Schulung

Security Awareness für Führungskräfte: Andere Themen, anderer Ton

TL;DR
  • Führungskräfte sind das bevorzugte Ziel von Whaling-Angriffen, CEO Fraud und Business Email Compromise. Ihre E-Mail-Adressen sind öffentlich, ihre Autorität ermöglicht es Angreifern, Zahlungen und Datenfreigaben auszulösen.
  • Die Standard-Awareness-Schulung greift für Führungskräfte zu kurz. Sie brauchen Inhalte zu CEO Fraud, persönlicher Haftung, Reisesicherheit, Umgang mit vertraulichen Informationen in der Öffentlichkeit und ihrer Vorbildfunktion.
  • Der Ton muss stimmen: Führungskräfte lassen sich nicht durch Pflichtveranstaltungen und erhobene Zeigefinger motivieren. Kurze, exklusive Formate auf Augenhöhe (Executive Briefings, 1:1-Gespräche, aktuelle Fallbeispiele aus der Branche) funktionieren besser.
  • Persönliche Haftung ist ein starker Motivator: Unter NIS2 können Geschäftsführer persönlich für Verstöße gegen die Cybersicherheitspflichten haftbar gemacht werden. Das schafft eine direkte Betroffenheit, die bei Standard-Schulungen fehlt.
  • Die Vorbildfunktion der Führungskräfte hat mehr Einfluss auf die Sicherheitskultur als jedes Awareness-Programm. Wenn die Geschäftsführung Sicherheit vorlebt, folgt die Organisation. Wenn sie Sicherheit ignoriert, folgt die Organisation ebenfalls.

Warum Führungskräfte eine eigene Schulung brauchen

Die jährliche Awareness-Schulung ist für alle gleich: 45 Minuten über Phishing, Passwörter und Clean Desk. Der Praktikant sitzt neben der Geschäftsführerin, der Azubi neben dem Abteilungsleiter. Alle hören dieselben Beispiele, dieselben Tipps, dieselben Warnungen.

Das Problem ist, dass die Bedrohungslage für Führungskräfte eine fundamental andere ist als für die restliche Belegschaft. Ein Sachbearbeiter erhält breit gestreute Phishing-Mails, die per Zufall bei ihm landen. Eine Geschäftsführerin erhält gezielt auf sie zugeschnittene Angriffe, die ihre Autorität, ihre Entscheidungsbefugnis und ihre persönlichen Informationen ausnutzen.

Die Risiken sind andere, die Themen sind andere, die Motivation ist eine andere, und der Ton muss ein anderer sein. Eine Standard-Schulung, die all das ignoriert, verschwendet die ohnehin knappe Zeit der Führungskräfte und verfehlt die spezifischen Risiken, die sie adressieren müsste.

Die spezifischen Bedrohungen für Führungskräfte

CEO Fraud und Business Email Compromise (BEC)

CEO Fraud ist eine der teuersten Betrugsformen weltweit. Das FBI beziffert die Schäden durch Business Email Compromise auf über 50 Milliarden US-Dollar zwischen 2013 und 2023. Der Angriff funktioniert, indem sich der Angreifer als Geschäftsführer, Vorstand oder hochrangige Führungskraft ausgibt und einen Mitarbeiter (typischerweise in der Buchhaltung oder Finanzabteilung) anweist, eine dringende Überweisung durchzuführen.

Die E-Mail kommt scheinbar vom Geschäftsführer, verwendet seinen Namen, seinen Schreibstil und bezieht sich auf reale Geschäftsvorgänge. Der Angreifer hat vorher über LinkedIn, Pressemeldungen und die Unternehmenswebsite recherchiert, welche Projekte, Geschäftspartner und internen Strukturen existieren. Die Anweisung klingt plausibel: "Bitte überweisen Sie umgehend 87.000 Euro an unseren neuen Lieferanten. Die Angelegenheit ist vertraulich und zeitkritisch. Ich bin bis 16 Uhr in Meetings und nicht erreichbar."

Die Verteidigung gegen CEO Fraud liegt nicht nur bei den Mitarbeitern, die die Überweisung ausführen sollen, sondern auch bei den Führungskräften selbst. Wenn die Geschäftsführung regelmäßig per E-Mail kurzfristige Überweisungen anweist und dabei auf formale Freigabeprozesse verzichtet, schafft sie die Rahmenbedingungen, unter denen CEO Fraud funktioniert. Führungskräfte müssen verstehen, dass ihre eigenen Kommunikationsgewohnheiten die Angriffsfläche vergrößern oder verkleinern.

Whaling

Whaling ist Spear-Phishing, das gezielt auf Führungskräfte abzielt. Statt breit gestreuter Phishing-Mails erstellt der Angreifer eine maßgeschneiderte Nachricht, die auf die spezifische Situation der Führungskraft zugeschnitten ist. Eine E-Mail, die scheinbar vom Steuerberater kommt und auf die Jahresabschlussunterlagen verweist. Eine Nachricht vom vermeintlichen Geschäftspartner, die ein vertrauliches Strategiedokument enthält. Eine Einladung zu einer Konferenz, die in der Branche der Führungskraft tatsächlich stattfindet.

Whaling-Angriffe sind schwerer zu erkennen als Standard-Phishing, weil sie kontextbezogener, professioneller und überzeugender sind. Die Angreifer investieren Zeit in die Recherche und nutzen öffentlich verfügbare Informationen (LinkedIn-Profile, Konferenzprogramme, Pressemeldungen) für die Personalisierung.

Social Engineering bei öffentlichen Auftritten

Führungskräfte sind öffentlicher als andere Mitarbeiter. Sie sprechen auf Konferenzen, geben Interviews, vernetzen sich auf LinkedIn und sind auf der Unternehmenswebsite mit Foto und Lebenslauf präsent. Jede dieser Informationen kann von Angreifern genutzt werden.

Ein LinkedIn-Post über eine neue Partnerschaft liefert dem Angreifer das Wissen, um eine plausible Phishing-Mail zu konstruieren. Ein Foto vom Messestand zeigt, welche Mitarbeiter zum Unternehmen gehören. Ein Interview über die Unternehmensstrategier verrät, welche Themen gerade intern relevant sind. Führungskräfte müssen ein Bewusstsein dafür entwickeln, welche Informationen sie öffentlich teilen und wie diese missbraucht werden können.

Reisesicherheit

Führungskräfte reisen häufiger als andere Mitarbeiter, oft international und oft mit sensiblen Unternehmensdaten auf dem Laptop. Hotels, Flughäfen und Konferenzräume sind Umgebungen, in denen die physische Sicherheit von Geräten und die Vertraulichkeit von Gesprächen gefährdet sind.

Ein Laptop, der im Hotelzimmer zurückgelassen wird, kann während der Abwesenheit kompromittiert werden (Evil Maid Attack). Ein vertrauliches Telefongespräch in der Flughafenlounge kann mitgehört werden. Ein USB-Ladekabel am öffentlichen Ladeport kann Daten abgreifen. Ein offenes WLAN im Hotel kann den Datenverkehr mitlesen.

Die Empfehlungen für Führungskräfte auf Reisen sind spezifischer und umfangreicher als für die allgemeine Belegschaft. Sie umfassen die Verwendung eines dedizierten Reise-Laptops mit minimalen Daten, die Nutzung des VPN bei jeder Verbindung, die physische Sicherung der Geräte (Hotelsafe, Kensington Lock), die Vermeidung vertraulicher Gespräche in öffentlichen Bereichen und die Überprüfung der Geräte nach der Rückkehr.

Persönliche Haftung als Motivator

Die wirksamste Botschaft in der Awareness-Schulung für Führungskräfte ist die persönliche Betroffenheit. Während ein normaler Mitarbeiter einen Sicherheitsvorfall als Problem des Unternehmens wahrnimmt, tragen Geschäftsführer eine persönliche Verantwortung, die bis zur persönlichen Haftung reichen kann.

NIS2 und Geschäftsführerhaftung

NIS2 verschärft die persönliche Haftung von Geschäftsführern erheblich. Artikel 20 der NIS2-Richtlinie bestimmt, dass die Leitungsorgane der Einrichtungen die in Artikel 21 genannten Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen müssen. Bei Verstößen können die Leitungsorgane persönlich haftbar gemacht werden.

Das bedeutet konkret: Wenn ein Unternehmen die geforderten Cybersicherheitsmaßnahmen nicht umsetzt und einen Sicherheitsvorfall erleidet, kann der Geschäftsführer persönlich zur Rechenschaft gezogen werden. Die Bußgelder können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen. Und die persönliche Haftung kann nicht an den ISB oder die IT-Abteilung delegiert werden: Die Verantwortung liegt bei der Geschäftsführung.

GmbH-Geschäftsführerhaftung

Auch unabhängig von NIS2 haften GmbH-Geschäftsführer nach § 43 GmbHG für Sorgfaltspflichtverletzungen. Wenn ein Geschäftsführer trotz bekannter Risiken keine angemessenen Sicherheitsmaßnahmen ergreift und das Unternehmen dadurch einen Schaden erleidet, kann er persönlich auf Schadensersatz in Anspruch genommen werden.

Die Rechtsprechung hat in den letzten Jahren mehrfach bestätigt, dass die IT-Sicherheit zu den Sorgfaltspflichten der Geschäftsführung gehört. Ein Geschäftsführer kann sich nicht damit entschuldigen, dass er "davon nichts verstehe" oder "die IT-Abteilung dafür zuständig sei". Die Delegation der Umsetzung ist zulässig, die Delegation der Verantwortung nicht.

Diese Botschaft muss in der Führungskräfte-Schulung klar vermittelt werden, nicht als Drohung, sondern als Faktenlage. Die persönliche Betroffenheit schafft eine Motivation, die keine noch so gut gemachte allgemeine Schulung erzeugen kann.

Die richtigen Formate für Führungskräfte

Führungskräfte haben wenig Zeit, hohe Ansprüche an die Qualität der Inhalte und eine geringe Toleranz für Formate, die sie als Zeitverschwendung empfinden. Die Schulungsformate müssen dem Rechnung tragen.

Executive Briefing (45-60 Minuten, quartalsweise)

Ein kompaktes, persönliches Briefing für die Geschäftsführung und die erste Führungsebene. Der ISB oder ein externer Berater präsentiert aktuelle Bedrohungen mit Bezug zur Branche und zum Unternehmen, die aktuelle Sicherheitslage des Unternehmens (Kennzahlen, Vorfälle, Audit-Ergebnisse), anstehende regulatorische Anforderungen und deren Auswirkungen sowie konkrete Handlungsempfehlungen.

Das Format ist bewusst exklusiv: Es richtet sich nur an die oberste Führungsebene und behandelt Themen, die für diese Zielgruppe relevant sind. Die Exklusivität signalisiert Wertschätzung und stellt sicher, dass die Inhalte nicht verwässert werden.

1:1-Coaching (30 Minuten, halbjährlich)

Ein persönliches Gespräch zwischen dem ISB und jeder Führungskraft. In diesem Gespräch werden die spezifischen Risiken der jeweiligen Rolle besprochen: Welche Informationen hat die Führungskraft Zugang zu? Welche Angriffsziele bietet ihre Position? Welche konkreten Maßnahmen kann sie ergreifen?

Das 1:1-Format ermöglicht eine Offenheit, die in Gruppensettings nicht möglich ist. Führungskräfte können Fragen stellen, die sie in einer Gruppenveranstaltung nicht stellen würden ("Mein Passwort ist seit zwei Jahren nicht geändert, wie mache ich das jetzt?"), und der ISB kann konkrete, individuelle Empfehlungen geben.

Fallstudien aus der Branche

Führungskräfte lernen am besten von realen Beispielen, idealerweise aus ihrer eigenen Branche. Ein Bericht über den CEO-Fraud-Fall bei einem Wettbewerber, bei dem 1,2 Millionen Euro überwiesen wurden, hat mehr Wirkung als zehn Folien über "typische Bedrohungen".

Sammle aktuelle Fallbeispiele aus der Branche und bereite sie als kurze, prägnante Geschichten auf: Was ist passiert? Wie hat der Angreifer vorgegangen? Was war die Ursache? Was hätte den Vorfall verhindert? Was können wir daraus lernen?

Tabletop-Übung für die Geschäftsführung

Eine Tabletop-Übung simuliert einen Sicherheitsvorfall und fordert die Teilnehmer auf, die Entscheidungen zu treffen, die im Ernstfall nötig wären. Für die Geschäftsführung sind die Szenarien entsprechend gewählt: Ein Ransomware-Angriff, bei dem die Angreifer ein Lösegeld von 500.000 Euro fordern. Ein Datenleck, bei dem Kundendaten im Internet aufgetaucht sind und die Presse anfragt. Ein CEO-Fraud-Versuch, bei dem 200.000 Euro überwiesen wurden und die Bank die Rückbuchung prüft.

Die Tabletop-Übung zeigt den Führungskräften, welche Entscheidungen sie im Ernstfall treffen müssen, welche Informationen sie dafür brauchen und welche Prozesse existieren (oder fehlen). Das Erlebnis ist deutlich eindrücklicher als jede theoretische Schulung.

Die Vorbildfunktion thematisieren

Ein zentrales Thema der Führungskräfte-Schulung ist die Vorbildfunktion. Führungskräfte müssen verstehen, dass ihr eigenes Verhalten die Sicherheitskultur des Unternehmens stärker beeinflusst als jedes Awareness-Programm.

Konkrete Punkte, die angesprochen werden müssen: Die Führungskraft sperrt ihren Bildschirm, wenn sie den Platz verlässt. Die Führungskraft teilt keine Passwörter mit Assistenzen oder Kollegen, auch nicht "nur kurz". Die Führungskraft verwendet den Passwort-Manager und MFA, auch wenn es "umständlich" ist. Die Führungskraft spricht in Teammeetings über Sicherheitsthemen und zeigt damit, dass das Thema wichtig ist. Die Führungskraft reagiert konstruktiv, wenn Mitarbeiter Sicherheitsvorfälle oder Fehler melden, und bestraft nicht die Ehrlichkeit. Die Führungskraft stellt Ressourcen für Sicherheitsmaßnahmen bereit und betrachtet sie nicht als reine Kostenstelle.

Die Botschaft muss diplomatisch, aber deutlich sein: "Du kannst von deinen Mitarbeitern nicht erwarten, was du selbst nicht vorlebst. Und deine Mitarbeiter beobachten genau, wie du mit Sicherheitsthemen umgehst."

Themen, die nur für Führungskräfte relevant sind

Neben den allgemeinen Sicherheitsthemen gibt es Bereiche, die ausschließlich für Führungskräfte relevant sind und in der Standard-Schulung nicht vorkommen.

Umgang mit vertraulichen Strategieinformationen: Führungskräfte haben Zugang zu Informationen, die für Wettbewerber, Investoren oder die Presse von großem Interesse sind: M&A-Pläne, Quartalszahlen vor der Veröffentlichung, Personalentscheidungen, Produktstrategien. Der Umgang mit diesen Informationen, in E-Mails, in Gesprächen, in Dokumenten, erfordert ein höheres Sicherheitsbewusstsein.

Kommunikation in der Krise: Wenn ein Sicherheitsvorfall eintritt, stehen Führungskräfte im Fokus der internen und externen Kommunikation. Was sagen wir den Mitarbeitern? Was sagen wir den Kunden? Was sagen wir der Presse? Die Schulung kann diese Fragen nicht vollständig beantworten (dafür gibt es den Krisenkommunikationsplan), aber sie kann das Bewusstsein schärfen und die grundlegenden Regeln vermitteln.

Sicherheit bei M&A und Partnerschaften: Bei Übernahmen, Fusionen und strategischen Partnerschaften werden Systeme verbunden, Daten ausgetauscht und Vertrauen aufgebaut. Führungskräfte müssen verstehen, dass jede neue Verbindung auch ein neues Sicherheitsrisiko darstellt und dass Security Due Diligence ein fester Bestandteil des Prozesses sein muss.

Budgetentscheidungen für IT-Sicherheit: Führungskräfte treffen oder beeinflussen die Budgetentscheidungen, die bestimmen, wie viel in IT-Sicherheit investiert wird. Sie müssen in der Lage sein, Investitionsvorschläge des Security-Teams zu bewerten und zu priorisieren. Das erfordert ein Grundverständnis dafür, welche Maßnahmen welchen Schutz bieten und wie der Return on Security Investment bewertet werden kann.

Der richtige Ton

Der Ton ist mindestens so wichtig wie der Inhalt. Führungskräfte reagieren empfindlich auf Formate, die sie als bevormundend, belehrend oder inadäquat empfinden.

Auf Augenhöhe: Die Schulung sollte von jemandem durchgeführt werden, der mit Führungskräften auf Augenhöhe kommunizieren kann. Das kann der ISB sein, wenn er die entsprechende Seniorität und Kommunikationsfähigkeit hat, oder ein externer Berater, der Erfahrung in der Beratung von Geschäftsführungen hat.

Businesssprache statt Technikjargon: Führungskräfte denken in Geschäftsrisiken, nicht in technischen Details. Statt "Der Angreifer nutzt eine SQL-Injection-Schwachstelle, um die Datenbank zu exfiltrieren" funktioniert "Der Angreifer stiehlt die gesamte Kundendatenbank, was DSGVO-Meldepflichten auslöst, unsere Kundenbeziehungen gefährdet und zu Bußgeldern von bis zu 4 Prozent des Umsatzes führen kann."

Relevanz statt Vollständigkeit: Führungskräfte brauchen nicht das gesamte Phishing-ABC. Sie brauchen die drei Szenarien, die für sie persönlich am relevantesten sind, und die konkreten Handlungsanweisungen dafür. Weniger ist mehr, wenn das Wenige relevant ist.

Respekt vor der Zeitinvestition: Jede Minute, die eine Führungskraft in einer Schulung verbringt, ist eine Minute, die sie nicht für ihre Kernaufgaben nutzt. Fang pünktlich an, hör pünktlich auf, und nutze die Zeit effizient. Wenn du 45 Minuten ankündigst, halte dich daran.

Schulungsplan für Führungskräfte

Ein pragmatischer Jahresplan für die Führungskräfte-Schulung umfasst folgende Elemente.

Quartal 1: Executive Briefing (60 Minuten) mit Jahresrückblick der Sicherheitslage, Vorstellung der Sicherheitsziele für das Jahr und aktuellen Bedrohungstrends.

Quartal 2: Tabletop-Übung (90 Minuten) mit einem für das Unternehmen relevanten Szenario.

Quartal 3: 1:1-Coaching (30 Minuten pro Führungskraft) mit individueller Risikobewertung und konkreten Empfehlungen.

Quartal 4: Executive Briefing (60 Minuten) mit Rückblick auf das Jahr, Bewertung der Zielerreichung und Vorschau auf das nächste Jahr.

Zusätzlich erhalten die Führungskräfte monatlich einen kurzen Security-Newsletter (5 Minuten Lesezeit), der aktuelle Bedrohungen, Branchenvorfälle und eine kurze Handlungsempfehlung enthält.

Der Gesamtaufwand beträgt etwa sechs bis acht Stunden pro Jahr. Das ist weniger als eine typische jährliche Pflichtschulung, aber deutlich wirksamer, weil die Inhalte zielgruppenspezifisch und die Formate angemessen sind.

Widerstände überwinden

Führungskräfte sind nicht immer begeistert von Schulungsmaßnahmen. Die häufigsten Widerstände und wie du ihnen begegnest:

"Ich habe keine Zeit dafür." Die ehrliche Antwort: Eine Stunde pro Quartal ist weniger als die Zeit, die eine einzige Sicherheitskrise kostet. Ein CEO-Fraud-Versuch bindet die Geschäftsführung für Tage. Ein Ransomware-Vorfall für Wochen. Die Schulung ist eine Investition, die Zeitverlust verhindert.

"Das ist Aufgabe der IT." Die IT ist für die technischen Maßnahmen zuständig. Aber die Entscheidungen, die die Angriffsfläche des Unternehmens bestimmen (Budgets, Prozesse, Kommunikationskultur, Geschäftspartner), werden nicht in der IT getroffen, sondern in der Geschäftsführung und in den Fachabteilungen. Die persönliche Haftung unter NIS2 unterstreicht, dass die Verantwortung nicht delegierbar ist.

"Mich hackt doch niemand." Doch. Führungskräfte sind aufgrund ihrer Autorität, ihrer Zugriffsrechte und ihrer öffentlichen Sichtbarkeit bevorzugte Ziele. Die Annahme, dass nur große Konzerne angegriffen werden, ist durch die Statistiken widerlegt: Laut dem BSI-Lagebericht sind kleine und mittlere Unternehmen genauso betroffen wie Konzerne, oft sogar stärker, weil die Schutzmaßnahmen schwächer sind.

"Ich bin kein Techniker." Genau deshalb brauchst du eine Schulung, die nicht technisch ist, sondern auf Geschäftsrisiken fokussiert. Du musst nicht verstehen, wie ein Buffer Overflow funktioniert. Du musst verstehen, dass ein Sicherheitsvorfall dein Unternehmen hunderttausende Euro kosten kann, dass du persönlich haftbar sein kannst und dass dein Verhalten die Sicherheitskultur deines Unternehmens prägt.

Den ISB als vertrauenswürdigen Berater positionieren

Die Führungskräfte-Schulung ist auch eine Gelegenheit, die Beziehung zwischen dem ISB und der Geschäftsführung zu stärken. Der ISB sollte sich nicht als Mahner und Warner positionieren ("Wir müssen mehr tun, sonst werden wir gehackt"), sondern als strategischer Berater, der die Geschäftsführung dabei unterstützt, fundierte Risikoentscheidungen zu treffen.

Das bedeutet: Der ISB spricht die Sprache der Geschäftsführung (Geschäftsrisiken, Kosten, ROI), nicht die Sprache der IT (Vulnerabilities, Exploits, Patches). Er liefert Entscheidungsvorlagen statt Problembeschreibungen. Er zeigt Optionen mit ihren jeweiligen Kosten und Risiken auf, statt eine einzige Lösung zu präsentieren. Und er feiert gemeinsam mit der Geschäftsführung die Erfolge des Sicherheitsprogramms, statt nur die verbleibenden Risiken zu betonen.

Wenn die Geschäftsführung den ISB als vertrauenswürdigen Berater wahrnimmt, werden Sicherheitsthemen regelmäßig in Managemententscheidungen einbezogen. Das ist der effektivste Weg, die Sicherheitskultur von oben nach unten zu verankern.

Investiere in die Awareness deiner Führungskräfte. In ISMS Lite lassen sich zielgruppenspezifische Schulungspläne, Teilnahmenachweise und Briefing-Protokolle zentral dokumentieren. Nicht weil es eine Compliance-Anforderung ist, sondern weil es den größten Hebel für die Sicherheitskultur deines gesamten Unternehmens hat. Eine Geschäftsführung, die Sicherheit versteht und vorlebt, ist wirksamer als hundert Schulungsfolien.

Weiterführende Artikel

Führungskräfte-Schulungen im ISMS dokumentieren

ISMS Lite unterstützt dich bei der Planung und Dokumentation zielgruppenspezifischer Schulungen, beim Tracking der Teilnahme und bei der Nachweisführung für ISO 27001 und NIS2.

Jetzt installieren