IT-Awareness: Pflicht, kein Kann – Der rechtliche Rahmen für Mitarbeiterschulungen zur Cybersicherheit

Viele Unternehmen behandeln IT-Sicherheitsschulungen für Mitarbeitende noch immer als nettes Zusatzangebot. Das ist ein teurer Irrtum. Die Pflicht zur Awareness-Schulung ergibt sich aus einem dichten Netz europäischer Richtlinien, nationaler Gesetze und etablierter Standards – und wer dieses Netz ignoriert, riskiert empfindliche Bußgelder sowie die persönliche Haftung der Geschäftsführung.

Es gibt zwar kein einzelnes „IT-Awareness-Gesetz", das alle Anforderungen an einem Ort bündelt. Die Verpflichtung entsteht vielmehr aus dem Zusammenspiel verschiedener Regelwerke – und ihre Konsequenzen sind real. Im Folgenden geben wir einen strukturierten Überblick über die wichtigsten Rechtsgrundlagen und was sie konkret bedeuten.

Gesetzliche Vorgaben und Pflichten

NIS-2-Richtlinie & BSIG (IT-Sicherheitsgesetz)

Die Umsetzung der NIS-2-Richtlinie in deutsches Recht über das Bundesgesetz zur Informationssicherheit (BSIG) markiert eine Zäsur. Rund 30.000 Unternehmen in Deutschland fallen in den Anwendungsbereich – ein Vielfaches der bisherigen KRITIS-Regulierung.

• Schulungspflicht für die Führungsebene: Geschäftsführerinnen und Geschäftsführer müssen mindestens alle drei Jahre an IT-Sicherheitsschulungen teilnehmen. Bei Missachtung droht die persönliche Haftung – das ist neu und bedeutsam.
• Mitarbeiter-Awareness: Unternehmen müssen nachweislich regelmäßige Maßnahmen zur „Cyberhygiene" und Schulungen für die gesamte Belegschaft durchführen. Dokumentation ist dabei entscheidend.

„Die Geschäftsführung haftet persönlich – das ist nicht mehr nur Theorie, sondern gelebtes Recht."

DSGVO (Datenschutz-Grundverordnung)

Auch wenn die DSGVO primär dem Datenschutz dient, verbirgt sich in Artikel 32 (Sicherheit der Verarbeitung) eine klare Anforderung an Awareness-Maßnahmen. Wer personenbezogene Daten verarbeitet – und das tut so gut wie jedes Unternehmen – muss sicherstellen, dass Mitarbeitende mit Datenzugang für einen sicheren Umgang sensibilisiert sind.

Ein nachgewiesenes Awareness-Training ist das klassische Mittel, um diese Compliance zu dokumentieren und bei einer Prüfung durch Datenschutzbehörden vorweisen zu können.

Branchenspezifische Regelwerke

Für bestimmte Sektoren gelten noch strengere Auflagen. Wer in einem dieser Bereiche tätig ist, sollte die spezifischen Anforderungen kennen:

• KRITIS-Betreiber: Über die Kritis-Verordnung (KritisV)
• Finanzsektor: DORA, BAIT und VAIT definieren detaillierte Schulungsanforderungen
• Gesundheitswesen: KBV-Richtlinien und weitere sektorspezifische Vorgaben
• Telekommunikation: Anforderungen aus dem TKG

Etablierte Standard-Rahmenwerke

Gesetze definieren das Ob der Schulungspflicht – etablierte Standards definieren das Wie. Auditoren und Prüfbehörden orientieren sich an diesen Referenzen, wenn sie beurteilen, ob ein Unternehmen seinen Sorgfaltspflichten nachgekommen ist.

ISO/IEC 27001 – Kontrolle A.7.2.2: Der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Er fordert explizit angemessene Schulungen und regelmäßige Aktualisierungen für alle Mitarbeitenden.

BSI IT-Grundschutz – Baustein ORP.3: Das Bundesamt für Sicherheit in der Informationstechnik beschreibt im Baustein „Sensibilisierung und Schulung" präzise, wie ein Awareness-Konzept aufgebaut sein muss – von der Zielgruppenanalyse bis zur Erfolgskontrolle.

Was ein rechtssicheres Training beinhalten muss

Eine einmal jährlich gezeigte PowerPoint-Präsentation entspricht nicht mehr dem „Stand der Technik" und würde einer Prüfung nicht standhalten. Ein zeitgemäßes Awareness-Programm muss kontinuierlich sein und folgende Themenbereiche abdecken:

• Social Engineering: Erkennung von Phishing, Spear-Phishing, Smishing (SMS) und Deepfakes
• Passwort & Identität: Nutzung von Passwort-Managern, Multi-Faktor-Authentifizierung (MFA)
• Arbeitsplatz-Hygiene: Clean-Desk-Policy, sicheres Sperren von Bildschirmen, Umgang mit USB-Sticks
• Mobiles Arbeiten / Homeoffice: Sicheres WLAN, Nutzung von VPNs, Geräteschutz
• Verhalten im Ernstfall: Wie und wo melde ich einen verdächtigen Vorfall? (Incident Reporting)

Die arbeitsrechtliche Hürde: Mitbestimmung

Wer Awareness-Trainings einführt – insbesondere Phishing-Simulationen – muss in Deutschland eine weitere Dimension im Blick behalten: das Arbeitsrecht. Dieser Aspekt wird in der Praxis häufig unterschätzt und führt zu vermeidbaren Konflikten.

Wichtiger rechtlicher Hinweis: Die Einführung von E-Learning-Plattformen oder simulierten Phishing-Mails, bei denen das Klickverhalten von Mitarbeitenden nachverfolgbar ist, ist grundsätzlich mitbestimmungspflichtig durch den Betriebsrat (§ 87 BetrVG). Zudem muss der Datenschutzbeauftragte vor der Einführung eingebunden werden. Eine Leistungs- oder Verhaltenskontrolle einzelner Mitarbeitender durch Testergebnisse ist rechtlich unzulässig.

Das bedeutet praktisch: Phishing-Simulationen dürfen nur auf aggregierter, anonymisierter Ebene ausgewertet werden. Der Fokus muss auf der Verbesserung des kollektiven Sicherheitsbewusstseins liegen – nicht auf der Bewertung einzelner Personen.

Fazit: Compliance als Investition, nicht als Last

IT-Awareness-Training ist keine Kür, die man sich bei gutem Jahresergebnis leistet. Es ist eine gesetzliche Pflicht mit handfesten Konsequenzen bei Nichterfüllung – und gleichzeitig eine der kosteneffizientesten Schutzmaßnahmen überhaupt, da der menschliche Faktor nach wie vor der häufigste Einfallsvektor für Cyberangriffe ist.

Wer das Thema strukturiert angeht – mit einem dokumentierten Schulungskonzept, Einbindung von Betriebsrat und Datenschutzbeauftragtem sowie regelmäßigen, abwechslungsreichen Formaten – ist nicht nur rechtlich auf der sicheren Seite, sondern stärkt aktiv die Resilienz des gesamten Unternehmens.

Die Frage ist nicht ob, sondern wie gut Sie Ihre Mitarbeitenden schulen.

---

Weiterführend: Agentic AI: Warum der deutsche Markt gerade eine seltene Chance verpasst

Sie brauchen Unterstützung bei der Umsetzung von IT-Awareness-Maßnahmen oder möchten Ihre Compliance-Strategie überprüfen lassen?

Kostenloses Erstgespräch vereinbaren →