Leistungen

/

Security Awareness Training

Für § 30 Abs. 2 Nr. 7 & § 38 Abs. 3 BSIG konform

Security Awareness Training für das Gesundheitswesen

Cybersicherheits-Schulungen für Krankenhäuser, Kliniken, MVZ, Pflegeeinrichtungen, Pharma und MedTech — jährlicher Kernkurs plus drei Spotlights pro Jahr, mit auditfähigem Nachweis nach NIS2 und § 38 BSIG.

Kostenloses Risk Assessment

Kostenloses Risk Assessment

Icon
Icon

DIE REALITÄT

Der Mensch ist kein Problem — sondern Teil der Lösung.

Über zwei Drittel aller Sicherheitsvorfälle entstehen durch menschliches Verhalten — nicht aus Böswilligkeit, sondern aus Zeitdruck, Unwissen oder geschicktem Social Engineering. Gut geschulte Mitarbeitende sind deshalb die wirkungsvollste Sicherheitsebene, die es gibt.

68%

der Sicherheitsvorfälle beinhalten einen menschlichen Faktor — Fehlklick, gestohlene Zugangsdaten oder Social Engineering.

4,88 M€

durchschnittliche Kosten eines Data Breach im Gesundheitswesen 2024 — höchster Wert aller Branchen, 14. Jahr in Folge.

10 Mio €

maximales Bußgeld nach NIS2 für besonders wichtige Einrichtungen — oder 2 % des globalen Jahresumsatzes. Bei Pflichtverletzung haftet die Geschäftsleitung nach § 38 BSIG zusätzlich persönlich mit Privatvermögen.

Quellen: Tolsdorf, Langer, Lo Iacono — ACM CCS '25, Justus-Liebig-Universität Gießen · Check Point Research Healthcare Report · NIS2UmsuCG § 30, § 38 BSIG · BSI Lagebericht 2025.

DIE REALITÄT

Der Mensch ist kein Problem — sondern Teil der Lösung.

Über zwei Drittel aller Sicherheitsvorfälle entstehen durch menschliches Verhalten — nicht aus Böswilligkeit, sondern aus Zeitdruck, Unwissen oder geschicktem Social Engineering. Gut geschulte Mitarbeitende sind deshalb die wirkungsvollste Sicherheitsebene, die es gibt.

68%

der Sicherheitsvorfälle beinhalten einen menschlichen Faktor — Fehlklick, gestohlene Zugangsdaten oder Social Engineering.

4,88 M€

durchschnittliche Kosten eines Data Breach im Gesundheitswesen 2024 — höchster Wert aller Branchen, 14. Jahr in Folge.

10 Mio €

maximales Bußgeld nach NIS2 für besonders wichtige Einrichtungen — oder 2 % des globalen Jahresumsatzes. Bei Pflichtverletzung haftet die Geschäftsleitung nach § 38 BSIG zusätzlich persönlich mit Privatvermögen.

Quellen: Tolsdorf, Langer, Lo Iacono — ACM CCS '25, Justus-Liebig-Universität Gießen · Check Point Research Healthcare Report · NIS2UmsuCG § 30, § 38 BSIG · BSI Lagebericht 2025.

UNSER PROGRAMM

Jährlicher Kernkurs plus drei Spotlights.

Zwei Lernformate, eine durchgängig aufgebaute Sicherheitskultur: Ein kompakter Kernkurs mit den vier wichtigsten Themen für alle Mitarbeitenden und Neueinstellungen. Plus drei Spotlights pro Jahr zu aktuellen Bedrohungen, die in den Quartalen ohne Kernkurs das Erlernte auffrischen und erweitern.

KERNKURS · JÄHRLICH · ~20 MIN

Pflicht für alle Mitarbeitenden und Neueinstellungen.

MODUL 01

Phishing & Social Engineering

01

„One Click Too Fast"

Phishing, Spear-Phishing, Smishing, Vishing und Quishing erkennen. Die 5-Schritte-Prüfung: Absender checken, über Links hovern, Dringlichkeit hinterfragen, Details inspizieren, verifizieren. Verdächtige E-Mails sofort melden — bevor geklickt wird.

MODUL 01

Phishing & Social Engineering

01

„One Click Too Fast"

Phishing, Spear-Phishing, Smishing, Vishing und Quishing erkennen. Die 5-Schritte-Prüfung: Absender checken, über Links hovern, Dringlichkeit hinterfragen, Details inspizieren, verifizieren. Verdächtige E-Mails sofort melden — bevor geklickt wird.

MODUL 02

Passwörter & MFA

02

„The Fortress Key"

Passwort-Manager für einzigartige, starke Passwörter nutzen. Nie mehrfach verwenden, nie mit Kolleg:innen teilen. 2FA für kritische Systeme aktivieren, Recovery-Codes sicher verwahren. Bei Verdacht auf Kompromittierung sofort ändern und melden.

MODUL 02

Passwörter & MFA

02

„The Fortress Key"

Passwort-Manager für einzigartige, starke Passwörter nutzen. Nie mehrfach verwenden, nie mit Kolleg:innen teilen. 2FA für kritische Systeme aktivieren, Recovery-Codes sicher verwahren. Bei Verdacht auf Kompromittierung sofort ändern und melden.

MODUL 03

Datenschutz im Klinikalltag

03

„Protecting Patient Trust"

Bildschirm sperren, E-Mail-Empfänger verifizieren, keine Patientengespräche in öffentlichen Bereichen. Anrufer-Identität prüfen, bevor Daten geteilt werden. Keine Patientendaten privat mitnehmen. Clean Desk. Tailgating an Sicherheitstüren verhindern.

MODUL 03

Datenschutz im Klinikalltag

03

„Protecting Patient Trust"

Bildschirm sperren, E-Mail-Empfänger verifizieren, keine Patientengespräche in öffentlichen Bereichen. Anrufer-Identität prüfen, bevor Daten geteilt werden. Keine Patientendaten privat mitnehmen. Clean Desk. Tailgating an Sicherheitstüren verhindern.

MODUL 04

Incident Reporting

04

„We Protect Together"

Warnsignale erkennen: Pop-ups, langsame Systeme, unbekannte Geräte. Keine fremden USB-Sticks anschließen. Updates einspielen, wenn die IT dazu auffordert. Bei Ransomware: Netzwerk trennen, NICHT neustarten, sofort IT anrufen. Vertraue deiner Intuition.

MODUL 04

Incident Reporting

04

„We Protect Together"

Warnsignale erkennen: Pop-ups, langsame Systeme, unbekannte Geräte. Keine fremden USB-Sticks anschließen. Updates einspielen, wenn die IT dazu auffordert. Bei Ransomware: Netzwerk trennen, NICHT neustarten, sofort IT anrufen. Vertraue deiner Intuition.

SPOTLIGHTS · 3× JÄHRLICH · 1–2 MIN

Auffrischung zu aktuellen Bedrohungen.

SPOTLIGHT 01

2 Min.

„Don't Pay the Price"

Ransomware

Wie Ransomware funktioniert und warum das Gesundheitswesen Ziel Nr. 1 ist. Verbreitung über Phishing, manipulierte Downloads und infizierte USB-Sticks. Sicheres Downloaden aus offiziellen Quellen. Im Ernstfall: Netzwerkkabel ziehen, nicht neustarten, IT rufen.

SPOTLIGHT 02

1,5 Min.

„Stay Safe Anywhere"

WLAN & Remote Work

Risiken öffentlicher WLAN-Netze — gefälschte Hotspots, Datenabgriff. Nie Patientendaten in öffentlichen Netzen. VPN-Pflicht bei Remote-Arbeit. Bildschirm-Privacy im Zug und Café. Router zuhause mit starkem Passwort absichern.

SPOTLIGHT 03

1,5 Min.

„Pocket Risks"

Mobile Security

Arbeits-Apps auf Privatgeräten: aktuell halten, starke PIN. Risiko Public Charging (Juice Jacking). Verlorenes Gerät sofort melden — Remote-Wipe möglich. App-Berechtigungen minimal halten. Keine Fotos von Patientendaten.

SPOTLIGHT 04

2 Min.

„Trust But Verify"

Social Engineering

Pretexting: erfundene Szenarien, um an Infos zu kommen. Baiting: zu gute Angebote, gefundene USB-Sticks. Autorität missbraucht: „Ich bin von der IT, ich brauche Ihr Passwort". Künstliche Dringlichkeit. Immer über offizielle Kanäle verifizieren.

SPOTLIGHT 05

1,5 Min.

„Beyond the Screen"

Physische Sicherheit

Badge-Kontrolle: keine Fremden durch Sicherheitstüren durchlassen. Besucher ohne Badge zur Rezeption eskortieren. Shoulder Surfing vermeiden — PIN abschirmen, Monitor drehen. Ausdrucke sofort abholen. Workstation auch kurz immer sperren.

SPOTLIGHT 06

1,5 Min.

„Keep It Current"

Software-Updates

Warum Updates wichtig sind: Sicherheitslücken werden damit geschlossen. Echte vs. gefälschte Update-Popups unterscheiden. Updates nicht aufschieben, wenn die IT dazu auffordert. Nur aus offiziellen Quellen installieren. Verdächtige Update-Aufforderungen melden.

RECHTSGRUNDLAGE

Schulung ist seit Dezember 2025 gesetzliche Pflicht — für Mitarbeitende und Geschäftsleitung.

„Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten." — NIS2-Richtlinie Artikel 20 Abs. 2

Mitarbeiter-Schulungen sind nach § 30 Abs. 2 Nr. 7 BSIG verpflichtend. Die Geschäftsleitung muss nach § 38 Abs. 3 BSIG regelmäßig an einer Cybersicherheits-Schulung teilnehmen. Bei Pflichtverletzung haftet die Geschäftsleitung nach § 38 BSIG persönlich mit Privatvermögen. Ein dokumentierter Schulungsnachweis ist der direkte Haftungsausschluss.

Rechtsquellen: Richtlinie (EU) 2022/2555 (NIS2) · NIS2UmsuCG vom 6.12.2025 · § 30 BSIG (Risikomanagement-Maßnahmen) · § 38 BSIG (Pflichten der Geschäftsleitung).

RECHTSGRUNDLAGE

Schulung ist seit Dezember 2025 gesetzliche Pflicht — für Mitarbeitende und Geschäftsleitung.

„Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten." — NIS2-Richtlinie Artikel 20 Abs. 2

Mitarbeiter-Schulungen sind nach § 30 Abs. 2 Nr. 7 BSIG verpflichtend. Die Geschäftsleitung muss nach § 38 Abs. 3 BSIG regelmäßig an einer Cybersicherheits-Schulung teilnehmen. Bei Pflichtverletzung haftet die Geschäftsleitung nach § 38 BSIG persönlich mit Privatvermögen. Ein dokumentierter Schulungsnachweis ist der direkte Haftungsausschluss.

Rechtsquellen: Richtlinie (EU) 2022/2555 (NIS2) · NIS2UmsuCG vom 6.12.2025 · § 30 BSIG (Risikomanagement-Maßnahmen) · § 38 BSIG (Pflichten der Geschäftsleitung).

FÜR WEN GEEIGNET

Für jede Einrichtung im Gesundheitswesen.

Unser Curriculum ist auf Einrichtungen im Gesundheitswesen zugeschnitten — nicht auf generische Büroumgebungen. Beispiele und Szenarien stammen aus dem Klinikalltag, nicht aus Finanzabteilungen.

Krankenhäuser

Awareness-Training für Pflegepersonal, ärztlichen Dienst, Verwaltung und IT — kompakte Module, die sich in Schichtdienst und Stationsalltag einfügen. NIS2-auditfähiger Nachweis.

Mehr erfahren

Mehr erfahren

Icon
Icon
MVZ & Praxisnetzwerke

Einheitliches Training über alle Standorte hinweg — zentrales Reporting, kompaktes Format ohne Schichtausfall in der Praxis. NIS2-auditfähiger Nachweis.

Mehr erfahren

Mehr erfahren

Icon
Icon
Private Kliniken

Kompaktes, pragmatisches Curriculum — schnell eingeführt, wenig Verwaltungsoverhead, NIS2-auditfähig.

Mehr erfahren

Mehr erfahren

Icon
Icon
Pharma & MedTech

Awareness-Training für Pharma- und MedTech-Belegschaften — mit Fokus auf die Bedrohungslage gegen IP-Schutz, Lieferketten und sensible Studien- und Patientendaten. NIS2-auditfähiger Nachweis.

Mehr erfahren

Mehr erfahren

Icon
Icon
Pflegeeinrichtungen

Angepasst an hohe Personalfluktuation und mobile Arbeitsgeräte. Kompaktes Format ohne Schichtausfall, NIS2-auditfähiger Nachweis.

Mehr erfahren

Mehr erfahren

Icon
Icon
Health Tech

Awareness-Training für Health-Tech-Teams quer durch Engineering, Customer Success und Support. Phishing-Resilienz, sicherer Umgang mit Kundendaten, NIS2-auditfähiger Nachweis.

Mehr erfahren

Mehr erfahren

Icon
Icon

UNSER ANSATZ

Schulung, die Mitarbeitende tatsächlich machen.

Die größte Ursache für gescheiterte Awareness-Programme ist nicht schlechter Inhalt — es ist Länge. 60-Minuten-Pflichtkurse werden geklickt, nicht gelernt. Unser Ansatz dreht das um.

Microlearning statt Pflichtstunde

Kernkurs ca. 20 Minuten, Spotlights 1 bis 2 Minuten — bewusst kurz gehalten. Abrufbar am Schreibtisch, unterwegs oder in der Pause. Wer klickt, lernt — nicht wer überlebt.

Gesundheitswesen im Fokus

Beispielszenarien sind KIS-Logins, Laborbefunde, Schichtplan-Mails, Datenschutz am Empfang. Keine generischen Office-Beispiele, die niemand im Klinikalltag wiedererkennt.

Messbar statt abgehakt

Teilnahmequoten, Abschlussraten, Reifegrad pro Abteilung. Aufbereitet im Bericht, NIS2-auditfähig. Sie sehen, wo gelernt wird — und wo noch nicht.

Antworten auf die wichtigsten Fragen.

Antworten auf die wichtigsten Fragen.

Das sind die Fragen, die wir regelmäßig von Geschäftsführerinnen, IT-Leitern und Datenschutzbeauftragten im Gesundheitswesen hören. Weitere Fragen direkt im kostenlosen Risk Assessment klären.

Wie unterscheidet sich das von klassischen E-Learnings?

Wie unterscheidet sich das von klassischen E-Learnings?

Wer muss den Kernkurs absolvieren — und wie oft?

Wer muss den Kernkurs absolvieren — und wie oft?

Was sind Spotlights genau — und wie oft kommen sie?

Was sind Spotlights genau — und wie oft kommen sie?

Erfüllt das Training die NIS2- und BSIG-Anforderungen?

Erfüllt das Training die NIS2- und BSIG-Anforderungen?

Wie wird die Teilnahme dokumentiert?

Wie wird die Teilnahme dokumentiert?

Lässt sich das Training in ein bestehendes LMS integrieren?

Lässt sich das Training in ein bestehendes LMS integrieren?

Müssen Mitarbeitende für das Training freigestellt werden?

Müssen Mitarbeitende für das Training freigestellt werden?

In welchen Sprachen sind die Module verfügbar?

In welchen Sprachen sind die Module verfügbar?

Was kostet das Training für eine Einrichtung?

Was kostet das Training für eine Einrichtung?

Wo werden die Trainings-Daten gespeichert?

Wo werden die Trainings-Daten gespeichert?

KOSTENLOSES RISK ASSESSMENT

30 Minuten. Ein ehrliches Bild Ihrer Sicherheitslage.

Jedes Gespräch beginnt mit einem kostenlosen Risk Assessment — 30 Minuten, keine Verpflichtung. Sie erhalten im Anschluss einen schriftlichen Report mit Ihrem Cybersecurity-Reifegrad, Risikobereichen und Sofortmaßnahmen.

Assessment jetzt buchen

Assessment jetzt buchen

Anrufen: +49 30 863283641

Anrufen: +49 30 863283641

KOSTENLOSES RISK ASSESSMENT

30 Minuten. Ein ehrliches Bild Ihrer Sicherheitslage.

Jedes Gespräch beginnt mit einem kostenlosen Risk Assessment — 30 Minuten, keine Verpflichtung. Sie erhalten im Anschluss einen schriftlichen Report mit Ihrem Cybersecurity-Reifegrad, Risikobereichen und Sofortmaßnahmen.

Assessment jetzt buchen

Assessment jetzt buchen

Anrufen: +49 30 863283641

Anrufen: +49 30 863283641