ARTIKEL
Verhaltensorientierte Cybersicherheit: Wie Wissenschaft die Schulung neu definiert
Eine E-Mail aus der HR-Abteilung. Ein Anhang mit dem Namen „Aktualisierter_Vertrag.pdf“. 18:07 Uhr, Feierabendstimmung, das Gehirn im Autopilot-Modus. Klick.
Wer diese E-Mail erstellt hat, musste kein Netzwerk kompromittieren und keine hochentwickelte Malware einsetzen. Er hat lediglich einen vorhersehbaren, zutiefst menschlichen Mechanismus genutzt: Zeitdruck.
Und so ist die Lücke entstanden.
Wie oft haben wir ähnliche Szenarien gelesen? Und wie oft haben wir uns gesagt, dass mehr Schulung nötig ist? Doch was, wenn das eigentliche Problem nicht der Mangel an Regeln ist – sondern die Schwierigkeit, sie im entscheidenden Moment tatsächlich anzuwenden?
Cybersicherheit ist nicht (nur) ein technisches Problem – sondern ein Verhaltensproblem
Studien zeigen, dass rund 82 % aller Cybervorfälle auf menschliches Verhalten zurückzuführen sind.
Genau hier liegt der Kern des Problems.
Traditionelle Security-Awareness-Programme konzentrieren sich noch immer auf:
- was zu tun ist und was nicht
- welche verdächtigen E-Mails zu vermeiden sind
- welche Passwörter verwendet werden sollen
In der Realität reicht das jedoch nicht aus.
Denn Menschen handeln nicht primär nach Wissen, sondern nach Emotionen, Erfahrungen und Kontext.
Wissen allein schützt nicht. Verhalten macht den Unterschied. Und genau hier kommen die Verhaltenswissenschaften ins Spiel.
Von der Theorie zur Praxis: Behavioral Sciences in der Cybersicherheit
Behavioral Sciences untersuchen, wie Menschen im echten Leben Entscheidungen treffen – insbesondere unter nicht idealen Bedingungen: unter Druck, bei Ablenkung, Müdigkeit oder Zeitknappheit.
Im Unternehmensalltag sind genau diese Situationen die Regel. Und genau diese Faktoren — Stress, Dringlichkeit, Komplexität — erhöhen die Fehleranfälligkeit.
Verhaltenswissenschaften erklären nicht nur, warum bestimmte Verhaltensweisen auftreten, sondern helfen auch dabei, Umgebungen und Lernprozesse so zu gestalten, dass sicheres Verhalten zur Standardeinstellung wird („secure by behavior“).
Im Bereich der Cybersicherheit ermöglicht dieser Ansatz:
- impulsive Reaktionen auf E-Mails oder ungewöhnliche Anfragen vorherzusehen
- Trainingsformate zu entwickeln, die auch unter Stress korrektes Verhalten fördern
- menschliche Fehler zu reduzieren, indem positive Automatismen geschaffen werden
Es geht dabei nicht um allgemeine „Unternehmenspsychologie“, sondern um eine wissenschaftlich fundierte, strategische Anwendung menschlichen Verhaltens auf Sicherheitskonzepte.
Ein Ansatz, der zunehmend von reifen Organisationen genutzt wird, um Risikokultur, Bewusstsein und operative Resilienz zu stärken — weit über reine Compliance hinaus.
Wie sich sicheres Verhalten entwickelt: die fünf Schlüsselprinzipien
Microlearning und verteilte Inhalte:
Menschen lernen nicht alles auf einmal. Kurze, regelmäßige und praxisnahe Lerneinheiten erhöhen die Behaltensquote deutlich.
→ Kleine Einheiten, hohe Frequenz, relevanter Inhalt.
Wiederholung über die Zeit (Spaced Repetition):
Das Gehirn vergisst — gezielte Wiederholung zur richtigen Zeit festigt Wissen nachhaltig.
→ Effektive Trainings sind langfristig angelegt, nicht einmalige Maßnahmen.
Unmittelbares Feedback:
Klickt eine Person auf einen verdächtigen Link, erhält sie sofort kontextbezogenes Feedback.
→ Genau in diesem Moment ist die Aufnahmefähigkeit am höchsten.
Positive Verstärkung:
Richtiges Verhalten zu belohnen ist wirksamer als Fehler zu bestrafen.
→ Badges, Rankings und kleine Anerkennungen steigern die Motivation.
Realistischer Kontext und kognitive Verzerrungen:
„Dringend“. „Intern“. „Sicher“. Phishing-Mails nutzen gezielt mentale Abkürzungen wie Autorität, Dringlichkeit oder Vertrautheit.
→ Diese Biases zu erkennen und zu neutralisieren ist eine trainierbare Fähigkeit.
+2 Beschleuniger: Personalisierung und aktive Erkennung
- Adaptive und personalisierte Lernpfade:
Jeder Mensch verhält sich anders. Einheitliche Trainings reduzieren die Wirksamkeit.
Verhaltensbasierte Programme passen Inhalte, Schwierigkeit und Frequenz individuell an: Wer häufiger Fehler macht, erhält gezieltere Unterstützung. Wer bereits sicher agiert, wird weiter gefordert. - Vom Klick zur Meldung: Mitarbeitende als „menschliche Sensoren“:
Das Ziel ist nicht nur, Fehler zu vermeiden, sondern Bedrohungen aktiv zu erkennen und zu melden.
Gut konzipierte Simulationen verbessern nicht nur die Aufmerksamkeit, sondern auch die Reaktionsfähigkeit — und unterstützen das Security Operations Center bei der Risikominimierung.
Unser Ansatz: von Awareness zu messbarem Verhalten
Im Zentrum unseres Programms Albert steht genau dieser Ansatz: nicht Regeln zu vermitteln, sondern nachhaltiges, sicheres Verhalten zu etablieren.
Mit Albert:
- sind Inhalte adaptiv und direkt in den Arbeitsalltag integriert
- sind Simulationen realistisch, regelmäßig und rollenbasiert abgestimmt
- folgt auf jeden Fehler ein gezieltes Micro-Feedback
- wird Verhalten kontinuierlich analysiert und gemessen
Das Ergebnis ist nicht nur „mehr Wissen“.
Es ist eine reifere Risikokultur, in der Sicherheit keine Pflicht ist, sondern eine selbstverständliche Kompetenz.
Im Jahr 2025 zu glauben, dass ein einmaliges Training ausreicht, um ein Unternehmen zu schützen, ist eine gefährliche Illusion.
Was es braucht, ist ein neuer Ansatz. Wissenschaft. Methode.
Und vor allem die Erkenntnis, dass Menschen nicht das Problem sind — sondern die Lösung. Vorausgesetzt, sie werden richtig befähigt.