FAQ : Sensibilisierung
Was ist der Unterschied zwischen der Online-Schulung Bexxo Akademie und den Präsenzsitzungen?
Die Online-Schulung (academy.bexxo.ch) ist rund um die Uhr verfügbar, individuell und mit freiem Fortschritt — ideal für regelmässige Sensibilisierung, kontinuierliche Nachverfolgung und geografisch verstreute Teams. Präsenzsitzungen in Ins (BE) werden empfohlen, wenn Sie gleichzeitig 5 bis 20 Personen schulen, interaktive Workshops mit realen Situationen durchführen oder eine Sicherheitskultur bei einem Firmenanlass (Seminar, Thementag) verankern möchten. Für Teams mit mehr als 10 Personen empfehlen wir in der Regel eine Kombination: anfängliche Online-Sensibilisierung, gefolgt von einer Präsenzsitzung zur Festigung des Gelernten.
Was ist die Bexxo Akademie?
Bexxo Akademie (academy.bexxo.ch) ist die Cybersicherheits-Schulungsplattform von Bexxo, die Schweizer KMU, ihren Mitarbeitern und der breiten Öffentlichkeit gewidmet ist. Sie bietet interaktive Module, Phishing-Simulatoren, Quiz, Videos und Lernspiele, rund um die Uhr von jedem Gerät aus zugänglich. Sie wird durch Präsenzsitzungen in den Bexxo-Räumlichkeiten in Ins (BE) ergänzt, für bis zu 20 Personen.
Was tun, wenn ich auf einen Phishing-Link geklickt habe?
Handeln Sie sofort: (1) Trennen Sie sich vom Unternehmensnetzwerk (WLAN, Kabel); (2) melden Sie den Vorfall umgehend Ihrer IT-Abteilung oder dem Sicherheitsbeauftragten — per Telefon, nicht per E-Mail; (3) ändern Sie Ihr Passwort von einem anderen sicheren Gerät aus; (4) löschen Sie die verdächtige E-Mail nicht, sie dient der forensischen Analyse; (5) aktivieren Sie MFA, falls noch nicht geschehen. Je schneller Sie handeln, desto besser können die Schäden begrenzt werden.
Welche Risiken bestehen bei mangelndem Bewusstsein?
Mangelndes Bewusstsein setzt das Unternehmen sehr konkreten Risiken aus: Öffnen betrügerischer E-Mails, Installation von Malware, Datenlecks oder schlechte Praktiken wie die Verwendung unverschlüsselter Medien oder die Weitergabe von Passwörtern. Diese Fehler können zu kostspieligen Cyberangriffen oder sogar zu Betriebsunterbrechungen führen.
Darüber hinaus kann ungeschultes Personal unbeabsichtigt zum Einfallstor für Ransomware, Datendiebstahl oder Industriespionage werden. In einem Kontext zunehmender Digitalisierung bedeutet die Ignorierung dieses Aspekts, eine permanente Schwachstelle in der Verteidigung des Unternehmens zu hinterlassen.
Welche Verantwortung trägt das Unternehmen bei einem Vorfall, der durch einen unzureichend informierten Mitarbeiter verursacht wurde?
Wenn ein Sicherheitsvorfall aufgrund eines riskanten Verhaltens eines unzureichend informierten Mitarbeiters auftritt, bleibt das Unternehmen weitgehend verantwortlich. Das Gesetz, insbesondere das revDSG in der Schweiz und die DSGVO in Europa, verpflichtet Organisationen, die notwendigen Massnahmen zu ergreifen, um Daten zu schützen und Risiken zu reduzieren. Dazu gehören die Schulung und Sensibilisierung des Personals.
Im Falle eines Rechtsstreits oder einer Untersuchung könnte ein Unternehmen, das nicht nachweisen kann, dass es Präventionsmassnahmen ergriffen hat (wie z. B. regelmässige Schulungen, Sensibilisierungskampagnen oder Erinnerungen an bewährte Verfahren), als fahrlässig beurteilt werden. Dies kann zu Geldstrafen, Reputationsschäden und einem Vertrauensverlust bei Kunden und Partnern führen.
Welche verschiedenen Formen von Phishing gibt es?
Es gibt 6 Hauptformen von Phishing:
- Klassisches Phishing — Massen-E-Mails, die eine Bank, eine Lieferung oder eine Behörde imitieren. Täglich werden mehr als 3,4 Milliarden betrügerische E-Mails versandt (Forbes 2024). Oft erkennbar an Fehlern und künstlicher Dringlichkeit.
- Spear Phishing — Gezielter Angriff auf eine bestimmte Person mit echten Informationen (Name des Vorgesetzten, laufendes Projekt). Verantwortlich für 66 % der bestätigten Verletzungen (Verizon DBIR 2024).
- Whaling — Variante des Spear Phishing, die gezielt Führungskräfte und Manager angreift, um Zugang zu Finanzen oder strategischen Entscheidungen zu erhalten.
- Smishing — Phishing per SMS. Imitiert in der Regel eine Bankwarnung, eine Paketzustellung oder einen öffentlichen Dienst. Die Öffnungsrate von SMS liegt bei über 90 % — dieser Vektor wächst stark.
- Vishing — Sprach-Phishing per Telefon. Der Betrüger gibt sich als IT-Support, Bank oder Behörde aus, um Informationen zu entlocken oder eine sofortige Aktion auszulösen.
- BEC (Business Email Compromise / CEO-Betrug) — Identitätsmissbrauch eines Managers oder Partners, um eine Überweisung anzuordnen oder sensible Daten zu erhalten. Größte Quelle finanzieller Verluste durch Cyberkriminalität: 2,9 Milliarden USD im Jahr 2023 (FBI IC3 2024).
Wer sollte in einem KMU geschult werden?
In einem KMU sollten alle Mitarbeiter geschult werden, zumindest in den Grundlagen der Cybersicherheit. Jedes Profil ist betroffen: die Verwaltung, die sensible Dokumente verwaltet, der Vertrieb, der per E-Mail mit Externen kommuniziert, oder der Techniker, der auf die Verwaltungstools zugreift. Die Schulung sollte an die Rolle und die mit jeder Position verbundenen Risiken angepasst sein.
Ergänzend dazu sollten die technischen Teams, die Sicherheitsbeauftragten (sofern vorhanden) und die Geschäftsführung umfassendere Schulungen absolvieren, um die Herausforderungen zu verstehen, Entscheidungen zu steuern und im Falle eines Vorfalls effektiv zu reagieren. In einem KMU, in dem die Ressourcen begrenzt sind, ist es oft realistischer, intelligent und schrittweise zu schulen, als Vollständigkeit anzustreben.
Wie erkennt man eine Phishing-E-Mail?
Die wichtigsten Warnsignale sind: eine Absenderadresse, die leicht vom Original abweicht (z.B. support@rnazonl.com statt @amazon.com), ein Gefühl von Dringlichkeit oder Drohung, das zu schnellem Handeln drängt, eine Anfrage nach Passwort oder Bankdaten, eine Link-URL, die nicht der erwarteten Website entspricht (vor dem Klicken überprüfen), Rechtschreib- oder Formatierungsfehler. Achtung: Durch KI generierte E-Mails sind mittlerweile fehlerfrei — die Grammatik allein reicht nicht mehr zur Erkennung aus.
Wie funktioniert der Phishing-Simulator von Bexxo Akademie?
Der Phishing-Simulator ist in Bexxo Akademie integriert und arbeitet in Synergie mit PhishTrainer, unserer dedizierten Software. Simulierte betrügerische E-Mail-Kampagnen werden an Mitarbeiter gesendet — ohne reale Gefahr. Klicks und Aktionen werden erfasst, und jeder Mitarbeiter, der geklickt hat, erhält sofort eine Korrekturschulung. Manager haben Zugang zu detaillierten Berichten nach Abteilung oder Team, um Schulungsmassnahmen gezielt einzusetzen.
Wie funktioniert eine Simulationskampagne mit PhishTrainer?
Mit wenigen Klicks konfigurieren Sie eine Kampagne: Auswahl der Empfänger, Wahl einer betrügerischen E-Mail-Vorlage (gefälschte Microsoft-Anmeldung, Paketzustellung, HR-Anfrage…), Festlegung des Timings. Die E-Mails werden an die Mitarbeiter gesendet. Jede Aktion wird aufgezeichnet: Öffnung, Klick auf einen Link, Dateneingabe. Mitarbeiter, die interagiert haben, erhalten sofort eine Schulungsnachricht. Ein detailliertes Dashboard präsentiert die Ergebnisse nach Team, Abteilung oder Bereich.
Wie kann ich eine Bexxo Akademie-Schulung für mein Unternehmen organisieren?
Zwei Möglichkeiten: direkter Zugang zur Online-Plattform (academy.bexxo.ch) mit Erstellung von Konten für Ihre Mitarbeiter und Nachverfolgungs-Dashboard; oder massgeschneiderte Präsenzschulung in unseren Räumlichkeiten in Ins (BE) oder direkt in Ihrem Unternehmen. Kontaktieren Sie uns über das Formular auf dieser Seite für ein kostenloses Gespräch ohne Verpflichtung — wir definieren gemeinsam das auf Ihre Grösse und Ziele zugeschnittene Programm.
Wie lange dauert es, ein KMU mit 20 bis 50 Mitarbeitenden zu schulen?
Für ein KMU mit 20 bis 50 Mitarbeitenden läuft das typische Programm über 3 bis 6 Monate:
- Woche 1: Einrichtung von PhishTrainer, Versand der ersten Referenz-Phishing-Kampagne (Baseline).
- Monat 1-2: Bexxo Academy-Zugang für alle Mitarbeitenden, Einführungsmodule (30 bis 45 Min. pro Modul).
- Monat 3-6: monatliche Phishing-Kampagnen, gezielte Erinnerungen für gefährdete Mitarbeitende, Fortschrittsbericht.
Die Einrichtung wird von Bexxo übernommen — keine internen technischen Kenntnisse erforderlich. Der monatliche Verwaltungsaufwand beträgt für den HR- oder IT-Verantwortlichen weniger als 2 Stunden.
Wie misst man die Wirksamkeit der Simulationen im Zeitverlauf?
PhishTrainer generiert nach jeder Kampagne detaillierte Berichte: Öffnungsrate, Klickrate, Dateneingaberate — nach Team, Abteilung und Mitarbeiter. Durch mehrere Kampagnen über 6 bis 12 Monate lässt sich die Progression beobachten: Unternehmen, die regelmäßig simulieren, reduzieren ihre durchschnittliche Klickrate um 60 bis 70 % (Proofpoint 2024). Diese Berichte dokumentieren die Entwicklung der Cybersicherheitsreife Ihrer Organisation und können bei internen Audits oder EDÖB-Kontrollen vorgelegt werden.
Wie misst man die Wirksamkeit einer Cybersicherheitsschulung?
Die Wirksamkeit einer Cybersicherheitsschulung lässt sich konkret anhand von Verhaltenskennzahlen messen:
- Klickrate auf simuliertes Phishing — vor/nach der Schulung. Ein gutes Programm reduziert diese Rate in 6 Monaten um mehr als 70 %.
- Melderate — Anzahl der Mitarbeitenden, die aktiv einen verdächtigen Phishing-Versuch melden.
- Academy-Abschlussquote — Prozentsatz abgeschlossener Module und Quiz-Ergebnisse.
- Entwicklung im Zeitverlauf — PhishTrainer-Dashboard mit Verlauf über 12 Monate.
Diese Metriken sind im Bexxo-Dashboard verfügbar und für nDSG-Konformitätsberichte exportierbar.
Wie schult man Teams effektiv gegen Phishing?
Theoretische Schulungen allein reichen nicht aus: Studien zeigen, dass Mitarbeitende 70 % des Inhalts einer Schulung innerhalb einer Woche vergessen (Ebbinghaus, in zahlreichen E-Learning-Studien bestätigt). Der effektivste Ansatz kombiniert Simulation und korrigierende Schulung: echte simulierte Phishing-Kampagnen durchführen (via PhishTrainer), Mitarbeitende identifizieren, die klicken, und sie automatisch auf eine gezielte Schulung weiterleiten (Bexxo Academy). Diese Methode reduziert die Klickrate in sechs Monaten um 60 bis 70 % (Proofpoint 2024). Regelmäßige Simulationen (4 bis 6 pro Jahr) halten das Wachsamkeitsniveau dauerhaft aufrecht.