Viele Unternehmen investieren in Security-Awareness und wundern sich trotzdem über klickfreudige Phishing-Opfer, geteilte Passwörter oder Datenpannen durch Routinefehler. Der Grund ist selten fehlendes Wissen. Häufig fehlt etwas anderes: eine Sicherheitskultur, die sich im Alltag bewährt – auch dann, wenn niemand hinschaut.
Schulung ist ein Ereignis – Kultur ist Verhalten im Alltag
Security-Awareness wird in der Praxis oft mit „jährlicher Pflichtschulung“ gleichgesetzt. Das ist nachvollziehbar: Schulungen sind planbar, nachweisbar und auditierbar. Aber sie haben eine strukturelle Schwäche: Sie messen häufig Teilnahme, nicht Wirkung.
Eine Sicherheitskultur erkennt man nicht daran, ob Mitarbeitende wissen, was „Phishing“ ist. Sondern daran, ob sie in stressigen Situationen richtig handeln:
- Wird eine verdächtige Mail gemeldet – oder ignoriert?
- Wird ein USB-Stick abgegeben – oder ausprobiert?
- Wird ein Fehler transparent gemacht – oder vertuscht?
- Werden Sicherheitsregeln als Hilfe erlebt – oder als Hindernis?
Kultur entsteht dort, wo Entscheidungen getroffen werden: im Posteingang, am Telefon, im Meeting, im Homeoffice – und oft unter Zeitdruck.
Warum Awareness-Kampagnen oft verpuffen
Wenn Awareness nicht wirkt, liegt das selten an mangelnder Intelligenz der Belegschaft. Meist sind es systemische Gründe:
1) Konflikt zwischen Sicherheit und Produktivität
Wenn „sicher“ spürbar langsamer oder komplizierter ist, gewinnt im Alltag die Abkürzung. Menschen optimieren auf das, wofür sie belohnt werden: Geschwindigkeit, Kundenzufriedenheit, Output.
2) Einmal gelernt, schnell vergessen
Ein 45-Minuten-Training pro Jahr konkurriert mit Hunderten realer Entscheidungen pro Woche. Ohne Wiederholung und konkrete Anwendung bleibt Wissen theoretisch.
3) Unklare Verantwortung
Wenn niemand weiß, wer bei Unsicherheit hilft (IT? Security? Teamlead?), wird nicht gefragt – sondern geraten.
4) Angstkultur statt Lernkultur
Wenn „Fehler“ sanktioniert werden, sinkt die Meldebereitschaft. Das ist riskant, weil frühe Meldungen Schäden begrenzen.
5) „One-size-fits-all“
Vertrieb, HR, Entwicklung, Finance: unterschiedliche Prozesse, unterschiedliche Risiken, unterschiedliche Angriffsflächen. Ein generisches Training trifft selten die Realität der Teams.
Was Sicherheitskultur konkret bedeutet – eine Arbeitsdefinition
Sicherheitskultur ist die Summe aus Normen, Routinen und Entscheidungen, die Informationssicherheit im Alltag stabil machen. Praktisch heißt das:
- Sicherheit ist Teil der Arbeit, nicht Zusatzaufgabe.
- Gute Entscheidungen sind leicht zu treffen. (z. B. MFA, Passwortmanager, klare Meldewege)
- Unsicherheit ist erlaubt. Fragen kostet weniger als ein Vorfall.
- Führungskräfte leben Regeln sichtbar vor.
- Lernen passiert kontinuierlich, nicht nur im Training.
Diese Definition ist wichtig, weil sie Kultur mess- und gestaltbar macht.
Die fünf Bausteine einer Awareness, die wirkt
1) Relevanz: Training an Rollen und Alltag koppeln
Wirksame Awareness startet nicht mit Folien, sondern mit Arbeitsabläufen: Welche Entscheidungen treffen Mitarbeitende tatsächlich? Beispiele:
- Finance: Zahlungsfreigaben, Lieferantenänderungen, „CEO-Fraud“
- HR: Bewerbungsunterlagen, Identitätsdaten, interne Kommunikation
- IT/Engineering: Secrets, Code-Repositories, Berechtigungen
- Vertrieb: Kundendaten, mobile Geräte, Reisen, Dritttools
Das Ziel: Inhalte so zuschneiden, dass Mitarbeitende sich wiedererkennen – und sofort wissen, was sie morgen anders machen sollen.
2) Fähigkeiten statt Fakten: Mikro-Lernen und konkrete Handgriffe
Nicht „Was ist Phishing?“, sondern: Woran erkenne ich es – und was tue ich dann?
Gute Formate sind kurz und wiederkehrend:
- 3–5 Minuten Micro-Learning
- kurze „Security Moments“ in Teammeetings
- Checklisten direkt im Tool (z. B. beim Versenden sensibler Daten)
Der Kern ist immer ein praktikabler Handgriff: melden, prüfen, nachfragen, absichern.
3) Friktion senken: Sicherheit so gestalten, dass sie leicht wird
Kultur kann nicht kompensieren, was Systeme verhindern. Wenn sichere Optionen kompliziert sind, hilft auch die beste Kampagne nur begrenzt. Beispiele für „Kultur-Booster“ durch Technik/Prozess:
- Passwortmanager + MFA als Standard
- einfache Meldemöglichkeit (Button im Mailclient, Hotline/Chat)
- klarer Prozess für externe Freigaben/Datentransfers
- „Default secure“ bei Berechtigungen (Least Privilege)
Awareness wirkt am stärksten, wenn sie durch passende Rahmenbedingungen gestützt wird.
4) Führung: Vorbild, Priorität, Rückendeckung
Mitarbeitende lesen Prioritäten aus dem Verhalten der Leitung:
- Wird Sicherheit nur gepredigt – oder in Entscheidungen berücksichtigt?
- Darf man bei Verdacht eine Zahlung stoppen, auch wenn es „unangenehm“ ist?
- Gibt es Rückendeckung, wenn jemand einen Prozess unterbricht?
Führung heißt hier: klare Ansage, dass Sicherheit ein Qualitätskriterium ist – und dass Meldungen erwünscht sind.
5) Feedback & Lernen: Vom „Blame“ zur „Just Culture“
Sicherheitskultur braucht einen sicheren Umgang mit Fehlern: nicht egal, aber lernorientiert. Eine Just Culture trennt zwischen
- Irrtum/Versehen (lernen, verbessern)
- riskantem Verhalten (coachen, Friktion senken)
- vorsätzlichem Regelbruch (konsequent behandeln)
Wenn Teams Vorfälle und Beinahe-Vorfälle offen teilen können, steigt die Resilienz deutlich.
Wirksamkeit messen: Welche Kennzahlen wirklich helfen
Viele Programme bleiben beim KPI „Trainingsquote“. Das ist ein Start, aber kein Wirksamkeitsbeleg. Sinnvoller sind Kennzahlen entlang des Verhaltens:
- Meldequote verdächtiger Mails (nicht nur Klickrate)
- Time-to-Report: Zeit von Erhalt bis Meldung
- False-Positive-Rate (zeigt, ob Mitarbeitende überhaupt hinschauen)
- Ergebnis von Tabletop-Übungen (Entscheidungsfähigkeit, Zuständigkeiten)
- Policy-Compliance mit Reibung: Wo werden Regeln umgangen – und warum?
- Beinahe-Vorfälle als Lernquelle (mehr Meldungen können positiv sein)
Wichtig: Kennzahlen sollten nicht als „Naming and Shaming“ genutzt werden. Sonst sinkt die Ehrlichkeit – und damit die Aussagekraft.