Phishing-Angriffe stehen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Spitze aller Cyberbedrohungen im deutschen Mittelstand. Täglich versenden Kriminelle Millionen täuschend echte E-Mails, SMS und WhatsApp-Nachrichten, um Zugangsdaten, Kundendaten oder Industriespionage zu erlangen. Ein einziger Mitarbeiter, der auf einen manipulierten Link klickt, kann ganze Netzwerke kompromittieren und empfindliche Bußgelder nach Art. 83 DSGVO auslösen. Aus Arbeitsschutzsicht stellen derartige Angriffe keine rein IT-technische Herausforderung dar, sondern eine konkrete Gesundheits- und Sicherheitsgefährdung am Arbeitsplatz. Deshalb ist die Phishing Awareness Unterweisung nach ArbSchG §12 und DGUV V1 zwingende Betriebspflicht – nicht nur für Großunternehmen, sondern bereits für Betriebe mit nur einem einzigen Computerarbeitsplatz. Diese Unterweisung vermittelt Ihren Beschäftigten praxisnah, wie sie manipulierte Nachrichten sofort erkennen, welche Sofortmaßnahmen sie ergreifen müssen und wie Ihr Unternehmen rechtlich auf der sicheren Seite bleibt.
Warum Unterweisungscenter?
Barrierefrei
WCAG 2.2 AA
Mehrsprachig
DE, EN, FR u.a.
Zertifikat
Automatisch als PDF
Ein-Klick
Keine Registrierung
KISS
Kurz und bündig
Rechtssicher
ArbSchG-konform
⚖️Rechtliche Grundlagen
Die rechtliche Pflicht zur Phishing Awareness ergibt sich aus mehreren einschlägigen Normen des Arbeitsschutz- und Datenschutzrechts. Kernverpflichtung ist das Arbeitsschutzgesetz (ArbSchG) §12, der den Arbeitgeber verpflichtet, „die erforderlichen Maßnahmen zur Vermeidung von Gefährdungen für Leben und Gesundheit der Beschäftigten zu treffen“. Cyberbedrohungen wie Phishing gefährden nicht nur digitale Daten, sondern können Betriebsabläufe lahmlegen und so Gesundheitsrisiken durch Arbeitsunterbrechungen oder betriebsbedingte Kündigungen auslösen.
Ergänzend verweist DGUV Vorschrift 1 (DGUV V1) §4 Abs. 1 auf die Verpflichtung des Arbeitgebers, „die Sicherheits- und Gesundheitsschutzkenntnisse der Beschäftigten auf dem Stand des jeweiligen Arbeits- und Arbeitsschutzes zu halten“. Da Phishing-Methoden sich ständig weiterentwickeln, ist eine regelmäßige Aktualisierung dieser Kenntnisse zwingend erforderlich.
Im Bereich der Datenverarbeitung verpflichtet Art. 32 DSGVO zu „geeigneten technischen und organisatorischen Maßnahmen“ zum Schutz personenbezogener Daten. Die Aufsichtsbehörden stufen Mitarbeiter-Schulungen als unverzichtbaren organisatorischen Sicherheitsfaktor ein. Verstöße können mit Bußgeldern bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes sanktioniert werden.
Weitere relevante Regelwerke sind §80 BetrSichV (Betriebssicherheitsverordnung), der die Integration von IT-Sicherheitsaspekten in die Gefährdungsbeurteilung verlangt, sowie IT-Grundschutz-Kataloge des BSI und ISO 27001, die beide Schulungsprogramme als essenzielle Kontrollmaßnahme aufführen.
📋Pflichten des Arbeitgebers
Gefährdungsbeurteilung: Nach ArbSchG §5 und DGUV V2 §6 muss jeder Arbeitgeber schriftlich ermitteln, welche Gefährdungen durch Phishing im eigenen Betrieb bestehen. Dazu gehören die Art und Menge verarbeiteter personenbezogener Daten, die Anzahl und Qualifikation der IT-Nutzer sowie vorhandene technische Schutzmaßnahmen. Die Gefährdungsbeurteilung ist bei jeder wesentlichen Änderung (z. B. neues ERP-System, Home-Office-Ausbau) anzupassen.
Unterweisungspflicht: ArbSchG §12 und DGUV V1 §12 verpflichten den Arbeitgeber, alle Beschäftigten – inklusive Leiharbeit, Werkstudenten und Führungskräfte – regelmäßig zu phishingspezifischen Sicherheitsmaßnahmen zu unterweisen. Die Schulung muss verständlich, aktuell und auf die konkrete Tätigkeit zugeschnitten sein.
Dokumentation: Die Durchführung der Unterweisung ist nach DGUV V1 §12 Abs. 3 schriftlich oder digital festzuhalten. Mindestangaben sind: Teilnehmerliste, Schulungsinhalte, Dauer, Ort, Trainer, Prüfungsnachweise und Nachweis über Wiederholungsintervalle. Die Aufzeichnungen sind mindestens fünf Jahre aufzubewahren und der zuständigen Berufsgenossenschaft auf Verlangen vorzulegen.
📘Inhalte der Unterweisung
1. Grundlagen: Was ist Phishing?
Teilnehmer lernen, dass Phishing gezielte Täuschungsmanöver sind, mit denen Angreifer Login-Daten, Bankverbindungen oder Betriebsgeheimnisse abfischen. Anhand aktueller Screenshots erkennen sie, dass Phishing längst nicht mehr nur per E-Mail stattfindet, sondern über alle erdenklichen Kommunikationskanäle.
2. Typische Angriffswege
E-Mail-Phishing: gefälschte Absenderadressen („CEO Fraud“), Dringlichkeitsmails („Konto wird gesperrt“) und perfekt imitierte Corporate-Designs
Smishing (SMS-Phishing): Kurznachrichten mit Paket- oder Bank-Tricks, die auf betrügerische Webseiten führen
Vishing (Voice-Phishing): telefonische Anrufer, die sich als IT-Support oder Finanzamt ausgeben
Spear-Phishing: hochindividuelle Angriffe mit personenbezogenen Details aus Social Media oder Firmenwebseiten
Social-Media-Phishing: gefälschte LinkedIn-Jobs oder Instagram-Gewinnspiele
Die Schulung trainiert den sofortigen Ablauf: Meldung per internem Phishing-Button, Isolierung des Geräts, Weiterleitung an IT-Sicherheit und dokumentierte Beobachtung. Ein durchgespielter Praxisfall demonstriert die korrekte Eskalation.
5. Technische Schutzmaßnahmen
aktuelle Browser und Betriebssysteme
aktivierter Two-Factor-Authentifizierung (2FA)
eingerichtete Spamfilter und DNS-Blocklisten
regelmäßige Phishing-Simulationen zur Verhaltenskontrolle
6. Rechtliche Konsequenzen für Mitarbeiter
Kurzer Impuls: Auch Beschäftigte haften bei grober Fahrlässigkeit (z. B. bewusst ignorierte Sicherheitsregeln) und können arbeitsrechtliche Konsequenzen bis zur fristlosen Kündigung erleben.
Personell: ungeschulte Mitarbeiter, Weiterbildungsstau, Führungskräfte ohne Vorbildfunktion
Maßnahmen (TOP-Prinzip):
Technisch: zentrales Patch-Management, sichere Kennwortrichtlinien, E-Mail-Verschlüsselung, Security-Software mit Echtzeit-Scans
Organisatorisch: klare Verhaltensregeln in der IT-Betriebsanleitung, interne Meldehotline, regelmäßige Simulations-Phishing-Mails, Security-Incident-Response-Plan
Personell: Pflichtschulung bei Einstellung und jährliche Auffrischung, individuelle Schulungen für Führungskräfte und IT-Administratoren, Gamification und gamifizierte Lernspiele zur Motivationssteigerung
🎯Zielgruppen & Branchen
Die Unterweisung ist branchenübergreifend relevant. Besonders betroffen sind:
Finanz- & Versicherungswesen: hoher Zugriff auf Bankdaten und Kundendepots
Gesundheitswesen: sensible Patientendaten nach GDPR §9
Öffentliche Verwaltung: hohes Angriffspotenzial für Industriespionage
Industrie & Logistik: wertvolle Konstruktionsdaten und Lieferketteninformationen
Kleinstunternehmen: oft unzureichende IT-Sicherheit, aber volle rechtliche Verantwortung
Home-Office-Mitarbeiter und befristet Beschäftigte müssen ausdrücklich einbezogen werden, da sie häufig öffentliche WLANs nutzen und damit ein erhöhtes Risiko darstellen.
📅Intervalle & Dokumentation
Regelintervall: Erstunterweisung bei Einstellung oder Rechnernutzungsbeginn. Anschließend ist eine Wiederholung jährlich nach DGUV V1 §12 sowie bei signifikanten Angriffswellen oder Änderung der Angriffsmethoden erforderlich. Kurz-Updates (15 Minuten) reichen aus, wenn sich die Inhalte nur marginal geändert haben.
Dokumentation: Teilnahmebescheinigung mit Inhaltsangaben, Präsenzzeiten und Prüfungsergebnissen. Digital signierte Schulungsnachweise erfüllen die Aufbewahrungsfrist von mindestens fünf Jahren nach DGUV V1 §12 Abs. 4 und können bei Betriebsprüfungen sofort vorgelegt werden.
🛠️In der Praxis
✅ Checkliste
☐ Gefährdungsbeurteilung für Phishing aktuell und schriftlich dokumentiert?
☐ Alle IT-Nutzer inklusive Home-Office und Leiharbeit unterwiesen?
☐ Schulungsinhalte passen zur individuellen Tätigkeit und aktuellen Bedrohungslage?
☐ Technische Schutzmaßnahmen (2FA, Spamfilter) eingerichtet und geprüft?
☐ Phishing-Meldebutton in allen E-Mail-Clients verfügbar und getestet?
☐ Wiederholungsintervall von maximal 12 Monaten festgelegt?
☐ Schulungsnachweise digital archiviert und jederzeit abrufbar?
☐ Eskalationsplan bei Verdacht öffentlich bekannt gemacht?
⚠️ Häufige Fehler
1. Nur IT-Abteilung schulen Verstößt gegen ArbSchG §12: Die Pflicht gilt für alle Beschäftigten, nicht nur für Administratoren.
2. Einmalige Power-Point reicht Statische Schulungen veralten schnell. Ohne jährliche Aktualisierung droht Bußgeld wegen mangelhafter Gefährdungsbeurteilung.
3. Home-Office ignorieren Mitarbeiter im mobilen Büro gelten als Arbeitsplatz und müssen ebenfalls geschult sein.
4. Keine Simulationen Theoretisches Wissen allein prüft nicht das Verhalten. Fehlende Phishing-Tests lassen echte Risiken offen.
5. Dokumentation unvollständig Fehlende Teilnahmebestätigungen machen im Schadensfall Nachweise unmöglich und erhöhen Regressrisiken.
ℹ️ Sonderfälle
Leiharbeitnehmer: Werden nach ArbSchG §12 und AÜG dem Verleiher und Entleiher gleichermaßen zugeordnet. Ideal ist eine Doppelunterweisung: der Verleiher schult allgemein, der Entleiher betriebsspezifisch.
Auszubildende & Praktikanten: Erfassen oft sensible Daten im ersten Lehrjahr. Sie benötigen eine vereinfachte, aber vollständige Schulung mit besonderem Fokus auf Social-Media-Fallen.
Führungskräfte: Sind Multiplikatoren und müssen zusätzlich lernen, verdächtige Vorgänge zu eskalieren und Teams zu sensibilisieren.
💬Häufige Fragen
Häufige Fragen zur Phishing Awareness Unterweisung
Frage 1: Muss auch ein 5-Personen-Büro die Schulung durchführen? Ja. ArbSchG §12 und DSGVO gelten unabhängig von der Betriebsgröße. Ein einziger infizierter Rechner reicht für Datenschutzbußgeld.
Frage 2: Darf ich die Schulung rein online durchführen? Ja, wenn die Inhalte interaktiv und mit Abschlusstest erfolgen. Die Berufsgenossenschaft akzeptiert qualifizierte E-Learning-Kurse.
Frage 3: Was kostet eine Verletzung der Unterweisungspflicht? Beträge variieren; Bußgelder nach Art. 83 DSGVO starten bei 20.000 €, zuzüglich Image- und Regresskosten.
Frage 4: Wie lange dauert die Schulung? Grundschulung ca. 45–60 Minuten einschließlich Übungsbeispielen. Wiederholungen als Kurzrefresh 15 Minuten.
Frage 5: Gibt es Förderungen? Die DGUV fördert Präventionsmaßnahmen über Zuschüsse bis 80 % der Schulungskosten. Antrag über die zuständige BG.
Frage 6: Muss ich eigenes Personal schulen oder externe Trainer beauftragen? Beides ist zulässig, wenn die Qualifikation nachgewiesen ist. Externe Dienstleister sparen Ressourcen und garantieren Aktualität.
Unsere zertifizierte E-Learning-Schulung nach DGUV-Richtlinie aktualisiert sich automatisch mit neuen Phishing-Tricks. In nur 45 Minuten schützen Sie Ihre Mitarbeiter, erfüllen alle Dokumentationspflichten und sparen bis zu 80 % durch DGUV-Förderung.