Eine Schulung gegen KI-Phishing ist 2026 keine Kür mehr. Sie ist Compliance-Pflicht. Mit dem Inkrafttreten der KI-Kompetenzpflicht nach Artikel 4 der EU-KI-Verordnung am 2. Februar 2025 muss jedes Unternehmen, das KI nutzt, nachweisen können, dass die Mitarbeiter ausreichend qualifiziert sind. Wer KI einsetzt, ohne Schulungen zu dokumentieren, hat im Schadensfall ein Problem mit Aufsichtsbehörden, Versicherern und im Extremfall mit Mitarbeitern, die Schadensersatz fordern.

Gleichzeitig sind die Bedrohungen real geworden. Der Bitkom-Wirtschaftsschutzbericht 2025 dokumentiert, dass mehr als die Hälfte aller deutschen Unternehmen 2024 von KI-gestützten Phishing-Angriffen betroffen waren. Die Schäden haben sich vervielfacht.

Auf einen Blick

Eine wirksame KI-Phishing-Schulung 2026 dauert mindestens zwei Stunden, deckt sechs Pflichtbereiche ab (KI-Phishing-Mails erkennen, Voice-Cloning, Deepfake-Videos, Social Engineering, Meldewege, Datenschutz) und muss dokumentiert werden. Sie erfüllt damit gleich zwei Compliance-Anforderungen: die KI-Kompetenzpflicht nach Art. 4 EU-KI-VO (seit 02.02.2025) und die Sicherheitspflichten nach Art. 32 DSGVO. Die Schulung sollte einmal im Jahr wiederholt werden, bei akuten Vorfällen sofort. Praktische Übungen mit echten Phishing-Beispielen sind wirksamer als reiner Frontalunterricht. Externe Schulungen sind möglich, müssen aber dokumentiert nachweisen, dass sie unternehmensspezifische Bedrohungen behandeln.

Warum die Schulung jetzt rechtlich verpflichtend ist

Drei Rechtsgrundlagen verpflichten Unternehmen 2026 zu Phishing- und KI-Sicherheitsschulungen.

Artikel 4 EU-KI-Verordnung: Seit dem 2. Februar 2025 müssen Anbieter und Betreiber von KI-Systemen sicherstellen, dass ihr Personal ausreichende KI-Kompetenz besitzt. Die Norm ist nicht direkt mit Bußgeldern bewehrt, wirkt aber über die zivilrechtliche Sorgfaltspflicht. Wer einen Schaden erleidet, weil ein Mitarbeiter eine KI-Phishing-Mail nicht erkannt hat, und keine dokumentierte Schulung vorweisen kann, riskiert volle Haftung statt Anspruch auf Versicherungsleistungen.

Artikel 32 DSGVO: Verpflichtet zur "Sicherheit der Verarbeitung" durch geeignete technische und organisatorische Maßnahmen. Phishing-Schutz-Schulungen sind eine etablierte organisatorische Maßnahme. Bei einem Datenleck nach erfolgreichem Phishing-Angriff prüft die Aufsichtsbehörde, ob das Unternehmen das Personal angemessen vorbereitet hat. Bußgelder bis 10 Millionen Euro oder 2 Prozent des Jahresumsatzes sind möglich (§43 BDSG, Art. 83 DSGVO).

Geschäftsführerhaftung nach §43 GmbH-Gesetz und §93 AktG: Geschäftsführer haften persönlich für Sorgfaltspflichtverletzungen. Wer 2026 keine KI-Sicherheitsschulungen einführt, obwohl die Bedrohungslage seit Monaten dokumentiert ist, riskiert persönliche Inanspruchnahme.

Die Pflicht ist also dreifach abgesichert. Eine Schulung kostet wenige hundert Euro pro Mitarbeiter und schützt vor sechs- bis siebenstelligen Schadensszenarien.

Die sechs Pflicht-Inhalte einer KI-Phishing-Schulung

Erstens: KI-Phishing-Mails erkennen. Die Mitarbeiter müssen verstehen, dass KI-generierte Phishing-Mails nicht mehr an Grammatik oder Tippfehlern erkennbar sind. Stattdessen geht es um Mustererkennung. Absender-Domain prüfen (nicht den angezeigten Namen). Linkziel vor dem Klick prüfen (Maus über den Link). Plausibilitätscheck (Habe ich wirklich gerade einen Versand bestellt?). Ungewöhnlicher Druck als Warnsignal. Praktische Übung: Drei echte und drei gefälschte Mails nebeneinander, die Teilnehmer entscheiden.

Zweitens: Voice-Cloning und Deepfake-Anrufe. Drei Sekunden Stimmprobe reichen für ein Voice-Cloning. Mitarbeiter müssen wissen, dass Anrufe der angeblichen Geschäftsführung mit Geldforderungen über Telefon nicht ausreichend authentifiziert sind. Codewort-System einführen, Rückruf über bekannte Nummer, 4-Augen-Prinzip ab 10.000 Euro Überweisung. Praktische Übung: Eine Voice-Cloning-Demo, die Mitarbeiter raten, ob es eine echte oder gefälschte Stimme ist. Der Aha-Effekt sitzt.

Drittens: Deepfake-Videos in Videocalls. Echtzeit-Deepfakes sind 2026 möglich, aber noch unauffällig genug für die meisten Mitarbeiter. Schulung zeigt typische Artefakte (kurze Bildflackerer, unnatürliche Augenbewegungen, leichte Verzögerung). Wichtigste Regel: Bei Videoanrufen mit Geldforderungen oder Vertraulichkeit-Forderungen niemals direkt entscheiden. Verschieben, beim Echtzeit-Person über zweiten Kanal verifizieren.

Viertens: Social Engineering jenseits der E-Mail. Phishing-Anrufe, gefälschte SMS (Smishing), QR-Codes mit Schadlinks (Quishing), USB-Sticks vor dem Gebäude. Die Mitarbeiter müssen verstehen, dass das Angriffsspektrum breiter ist als E-Mail. Klare Regel: keine fremden USB-Geräte, keine QR-Codes aus unbekannten Quellen scannen, bei verdächtigen SMS Rückruf über bekannte Nummer.

Fünftens: Meldewege im Verdachtsfall. Wer wo meldet, wenn etwas verdächtig ist. Eindeutig kommunizierter Kanal (zum Beispiel phishing@firma.de oder eine Telefonnummer für die IT-Sicherheit). Klare Aussage: Lieber zehn Fehlmeldungen als ein nicht gemeldeter Vorfall. Keine arbeitsrechtlichen Konsequenzen für Mitarbeiter, die im guten Glauben eine Mail melden, die sich als legitim herausstellt. Diese Kultur ist wichtiger als die Technik.

Sechstens: Datenschutz und Meldepflicht nach Vorfall. Mitarbeiter müssen wissen, dass die DSGVO bei einem Datenleck eine Meldung binnen 72 Stunden an die Aufsichtsbehörde verlangt. Wer einen Phishing-Angriff vermutet, muss das sofort melden, nicht erst am nächsten Tag oder Montag. Hier ist die Schulung gleichzeitig Compliance-Mechanik.

Wie lange muss die Schulung dauern und wie oft

Mindestens zwei Stunden für eine vollständige Erstschulung. Diese zwei Stunden lassen sich in Module aufteilen: 60 Minuten Theorie und Praxis-Beispiele, 30 Minuten Voice- und Video-Cloning-Demo, 30 Minuten Q&A und unternehmensspezifische Meldewege. Kürzere Schulungen werden von Aufsichtsbehörden im Schadensfall häufig als unzureichend bewertet, weil das Material nicht in Tiefe behandelt wird.

Wiederholung mindestens einmal pro Jahr. Bei einem akuten Vorfall im Unternehmen (zum Beispiel eine erfolgreiche Phishing-Mail, ein versuchter CEO-Fraud-Anruf) sollte sofort eine Auffrischung für alle Mitarbeiter erfolgen. Diese situationsbezogene Schulung ist die wirksamste, weil sie an einem konkreten Beispiel hängt.

Neue Mitarbeiter müssen in der Onboarding-Phase geschult werden, idealerweise in den ersten zwei Wochen. Wer Zugriff auf Bankdaten oder Kundendaten hat, sollte vor dem ersten Arbeitstag mit Zugang die Grundlagen kennen.

Was im Schulungsdokument stehen muss

Die Schulung muss schriftlich dokumentiert werden. Im Schadensfall ist das Dokument der Nachweis, dass die Compliance-Pflicht erfüllt wurde. Aufsichtsbehörden prüfen drei Punkte:

Teilnehmerliste mit Datum und Unterschrift jedes Teilnehmers. Wer am Tag X krank war, bekommt einen Nachholtermin. Lückenlose Erfassung ist Pflicht.

Inhaltsverzeichnis mit den behandelten Themen. Im Idealfall mit Zeitangabe pro Modul, damit nachvollziehbar ist, wie tief jedes Thema behandelt wurde. Anhänge mit Schulungsmaterial.

Lernerfolg, ideal in Form eines kurzen Tests. Zehn Multiple-Choice-Fragen am Ende der Schulung, mit Zertifikat erst bei sieben richtigen Antworten. Das ist nicht für die Mitarbeiter, sondern für den Compliance-Ordner. Aufsichtsbehörden bewerten das positiv.

Externe Schulung versus eigene Schulung

Beides ist möglich. Externe Anbieter (zum Beispiel Bildungsträger, IT-Security-Dienstleister, Volkshochschulen) liefern fertige Schulungen mit Zertifikat. Vorteil: schnell einsetzbar, oft hochwertig. Nachteil: oft generisch, ohne Bezug auf die spezifischen Bedrohungen und Prozesse des Unternehmens.

Eigene Schulungen können besser auf die Realität des Unternehmens eingehen. Wer als kleiner Maschinenbauer angegriffen wird, hat andere Bedrohungen als ein Steuerberater. Eigene Schulung erfordert aber, dass der Schulungsleiter selbst kompetent ist (in der Regel IT-Sicherheitsbeauftragter oder Datenschutzbeauftragter).

In der Praxis funktioniert die Mischung am besten: Eine externe Grundlagenschulung als Basis, ergänzt durch eine interne Vertiefung mit unternehmensspezifischen Beispielen. So sind beide Compliance-Anforderungen abgedeckt: Allgemeine KI-Kompetenz (Art. 4 EU-KI-VO) und unternehmensspezifische Sicherheitsmaßnahmen (Art. 32 DSGVO).

Praktische Übungen, die wirklich helfen

Vorträge allein machen aus Mitarbeitern keine Phishing-Erkenner. Drei Übungen aus der Praxis, die nachhaltig wirken.

Phishing-Test im echten Posteingang. Mit Einwilligung der Geschäftsleitung wird einmal im Quartal eine simulierte Phishing-Mail an alle Mitarbeiter geschickt. Wer klickt, kommt auf eine Schulungsseite und macht sofort eine kurze Auffrischung. Wer richtig meldet, bekommt im Intranet positiv erwähnt. Solche Tests sind in der Cybersicherheits-Branche etabliert und durch §32 DSGVO als legitim anerkannt, müssen aber im Datenschutzregister dokumentiert werden.

Voice-Cloning-Live-Demo. Im Schulungsraum spielt der Schulungsleiter eine echte Stimmprobe und eine geklonte Version der gleichen Person. Die Teilnehmer raten. Beim ersten Mal liegen 60 bis 70 Prozent falsch. Dieser Aha-Moment führt dazu, dass die Codewort-Regel ernst genommen wird.

Rollenspiel CEO-Fraud. Zwei Teilnehmer simulieren einen Anruf: Einer spielt den CEO mit dringender Geldforderung, der andere die Buchhaltung. Anschließend Diskussion: Wer hat sich richtig verhalten, wer ist der Falle aufgesessen. Diese Übung zeigt mehr über die Schwachstellen im Prozess als jede Folie.

FAQ

Reicht eine Online-Schulung mit Video oder muss es Präsenz sein?

Online-Schulungen sind zulässig und gleichwertig, solange Teilnahme dokumentiert wird (Video-Login, Anwesenheit, Abschlusstest). Wichtig ist die Interaktivität: Reine Wiedergabe ohne Test wird im Schadensfall häufig als unzureichend bewertet. Präsenzschulungen haben Vorteile beim Engagement, sind aber nicht Pflicht.

Wer trägt die Verantwortung wenn ein Mitarbeiter trotz Schulung auf Phishing reinfällt?

Der Mitarbeiter selbst macht sich nur strafbar, wenn er grob fahrlässig oder vorsätzlich gegen Schulungsinhalte handelt. Bei einem normalen menschlichen Fehler trägt der Arbeitgeber die Hauptverantwortung gegenüber Aufsichtsbehörden und Versicherung. Die Schulung schützt aber den Arbeitgeber vor dem Vorwurf der Sorgfaltspflichtverletzung.

Sind Bildungsgutscheine oder Förderungen für KI-Sicherheitsschulungen möglich?

Für individuelle Mitarbeiter unter bestimmten Voraussetzungen ja, zum Beispiel über das Qualifizierungschancengesetz (QCG) nach §82 SGB III. Die Förderquote hängt von Unternehmensgröße ab (bei unter 10 Mitarbeitern bis zu 100 Prozent). Die Schulung muss von einem AZAV-zertifizierten Träger durchgeführt werden. Reine interne Schulungen sind nicht förderfähig.

Was kostet eine externe Phishing-Schulung pro Mitarbeiter?

Marktpreise 2026 liegen zwischen 80 und 250 Euro pro Teilnehmer für eine 2-Stunden-Schulung mit Zertifikat. Größere Pakete (Jahresvertrag mit regelmäßigen Phishing-Simulationen, Schulung, Zertifikat) bei 800 bis 2.000 Euro pro Mitarbeiter und Jahr. Mit QCG-Förderung kann das auf null Eigenanteil reduziert werden.

Wie binde ich externe Dienstleister und Lieferanten ein?

Externe Dienstleister mit Zugang zu Unternehmensdaten oder -systemen müssen ähnliche Standards einhalten. Im Vertrag (Art. 28 DSGVO Auftragsverarbeitung) sollte explizit aufgenommen werden, dass der Dienstleister sein Personal nach EU-KI-VO und DSGVO schult. Bei größeren Lieferanten ist der Nachweis (Schulungs-Zertifikat) anzufordern.

Eigene Haltung

Wir sehen in der Praxis bei unseren Teilnehmern und im KMU-Umfeld einen klaren Bruch zwischen den Unternehmen, die das Thema ernst nehmen, und denen, die es als Bürokratie abtun. Die ersten investieren zwei Stunden pro Mitarbeiter pro Jahr und schlafen ruhig. Die zweiten erleben früher oder später einen Vorfall, der das Mehrfache der Schulungskosten verursacht. Wer 2026 noch keine dokumentierte KI-Sicherheitsschulung hat, hat einen offenen Punkt im nächsten Audit, ein Risiko bei jeder Cyber-Versicherung und ein Haftungsproblem im Schadensfall. Das ist kein nice-to-have mehr. Wer das unterschätzt, lernt es teuer.

Mehr zum Thema:

Zuletzt aktualisiert: 25.04.2026. Stand der rechtlichen Aussagen: April 2026, vorbehaltlich aktueller Rechtsprechung.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp