Ein Awareness-Programm (Sensibilisierungsprogramm) umfasst alle Maßnahmen, die Beschäftigte für Informationssicherheitsrisiken sensibilisieren und zu sicherem Verhalten befähigen. Dazu gehören Schulungen, Phishing-Simulationen, Poster, Intranet-Beiträge und Micro-Learnings.
ISO 27001 Clause 7.3 (Bewusstsein) und Annex A Control A.6.3 (Bewusstsein, Ausbildung und Schulung) verlangen ein dokumentiertes Programm. Entscheidend ist, dass Awareness kein einmaliges Ereignis ist: Die Norm fordert regelmäßige, an die aktuelle Bedrohungslage angepasste Maßnahmen. Messe den Erfolg anhand konkreter Kennzahlen — etwa der Klickrate bei Phishing-Simulationen, der Anzahl gemeldeter Vorfälle oder der Abschlussquote von E-Learning-Modulen. Zielgruppenspezifische Inhalte (IT-Team, Management, neue Mitarbeitende) erhöhen die Wirksamkeit.