Security-Awareness-Befragung (NIS2 & ISO 27001)

Misst Sicherheitsverhalten, Phishing-Erkennung und Meldewege in der Belegschaft – als Wirksamkeitsnachweis für Ihre Awareness-Maßnahmen.

Security-Awareness-Befragung (NIS2 & ISO 27001) – Fragebogen-Vorschau

Ob NIS2, ISO 27001 oder schlicht gesunder Menschenverstand: Wer in Informationssicherheit investiert, muss wissen, ob die Maßnahmen bei den Menschen ankommen – denn dort entscheidet sich die Sicherheit im Alltag. Diese anonyme Befragung misst drei Ebenen: berichtetes Verhalten (Passwort-Manager, Bildschirm sperren, Melden verdächtiger Mails), Wissen anhand eines konkreten Phishing-Szenarios und die Kenntnis der Meldewege. Zusammen mit der Frage nach der letzten Schulung entsteht ein Bild, das Sie Auditoren als Wirksamkeitsmessung Ihrer Awareness-Maßnahmen vorlegen können – und das intern zeigt, welche Abteilung welche Unterstützung braucht. Wiederholen Sie die Messung jährlich oder nach Awareness-Kampagnen.

Wann sollten Sie diese Vorlage einsetzen?

Diese Vorlage eignet sich besonders für:

  • Als jährliche Wirksamkeitsmessung für Awareness-Programme (NIS2, ISO 27001)
  • Vor und nach Security-Schulungen oder Phishing-Kampagnen
  • Zur Bedarfsanalyse, welche Abteilungen gezielte Trainings brauchen

Alle Fragen dieser Vorlage

  1. 1

    Ich habe verstanden, dass die Teilnahme freiwillig und anonym ist, und nehme teil. *

    Einwilligung
  2. 2

    Sicherheitsverhalten im Alltag

    Wie häufig tun Sie Folgendes?

    Matrix
    NieSeltenMeistensImmer
    Ich prüfe bei unerwarteten E-Mails die Absenderadresse, bevor ich reagiere.
    Ich melde verdächtige E-Mails über den vorgesehenen Weg.
    Ich sperre meinen Bildschirm, wenn ich den Arbeitsplatz verlasse.
    Ich verwende für jeden Dienst ein eigenes, starkes Passwort (z. B. per Passwort-Manager).
    Ich nutze für Arbeitsdaten nur freigegebene Dienste und Speicherorte.
  3. 3

    Sie erhalten eine E-Mail, scheinbar von der Geschäftsführung: Sie sollen dringend eine Rechnung im Anhang („Rechnung.zip“) prüfen und freigeben. Was tun Sie zuerst?

    Einfachauswahl
    • Anhang öffnen, um zu prüfen, worum es geht
    • Auf die E-Mail antworten und nachfragen
    • Die E-Mail über den offiziellen Weg als verdächtig melden
    • Die E-Mail an Kolleg:innen weiterleiten und um Einschätzung bitten
    • Die E-Mail einfach löschen
  4. 4

    Wissen Sie, wo und wie Sie einen Sicherheitsvorfall melden?

    Einfachauswahl
    • Ja, genau
    • Ungefähr
    • Nein
  5. 5

    Wie sicher fühlen Sie sich bei den folgenden Themen?

    Matrix
    Sehr unsicherEher unsicherEher sicherSehr sicher
    Phishing-Versuche erkennen
    Regeln zum Umgang mit personenbezogenen und Kundendaten
    Richtiges Verhalten bei Verlust von Gerät oder Zugangsdaten
    Sicherer Umgang mit KI-Werkzeugen und Firmendaten
  6. 6

    Wann haben Sie zuletzt an einer Schulung zur Informationssicherheit teilgenommen?

    Einfachauswahl
    • In den letzten 6 Monaten
    • Vor 6 bis 12 Monaten
    • Vor mehr als einem Jahr
    • Noch nie
  7. 7

    Was macht es Ihnen im Arbeitsalltag schwer, sich sicher zu verhalten?

    Freitext

Vom Fragebogen zum Dashboard

Das Dashboard macht aus Selbstauskünften eine Awareness-Landkarte für ISB, IT und Geschäftsführung:

  • Awareness-Index: Der Mittelwert über Verhaltens- und Sicherheits-Aussagen als Tacho – Ihre Kennzahl für das Management-Review und den Jahresvergleich.
  • Quiz-Erfolgsquote: Der Anteil richtiger Antworten im Phishing-Szenario als KPI-Kachel – gemessenes Wissen statt gefühlter Sicherheit.
  • Verhaltens-Profil: Die Verhaltens-Matrix als gestapelte Balken zeigt, welche Praktiken etabliert sind (Bildschirm sperren) und welche nicht (Melden verdächtiger Mails).
  • Abteilungs-Heatmap: Awareness-Themen gekreuzt mit Abteilungen – so planen Sie gezielte Trainings statt Gießkannen-Schulungen. Nur bei ausreichender Gruppengröße auswerten.
  • Schulungs-Aktualität: Wann war die letzte Security-Schulung? Der Donut liefert den Nachweis-Baustein für Audits – und zeigt Nachholbedarf sofort.
  • Hürden im Arbeitsalltag: Was macht sicheres Verhalten schwer? Die offene Frage, per KI-Themenanalyse gebündelt, deckt die Usability-Probleme Ihrer Sicherheitsmaßnahmen auf.

Verwandte Umfrage-Vorlagen

Alle Umfrage-Vorlagen ansehen →

Häufige Fragen

Warum anonym – wir wollen doch Risiken zuordnen können?
Weil Sie sonst sozial erwünschte Antworten messen statt der Realität. Die Befragung ergänzt technische Kontrollen (z. B. Phishing-Simulationen), sie ersetzt sie nicht. Anonyme Ehrlichkeit über nicht gemeldete Vorfälle ist wertvoller als namentliche Schönfärberei – werten Sie Abteilungen nur ab etwa fünf Antworten aus.
Erfüllt die Befragung Anforderungen aus NIS2 oder ISO 27001?
Beide Rahmenwerke verlangen Schulungs- und Awareness-Maßnahmen – und deren Wirksamkeit zu bewerten ist ausdrücklich Teil eines ISMS (bei ISO 27001 etwa über die Controls zu Awareness und die Wirksamkeitsmessung). Diese Befragung ist ein anerkannter Baustein einer solchen Wirksamkeitsmessung; die konkrete Einordnung nehmen Sie mit Ihrer ISB oder Beratung vor.
Verrät das Phishing-Szenario nicht die richtige Antwort?
Ein Teil der Befragten erkennt die erwünschte Antwort – das ist in Ordnung: Gemessen wird, ob der richtige Meldeweg überhaupt bekannt ist. Wer auch im Quiz zum falschen Vorgehen greift, würde es im Ernstfall erst recht. Für Verhaltensmessung unter realen Bedingungen kombinieren Sie die Befragung mit simulierten Phishing-Kampagnen.

Starten Sie mit dieser Vorlage

Laden Sie die Vorlage in DataLion, passen Sie sie an Ihre Marke an und sammeln Sie Antworten – DSGVO-konform und in Minuten.