FAQ : Sensibilisierung
Ist Cybersicherheitsschulung für KMU gemäss DSG obligatorisch?
Das revidierte DSG (Datenschutzgesetz, in Kraft seit September 2023) schreibt organisatorische Massnahmen zum Datenschutz vor, einschliesslich der Sensibilisierung der Mitarbeiter für Risiken. Wenn eine Datenverletzung auftritt und das Unternehmen nicht nachweisen kann, dass es seine Teams geschult hat, riskiert es Bussen bis zu 250 000 CHF. Die von Bexxo Akademie erstellten Schulungsberichte dienen als Sorgfaltsnachweis bei EDÖB-Kontrollen.
Ist Cybersicherheitsschulung mit dem Schweizer nDSG obligatorisch?
Das nDSG (Schweizer Bundesgesetz über den Datenschutz, seit September 2023 in Kraft) verlangt von Unternehmen, organisatorische Massnahmen zum Schutz personenbezogener Daten zu ergreifen. Die Schulung des Personals wird vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausdrücklich als wesentliche organisatorische Massnahme empfohlen. Im Falle einer Datenschutzverletzung kann das Fehlen einer dokumentierten Schulung die Haftung des Unternehmens verschärfen. Bexxo stellt einen Nachweisbericht zur Verfügung, der als Sorgfaltsbeweis bei einer EDÖB-Prüfung dient. Bussen bis zu 250 000 CHF für Verantwortliche bei Verstössen.
Ist PhishTrainer in der Schweiz gehostet?
Ja. PhishTrainer ist 100 % schweizerisch: von Bexxo (Ins, Kanton Bern) entwickelt und auf Servern in der Schweiz gehostet. Kein Datentransfer ins Ausland. Die Daten Ihrer Mitarbeiter und die Kampagnenergebnisse verbleiben auf Schweizer Territorium, gemäß den Anforderungen des nDSG. PhishTrainer bietet optional eine clientseitige Verschlüsselung (client-side encryption): Die Daten werden im Browser des Benutzers verschlüsselt, bevor sie an unsere Server übertragen werden. Konkret bedeutet dies, dass selbst unsere Infrastruktur nicht auf die Klardaten zugreifen kann — eine maximale Vertraulichkeitsgarantie, die nur wenige Simulationstools bieten können.
Ist Phishing-Simulation für die nDSG-Konformität nützlich?
Ja. Das nDSG (neues Datenschutzgesetz, in Kraft seit September 2023) schreibt organisatorische Sicherheitsmaßnahmen vor, darunter die Sensibilisierung der Mitarbeiter für Risiken. Im Falle einer Datenverletzung riskiert ein Unternehmen, das nicht nachweisen kann, dass es seine Teams geschult hat, Bußgelder von bis zu 250 000 CHF. Die Kampagnenberichte von PhishTrainer dienen als Sorgfaltsnachweis: Sie dokumentieren die durchgeführten Simulationen, die Klickraten im Zeitverlauf und die eingeleiteten Korrekturmaßnahmen.
Schützt MFA (Multi-Faktor-Authentifizierung) wirklich vor Phishing?
Ja, in der großen Mehrheit der Fälle. Selbst wenn ein Angreifer Ihr Passwort über eine Phishing-Seite erhält, kann er sich ohne den zweiten Faktor (SMS-Code, Authenticator-App, physischer Schlüssel) nicht anmelden. MFA blockiert 99,9 % der automatisierten Angriffe auf Konten (Microsoft 2024). Die einzige Ausnahme ist Echtzeit-Phishing (MITM / Adversary-in-the-Middle-Angriff), der den MFA-Code im selben Moment abfängt — dieser Angriffsvektor bleibt für KMU marginal. Empfehlung: MFA auf allen beruflichen Konten ohne Ausnahme aktivieren.
Sind Smishing (SMS) und Vishing (Telefon) genauso gefährlich wie E-Mail-Phishing?
Ja, und sie können effektiver sein, gerade weil man weniger damit rechnet.
Smishing (SMS): SMS haben eine Öffnungsrate von über 90 %, gegenüber 20 bis 30 % bei E-Mails. Die Nachrichten imitieren typischerweise eine Lieferbenachrichtigung (Post, DHL), eine Bankwarnung oder eine Behördennachricht. Der Link leitet auf eine gefälschte Anmeldeseite weiter. Auf Mobilgeräten ist die URL häufig gekürzt und schwer zu überprüfen.
Vishing (Sprache): Der Angreifer ruft sein Opfer direkt an und gibt sich als IT-Support, Bank oder Microsoft aus. Der Echtzeit-Druck und die menschliche Stimme umgehen die üblichen Schutzreflexe. KI-generierte Stimmdeepfakes können mittlerweile die Stimme eines Kollegen oder Vorgesetzten imitieren.
Die goldene Regel in beiden Fällen: Niemals vertrauliche Informationen infolge einer unaufgeforderten Nachricht oder eines unaufgeforderten Anrufs weitergeben — sondern die Organisation direkt über eine bekannte offizielle Nummer zurückrufen.
Sind technische Vorkenntnisse erforderlich, um eine Schulung bei Bexxo Akademie zu absolvieren?
Nein. Die Lernpfade der Bexxo Akademie sind für alle Niveaus konzipiert, vom Mitarbeiter ohne IT-Kenntnisse bis zum IT-Verantwortlichen. Jeder Pfad passt sich dem Profil des Teilnehmers an. Die kurzen Module (10 bis 20 Minuten) lassen sich problemlos in einen Arbeitstag integrieren.
Warum sollte Personal in Cybersicherheit geschult werden?
Die Schulung des Personals in Cybersicherheit ist von entscheidender Bedeutung, da der Mensch das schwächste Glied bei den meisten Sicherheitsvorfällen bleibt. Ob es sich um einen Klick auf einen Phishing-Link, ein zu schwaches Passwort oder die unbeabsichtigte Weitergabe sensibler Informationen handelt, menschliches Versagen ist die Ursache für viele Kompromittierungen.
Eine gute Schulung versetzt die Mitarbeiter in die Lage, Bedrohungen zu erkennen, sich im Alltag sicher zu verhalten (Passwortverwaltung, Wachsamkeit gegenüber verdächtigen E-Mails, Einhaltung von Verfahren) und im Zweifelsfall richtig zu reagieren. Dies stärkt die allgemeine Sicherheitsposition des Unternehmens und reduziert das Risiko eines erfolgreichen Angriffs erheblich.
Was ist Cybersicherheitsschulung im Unternehmen?
Cybersicherheitsschulung im Unternehmen ist ein strukturiertes Programm, das Mitarbeitende lehrt, alltägliche Cyberbedrohungen zu erkennen und zu vermeiden: Phishing, Social Engineering, schwache Passwörter, riskante Verhaltensweisen. Im Gegensatz zu rein technischen Lösungen richtet sie sich an die Hauptvulnerabilität von Organisationen: den Menschen. Bei Bexxo kombiniert die Schulung reale Simulation via PhishTrainer (gefälschte Phishing-E-Mail-Kampagnen) und interaktives Lernen via Bexxo Academy (Module, Quiz, Videos). 68 % der Datenschutzverletzungen gehen auf menschliche Fehler zurück (Verizon DBIR 2024).
Was ist PhishTrainer?
PhishTrainer ist eine schweizerische Phishing-Simulationssoftware, die von Bexxo entwickelt wurde. Sie sendet echte simulierte betrügerische E-Mail-Kampagnen an die Mitarbeiter eines Unternehmens — ohne echtes Risiko — um ihre Wachsamkeit zu testen, vulnerable Profile zu identifizieren und die Wirksamkeit von Schulungen zu messen. Die Daten bleiben in der Schweiz gehostet, gemäß dem nDSG. PhishTrainer funktioniert in Synergie mit Bexxo Academy, der E-Learning-Plattform von Bexxo.
Was ist Phishing?
Phishing (auf Deutsch auch Hameçonnage genannt) ist eine Online-Betrugsmethode, bei der E-Mails, SMS oder Nachrichten verschickt werden, die legitime Kommunikation imitieren (Bank, Behörde, Arbeitgeber), um das Opfer zu täuschen und vertrauliche Informationen zu entlocken — Passwörter, Bankdaten, berufliche Zugangsdaten. Phishing ist der häufigste Angriffsvektor: 91 % der Cyberangriffe beginnen mit einer betrügerischen E-Mail (Proofpoint 2024).
Was ist Spear Phishing und warum ist es gefährlicher?
Spear Phishing ist eine gezielte Variante des klassischen Phishings: Statt Millionen generischer E-Mails zu verschicken, personalisieren die Angreifer den Angriff mit echten Informationen über das Ziel (Name des Vorgesetzten, laufendes Projekt, Lieferantenname). Diese Zielgenauigkeit macht die E-Mail deutlich glaubwürdiger. Spear Phishing ist für 66 % der bestätigten Datenverletzungen verantwortlich (Verizon DBIR 2024). Mit KI können Angreifer diese personalisierten E-Mails nun in großem Maßstab generieren — die Kosten eines gezielten Angriffs sind erheblich gesunken.
Was ist der Unterschied zwischen PhishTrainer und Bexxo Academy?
Es sind zwei komplementäre Tools:
- PhishTrainer setzt auf Praxis: Es sendet gefälschte Phishing-E-Mails an Ihre Mitarbeitenden und misst, wer klickt und wer den Angriff meldet. Dies ist der verhaltensorientierte Ansatz — Lernen durch Erfahrung. Das Dashboard zeigt die Klickrate, die Melderate und die Entwicklung im Zeitverlauf.
- Bexxo Academy setzt auf Wissen: Videolernmodule, interaktive Quizze, Lernspiele zu Cyberbedrohungen. Online rund um die Uhr zugänglich, ergänzt durch Präsenzveranstaltungen in Ins (BE). Ideal für die Integration neuer Mitarbeitender und die Aktualisierung von Kenntnissen.
Beide Tools zusammen decken den vollständigen Kreislauf ab: sensibilisieren → testen → messen → verbessern.
Was ist der Unterschied zwischen PhishTrainer und Bexxo Academy?
PhishTrainer und Bexxo Academy sind zwei komplementäre Tools: PhishTrainer testet (Angriffssimulation, Identifizierung von Schwachstellen, Messung der Klickrate), Bexxo Academy schult (E-Learning-Module, Quiz, Videos, Präsenzveranstaltungen). Sie funktionieren in Synergie: Die Ergebnisse von PhishTrainer identifizieren die gefährdeten Teams oder Profile, Bexxo Academy liefert die angepassten Schulungsverläufe. Für einen wirksamen Schutz empfiehlt Bexxo, beide Tools gemeinsam nach der Methode Simulieren → Schulen → Messen einzusetzen.
Was ist der Unterschied zwischen Sensibilisierung und technischer Schulung?
Die Sensibilisierung zielt darauf ab, eine allgemeine Sicherheitskultur zu verbreiten, die für alle Mitarbeiter zugänglich ist, unabhängig von ihrem Beruf oder ihrem technischen Niveau. Sie umfasst konkrete Themen: Phishing, Passwörter, Mobilität, soziale Netzwerke, Wachsamkeit im Homeoffice usw. Ziel ist es, jeden zu einem Akteur der Sicherheit in seinen täglichen Gewohnheiten zu machen.
Die technische Schulung hingegen richtet sich an spezialisiertere Profile (IT-Teams, Entwickler, Administratoren) und befasst sich mit spezifischen Kompetenzen wie der Härtung von Systemen, der sicheren Entwicklung oder dem Incident Management. Sie erfordert oft Vorkenntnisse und zielt darauf ab, die Sicherheit durch technische Beherrschung zu stärken.