Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Personenbezogene Kontrolle

A.6.3 — IS-Bewusstsein, -Bildung und -Schulung

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.6.3 ISO 27001ISO 27002BSI ORP.3

92% der Sicherheitsvorfälle haben eine menschliche Komponente — ein Klick auf den falschen Link, ein weitergeleitetes Passwort, ein unverschlüsselter USB-Stick. Technik allein fängt das nicht ab. A.6.3 fordert ein Schulungsprogramm, das alle Beschäftigten befähigt, Sicherheitsrisiken zu erkennen und richtig zu handeln.

Die Kontrolle umfasst drei Ebenen: Bewusstsein schaffen (Awareness), Wissen aufbauen (Bildung) und praktische Fähigkeiten trainieren (Schulung). Diese drei Ebenen richten sich an unterschiedliche Zielgruppen mit unterschiedlicher Tiefe.

Was verlangt die Norm?

  • Schulungsprogramm etablieren. Ein dokumentiertes Programm, das Awareness, Bildung und praktische Schulung kombiniert — abgestimmt auf die Rollen innerhalb der Organisation.
  • Relevanz für die Rolle. Schulungsinhalte richten sich nach dem Verantwortungsbereich: Allgemeine Awareness für alle, spezialisierte Schulungen für IT, Entwicklung, Incident Response.
  • Regelmäßigkeit. Die Schulungen finden in geplanten Intervallen statt und werden bei wesentlichen Änderungen (neue Bedrohungen, Richtlinienänderungen, Vorfälle) anlassbezogen ergänzt.
  • Wirksamkeitsprüfung. Die Organisation prüft, ob die Schulungen ihr Ziel erreichen — durch Tests, Befragungen oder die Auswertung von Vorfallszahlen.
  • Dokumentation. Teilnahme, Inhalte und Ergebnisse werden nachvollziehbar dokumentiert.

In der Praxis

Schulungsmatrix erstellen. Eine Matrix, die Rollen (Zeilen) und Schulungsthemen (Spalten) kreuzt. Für jede Kombination definierst du: Pflicht oder freiwillig, Frequenz, Format (E-Learning, Präsenz, Workshop). Die Matrix ist das zentrale Planungsdokument und zeigt Auditoren auf einen Blick, dass das Programm systematisch aufgebaut ist.

E-Learning als Basis, Präsenz als Vertiefung. Für die jährliche Grundlagenschulung eignet sich E-Learning mit abschließendem Test — skalierbar und dokumentierbar. Spezialisierte Themen (Incident Response, Social Engineering) profitieren von Präsenzformaten mit Übungsszenarien. Phishing-Simulationen ergänzen beides durch praktische Erfahrung im Alltag.

Wirksamkeit messen. Ein Schulungsprogramm, das niemand ernst nimmt, erfüllt die Norm formal, bringt aber keinen Sicherheitsgewinn. Drei Indikatoren helfen: Testergebnisse nach der Schulung, Klickrate bei Phishing-Simulationen über die Zeit und die Anzahl der eigenständig gemeldeten Sicherheitsvorfälle. Steigt die Meldequote, funktioniert das Programm.

Neue Mitarbeitende sofort einbinden. Die IS-Grundlagenschulung gehört in die erste Arbeitswoche — vor der Freischaltung sensibler Zugänge. In der Praxis lässt sich das mit dem Onboarding-Ablauf verknüpfen: Schulung abgeschlossen → Zugangsfreigabe.

Typische Audit-Nachweise

Auditoren erwarten bei A.6.3 typischerweise diese Nachweise:

  • Schulungsregister — zentrale Übersicht aller durchgeführten Schulungen mit Teilnehmern und Ergebnissen (→ Schulungsregister im Starter Kit)
  • Schulungsmatrix — Rolle-Thema-Zuordnung mit Pflichtangaben und Frequenz
  • Schulungsmaterialien — Präsentationen, E-Learning-Inhalte, Testfragen
  • Testergebnisse — Nachweis der Wirksamkeitsprüfung
  • Phishing-Simulationsberichte — Ergebnisse und Trends über die Zeit
  • Personalsicherheitsrichtlinie — Rahmenwerk für das Schulungsprogramm (→ Personalsicherheitsrichtlinie im Starter Kit)

KPI

% der Mitarbeitenden mit abgeschlossener jährlicher Sicherheitsschulung

Gemessen als Prozentsatz: Wie viele der aktiven Beschäftigten haben die jährliche IS-Grundlagenschulung innerhalb des vorgesehenen Zeitraums abgeschlossen und den Test bestanden? Ziel: 100%. In der Praxis liegen die meisten Organisationen bei 85–95%, weil Langzeitkranke, Elternzeitler und Sonderfälle die Quote drücken.

Ergänzende KPIs:

  • Klickrate bei Phishing-Simulationen (Ziel: sinkender Trend über die Quartale)
  • Anteil der spezialisierten Schulungen, die fristgerecht durchgeführt wurden
  • Anzahl der eigenständig gemeldeten Sicherheitsvorfälle pro Quartal

BSI IT-Grundschutz

A.6.3 mappt direkt auf den BSI-Baustein ORP.3 (Sensibilisierung und Schulung zur Informationssicherheit):

  • ORP.3.A1 (Sensibilisierung der Institutsleitung) — fordert, dass die Geschäftsführung selbst für IS sensibilisiert wird — Schulungen sind keine reine Mitarbeiter-Angelegenheit.
  • ORP.3.A4 (Konzeption eines Sensibilisierungs- und Schulungsprogramms) — verlangt ein dokumentiertes Programm mit Zielgruppenanalyse, Inhalten, Formaten und Zeitplan.
  • ORP.3.A6 (Durchführung von Sensibilisierungen und Schulungen) — regelt die operative Umsetzung: regelmäßige Durchführung, Dokumentation, Anpassung an aktuelle Bedrohungen.
  • ORP.3.A7 (Schulung zur Vorgehensweise nach IT-Grundschutz) — spezifische Schulung für das IS-Team zur BSI-Methodik.
  • ORP.3.A8 (Messung und Auswertung des Lernerfolgs) — fordert explizit die Wirksamkeitsprüfung durch Tests und Auswertungen.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Wie oft müssen Schulungen stattfinden?

ISO 27001 nennt keine feste Frequenz. In der Praxis hat sich ein jährlicher Zyklus bewährt: eine Grundlagenschulung pro Jahr für alle, ergänzt durch anlassbezogene Schulungen bei neuen Bedrohungen, Richtlinienänderungen oder nach Sicherheitsvorfällen. Neue Mitarbeitende erhalten eine Schulung innerhalb der ersten 30 Tage.

Reicht ein jährliches E-Learning?

Als Basis ja — wenn es durch einen abschließenden Test ergänzt wird und die Ergebnisse dokumentiert werden. Für Rollen mit erhöhtem Risiko (IT-Administration, Entwicklung) braucht es zusätzlich spezialisierte Schulungen, etwa zu sicherem Coding oder Incident-Response-Abläufen.

Muss ich auch externe Dienstleister schulen?

A.6.3 spricht von relevantem Personal und interessierten Parteien. Externe, die regelmäßig auf deine Systeme zugreifen, fallen darunter. In der Praxis kannst du vom Dienstleister einen Schulungsnachweis verlangen oder ihm Zugang zu deinem E-Learning geben.