Frank, du warst ursprünglich Head of IT, bevor du in die Security Awareness gewechselt bist. Wie hat sich dein Blick auf IT-Sicherheit in dieser Zeit entwickelt?
Frank Queißer: Ich habe bei einem kleinen, mittelständischen Anlagenbauer für Flüssiggassysteme gearbeitet. Da bist du als IT-Leiter tatsächlich verantwortlich für alles – Technik, Personal, Strategie, Budget, Projekte – aber eben auch die IT-Security. Und tatsächlich wurde ich durch Angriffsversuche und Sicherheitsvorfälle getriggert, die stetig zugenommen haben. Die Technik war nie ein Problem, ich hatte ein tolles Team, sehr wachsam, das sofort reagiert hat. Aber es gab eben auch einen Teil von Mitarbeitern, die das nicht getan haben. Das hat mich nicht mehr ruhig schlafen lassen. Deswegen bin ich der Meinung, dass alle Mitarbeiter, egal ob im EDV-Bereich oder im Personalwesen, abgeholt werden müssen.
Was genau meinst du damit, dass Mitarbeiter „abgeholt“ werden müssen?
Wenn dein Chef sagt: „Wir haben doch bereits umfangreiche Firewall- und Endpoint-Schutzlösungen implementiert. Warum benötigen wir zusätzliche Maßnahmen?“, dann lautet meine Antwort: „Weil wir bislang versäumt haben, unsere Mitarbeiter ausreichend einzubeziehen, um Sicherheitsrisiken zu reduzieren.“ Es ist unsere Verpflichtung, Mitarbeiter über Bedrohungen zu informieren und Handlungsempfehlungen zu geben. Klassisches Beispiel: Du siehst eine unbekannte Person im Unternehmen rumlaufen – viele laufen weg und machen nichts. Richtiges Verhalten: ansprechen, Ausweis zeigen lassen, zum Empfang bringen. Solche Beispiele führen beim CEO sehr schnell dazu, dass er sagt: „Oh ja, habe ich unterschätzt. Lass uns das mal evaluieren.“
Wie vermittelst du diese Awareness praktisch?
Hinter Security-Awareness-Plattformen steckt immer ein bisschen mehr. Ich vergleiche das mit der Fahrschule: Theorie lernt man, aber wie verhalte ich mich, wenn die Phishing-Mail ins Postfach kommt? Was mache ich mit einem Attachment, wenn der Virenscanner anschlägt? Das ist die Praxis. Das ist wie der Opa mit dem Ferrari in der Garage, der einmal am Wochenende um die Ecke fährt – auf der Autobahn wäre er unsicher und könnte einen Unfall
Gibt es einfache Methoden, um den Stand der Awareness zu messen?
Kostenfreie Phishing-Tests oder Plattform-Assessments sind ein idealer Einstieg. Sie liefern schnell und unkompliziert Aufschluss darüber, ob Schulungsinhalte tatsächlich ankommen. Gleichzeitig helfen sie dabei, das grundlegende Sicherheitsbewusstsein der Mitarbeiter abzutasten und versteckte Wissenslücken sichtbar zu machen.
Wie sicherst du die Nachhaltigkeit von Security Awareness?
Sie muss bewusst gestaltet und regelmäßig gestärkt werden. Nichts ist schlimmer als Awareness, die nicht nachhaltig wirkt. Jeder, der Awareness macht, macht schon mal etwas besser, als nichts zu tun. Wenn es nur darum geht, den Haken bei der Cyberversicherung zu haben, reicht ein automatisiertes Training. Wenn wir wirklich eine Sicherheitskultur schaffen wollen, brauchen wir eine gezielte Auswahl von Trainings, die Mitarbeiter abholen und langfristig wirken.
Wie reagieren Mitarbeitende auf die Trainings?
Nicht jeder lernt gleich schnell, und es gibt unterschiedliche Gründe, warum jemand an Trainings nicht teilnimmt – technische Hürden, verteiltes Arbeiten oder falsche Geräte. Wir müssen das berücksichtigen und die Mitarbeiter dort abholen, wo sie stehen. Gleichzeitig zeigt sich aber auch der positive Effekt: Manche machen Trainings sogar mehrfach, nicht wegen technischer Probleme, sondern weil sie das Gelernte zu Hause noch einmal durchgehen – ein Kunde hat das Training sogar gemeinsam mit seiner Frau gemacht. Das zeigt, dass die Trainings echten Mehrwert bieten. Wichtig ist dabei, empathisch auf alle Stakeholder einzugehen, damit alle auf dem richtigen Wissensniveau abgeholt werden und die Risiken für das Unternehmen minimiert werden.
Hast du konkrete Beispiele, wo Awareness wirklich geholfen hat?
Ja, ein Live-Fall: Ein Mitarbeiter hat über den Meldebutton eine gefälschte E-Mail entdeckt – eine manipulierte Rechnung. Er hat es gemeldet, wir haben es besprochen und im Firmen-Meeting aufgezeigt. Die Mitarbeiter haben gesagt, dass sie froh sind, die Trainings gemacht zu haben. Das zeigt: Realität einblenden und Awareness-Trainings verknüpfen, das wirkt.
Wie bewertest du die Relevanz von Security Awareness in der Zukunft?
Awareness bleibt notwendig, weil Hacker-Gruppierungen immer besser werden. Früher war es einfach, heute sind sie sehr gut organisiert und nutzen moderne Tools. Wir müssen Mitarbeiter informieren: Wie erkenne ich Bedrohungen, wie verhalte ich mich, was tut sich gerade? Auch Compliance-Themen wie NIS-2 machen Awareness zwingend erforderlich. Viele Unternehmen und Behörden haben Nachholbedarf. Awareness bleibt ein langfristiges Thema.
Frank Queißer ist Head of Security Awareness & CTO bei der Cyber Samurai GmbH. Er verantwortet die strategische Ausrichtung und Implementierung von Sicherheitsmaßnahmen, um das Bewusstsein für Cyber-Bedrohungen bei den Kunden von Cyber Samurai zu stärken. Zuvor war er als Head of IT tätig, wo er die gesamte IT-Infrastruktur des Unternehmens leitete und maßgeblich zur Digitalisierung und Optimierung der internen Prozesse beitrug. Seine Expertise in der IT-Strategie und -Implementierung half dem Unternehmen, effizienter und sicherer zu arbeiten. In seiner beruflichen Laufbahn arbeitete Frank auch knapp acht Jahre als Vertriebsmitarbeiter in einem IT-Systemhaus. In dieser Funktion sammelte er wertvolle Erfahrungen im Kundenmanagement und in der Entwicklung maßgeschneiderter IT-Lösungen für verschiedene Branchen.
