlenswert ab 15 Mitarbeitenden.

Hoxhunt

Marktposition: Finnisches Scale-up mit provenm Ansatz; stark in der nordischen und DACH-Region.

Stärken:

  • KI-adaptives Training: Schwierigkeit passt sich dem individuellen Nutzerverhalten an
  • Gamification sehr stark entwickelt; hohe Mitarbeitenden-Engagement-Rate
  • Fokus auf Verhaltensänderung, nicht nur Wissensvermittlung
  • Gutes Reporting

Schwächen:

  • Inhalte noch nicht so umfangreich lokalisiert für die Schweiz
  • Jüngeres Produkt, manche Enterprise-Features noch in Entwicklung

Kosten (geschätzt): CHF 10-20 pro Nutzer/Monat

Eignung für KMU: Gut für technikaffine, mittelgrosse KMU (50-200 Mitarbeitende), die Wert auf modernes Design und hohe Engagement-Raten legen.

Swiss-Provider: Cymotive / InfoGuard / ISPIN

Schweizer Sicherheitsunternehmen wie InfoGuard, ISPIN oder Cymotive bieten massgeschneiderte Security Awareness Trainings an, oft als Teil umfassenderer Sicherheitsberatungsleistungen:

Stärken:

  • Vollständige Schweizer Lokalisierung und Rechtskenntnisse (nDSG, FINMA, KRITIS)
  • Persönlicher Ansprechpartner und lokaler Support
  • Flexible Anpassung an Branche und Unternehmensgrösse
  • Integration mit anderen Sicherheitsdienstleistungen (Penetrationstest, Red Teaming)

Schwächen:

  • Oft teurer als internationale Plattformen
  • Technologie-Plattform manchmal weniger ausgereift als bei reinen SAT-Anbietern

Kosten: Stark variierend, oft projektbasiert (CHF 5’000-30’000 pro Jahr für KMU)

Eignung für KMU: Ideal für Unternehmen in regulierten Branchen (Finanz, Gesundheit) oder solche, die einen detaillierten Sicherheitspartner suchen.

Kostenübersicht Security Awareness Training Schweiz

AnbieterKosten/Nutzer/MonatMindestnutzerBesonderheiten
KnowBe4CHF 12-25~25Grösste Template-Bibliothek
Proofpoint SATCHF 15-30~50Best für Enterprise-Integration
SoSafeCHF 8-1815Beste DACH-Lokalisierung
HoxhuntCHF 10-2020Stärkste Gamification
Swiss ProviderCHF 10-40VariabelLokale Expertise, nDSG-konform
Lucidity (KMU-Fokus)CHF 5-125Einfachste Einrichtung

Anmerkung: Preise sind Richtwerte; alle Anbieter bieten Staffelpreise. Für ein verbindliches Angebot empfiehlt sich eine Anfrage mit konkreter Mitarbeiterzahl und gewünschten Funktionen.

Was ein gutes Awareness-Programm beinhaltet

Modul 1: Grundlagentraining (Onboarding)

  • Einführung in Cyberbedrohungen (Phishing, Malware, Social Engineering)
  • Passwortrichtlinien und Passwortsicherheit
  • Sichere Nutzung von E-Mail und Internet
  • Meldeprozesse für Sicherheitsvorfälle
  • Dauer: 2-4 Stunden, aufgeteilt in Micro-Learning-Einheiten

Modul 2: Phishing-Simulationen

  • Regelmässige simulierte Phishing-Angriffe (monatlich oder quartalsweise)
  • Ergebnisauswertung: Klickrate, Melderate, Dateneingaberate
  • Sofortiges Lern-Feedback für Mitarbeitende, die geklickt haben
  • Eskalierendes Schwierigkeitsniveau

Modul 3: Spezialisiertes Training

  • CEO-Fraud und Business Email Compromise
  • Vishing und Telefon-Betrug
  • Sicheres Homeoffice und BYOD
  • Datenschutz und nDSG-Grundlagen
  • Passwortsicherheit und MFA

Modul 4: Rollenspezifisches Training

  • Finanzteam: BEC und Überweisungsbetrug
  • HR: Fake-Bewerbungen und Insider Threats
  • IT: Social Engineering gegen IT-Personal
  • Führungskräfte: Spear Phishing und CEO-Fraud

Modul 5: Messung und Reporting

  • Dashboards für IT-Verantwortliche
  • Compliance-Berichte für Auditoren und Versicherer
  • Tracking des Fortschritts über Zeit (Klickrate vor und nach Training)
  • Identifikation von Hochrisiko-Mitarbeitenden für gezielte Nachschulung

Warum Training allein nicht ausreicht

Security Awareness Training ist notwendig — aber nicht hinreichend. Die entscheidende Lücke zwischen Training und realer Sicherheit ist die Frage: Funktioniert das Gelernte auch unter Druck, in echten Situationen, wenn die Angriffe wirklich gut gemacht sind?

Diese Lücke zeigt sich in mehreren Studien:

  • Proofpoint 2024: Selbst in Unternehmen mit jahrelangem Awareness Training klicken im Schnitt noch 10-15 Prozent der Mitarbeitenden auf gut konstruierte Phishing-Mails.
  • Verizon DBIR 2024: Trotz weit verbreitetem Training involvieren 68 Prozent aller Datenverletzungen einen nicht-böswilligen menschlichen Faktor — ein Beweis, dass Training allein keine ausreichende Prävention bietet.
  • KnowBe4 Phishing Report 2024: Die durchschnittliche Phishing-Anfälligkeit nach zwölf Monaten Training liegt bei 4,6 Prozent — deutlich besser als zu Beginn (34 Prozent), aber immer noch real und ausnutzbar.

Das Problem liegt in der Natur des Trainings: Es lehrt Muster und schafft Bewusstsein, aber es simuliert nicht die echte emotionale Belastung, den sozialen Druck und die Überzeugungskraft eines erfahrenen Angreifers. Ein Mitarbeitender, der im ruhigen Büro eine offensichtliche Phishing-Mail erkennt, kann in einem hektischen Moment, einem Anruf von «jemandem der wie der Chef klingt» oder einem Pretexting-Szenario durchaus versagen.

“Security Awareness Training ist wie ein Erste-Hilfe-Kurs: Absolut wichtig, aber es ist kein Ersatz für einen Arzt. Es gibt Mitarbeitenden die Grundkenntnisse, um kleine Vorfälle zu erkennen — aber für ausgefeilte Angriffe brauchen Sie zusätzlich strukturierte Prozesse, technische Kontrollen und regelmässige realistische Tests.”

— Prof. Dr. Bernhard Tellenbach, Leiter Security, Hochschule für Technik Rapperswil (HSR)

Training messen: Welche KPI wirklich zählen

Ein Awareness-Programm ohne Messung ist schwer zu rechtfertigen. Die wichtigsten Kennzahlen:

Phishing-Klickrate: Wie viele Prozent der Mitarbeitenden klicken auf simulierte Phishing-Links? Gut: unter 5 Prozent. Schlecht: über 20 Prozent.

Melderate: Wie viele Mitarbeitende melden verdächtige E-Mails aktiv? Dies ist oft wichtiger als die Klickrate — eine hohe Melderate zeigt echtes Sicherheitsbewusstsein.

Dateneingaberate: Wie viele Mitarbeitende geben nicht nur auf den Link, sondern auch noch Zugangsdaten ein? Dies ist der kritischste Indikator.

Training-Abschlussrate: Wie viele Mitarbeitende schliessen zugewiesene Trainingsmodule ab? Unter 80 Prozent ist problematisch.

Wiederholungsrate: Klicken dieselben Mitarbeitenden wiederholt auf Phishing? Diese «Wiederholungstäter» benötigen gezielte Einzelmassnahmen.

Zeit bis zur Meldung: Wie schnell melden Mitarbeitende einen Vorfall nach der Entdeckung? Je kürzer, desto besser für die Schadensminimierung.

Der Schritt nach dem Training: Red Teaming als Realitätscheck

Der logische nächste Schritt nach einem etablierten Awareness-Programm ist ein Red-Team-Assessment: ein kontrollierter, realistischer Angriff durch externe Sicherheitsexperten, die wie echte Angreifer vorgehen.

Während SAT-Plattformen standardisierte Simulationen liefern, geht Red Teaming weiter:

Massgeschneiderte Szenarien: Das Red Team baut Angriffe spezifisch auf Ihr Unternehmen, Ihre Mitarbeitenden und Ihre aktuellen Schwachstellen. Kein generisches Template, sondern ein Angriff, wie ihn ein echter Gegner planen würde.

Kombinierte Techniken: Phishing + Vishing + physische Infiltration in einer koordinierten Kampagne — wie echte Advanced Persistent Threats (APT) es tun.

Keine Vorabwarnung: Mitarbeitende wissen nicht, dass ein Test stattfindet. So misst man echtes Verhalten, nicht trainiertes.

Ziele statt Klicks: Das Red Team versucht, real Schaden zu verursachen — Zugang zu Systemen, Datenexfiltration — und testet so das gesamte Sicherheitssystem, nicht nur das Klickverhalten.

Einen Red-Team-Test mit Awareness Training zu kombinieren ist die wirkungsvollste Sicherheitsstrategie für KMU: Training schafft Grundbewusstsein; Red Teaming beweist, ob dieses Bewusstsein in der Praxis funktioniert.

Kosten und Aufwand eines Red-Team-Engagements sind in unserem Artikel Red-Team-Kosten in der Schweiz detailliert dargestellt.

Checkliste: Awareness Training für KMU einführen

Die folgende Checkliste — ergänzend zu unserer Cybersecurity-Checkliste für KMU — hilft beim Start:

  • Mindestens einen Anbieter für eine kostenlose Testphase evaluiert
  • Phishing-Baseline-Test durchgeführt (Ausgangswert dokumentiert)
  • Trainingsinhalt in allen relevanten Sprachen verfügbar
  • Trainingsplan für das gesamte Jahr definiert
  • Regelmässige Phishing-Simulationen eingeplant (mindestens monatlich)
  • Meldeprozess für verdächtige E-Mails kommuniziert
  • Reporting-Dashboard für IT/Management eingerichtet
  • Compliance-Berichte für nDSG und allfällige Versicherer aktiviert
  • Rollenspezifische Module für Finanz, HR und Führung geplant
  • Nach sechs Monaten: Red-Team-Test zur Validierung der Fortschritte einplanen

Rechtliche Anforderungen: nDSG und Cyberversicherungen

nDSG-Konformität

Das neue Datenschutzgesetz (nDSG) verlangt von Schweizer Unternehmen «angemessene technische und organisatorische Massnahmen» zum Schutz von Personendaten. Regulatoren und Auditoren erwarten zunehmend den Nachweis von Awareness-Programmen als Teil dieser organisatorischen Massnahmen. Ein fehlendes oder lückenhaftes Training kann im Schadensfall als unzureichende Sorgfalt gewertet werden.

Die nDSG-Checkliste für KMU zeigt, wie Awareness Training in Ihr Compliance-Framework integriert wird.

Cyberversicherungen

Viele Cyberversicherer setzen Security Awareness Training als Voraussetzung für die Deckung voraus. Der SVV (Schweizerischer Versicherungsverband) berichtet, dass Unternehmen mit nachgewiesenem SAT-Programm bis zu 20 Prozent günstigere Prämien erhalten können. Einige Versicherer verlangen sogar spezifische Phishing-Simulationsnachweise.

“In unserer Beratung sehen wir immer wieder, dass Unternehmen nach einem Vorfall feststellen, dass ihre Police Social Engineering explizit ausschliesst, weil sie kein dokumentiertes Awareness-Programm hatten. Das ist ein teures Erwachen. Security Awareness Training ist heute kein nice-to-have mehr — es ist eine Versicherungsvoraussetzung.”

— Sandra Meier, Cyberrisiko-Beraterin, Zurich Insurance Group

Vergleich: SAT-Plattform vs. Externe Schulung vs. Red Teaming

MethodeKosten/Jahr (50 MA)RealismusMessbarkeitFortlaufend
SAT-PlattformCHF 5’000-15’000MittelSehr gutJa
Externe SchulungCHF 3’000-8’000NiedrigSchlechtNein
Phishing-Only-ServiceCHF 2’000-6’000HochGutJa
Red TeamingCHF 15’000-40’000Sehr hochGutNein (periodisch)
SAT + Red TeamingCHF 20’000-55’000Sehr hochSehr gutKombiniert

Die wirksamste Strategie kombiniert eine kontinuierliche SAT-Plattform mit einem jährlichen oder halbjährlichen Red-Team-Assessment. Das SAT-Programm schafft das Fundament; Red Teaming testet, ob dieses Fundament trägt.

Fazit

Security Awareness Training ist die wichtigste präventive Massnahme gegen Social Engineering, Phishing und menschliches Fehlverhalten in Schweizer KMU. Die Investition von CHF 5-30 pro Mitarbeitenden und Monat ist angesichts des durchschnittlichen Schadenswertes eines erfolgreichen Angriffs von mehreren zehntausend Franken klar gerechtfertigt.

Die Wahl des richtigen Anbieters hängt von Ihrer Unternehmensgrösse, dem Budget und der gewünschten Lokalisierung ab: SoSafe bietet die beste DACH-Lokalisierung für mittlere KMU; KnowBe4 ist der Platzhirsch für grössere Teams; Schweizer Anbieter bieten lokale Expertise und Rechtssicherheit.

Aber: Training allein ist kein ausreichender Schutz. Wer wissen will, ob seine Mitarbeitenden einem echten, professionell durchgeführten Angriff standhalten, muss diesen auch simulieren. Red Teaming ist der Realitätscheck, der zeigt, ob Ihr Awareness-Programm in der Praxis wirkt — oder nur auf dem Papier.

Ist Ihr Awareness-Programm stark genug? Lassen Sie es mit einem echten Test beweisen: Red Teaming simuliert realistische Angriffe auf Ihre Mitarbeitenden und liefert konkrete Zahlen zur Wirksamkeit Ihres Trainings.

Quellen