ARTIKEL
Alle sprechen über Security Awareness. Alle führen Schulungen, Simulationen und Webinare durch.
Und dennoch nehmen Angriffe zu. Menschen klicken weiterhin. Daten fließen weiterhin ab.
Der Punkt ist einfach: Schulung allein reicht nicht aus. Es braucht einen Perspektivwechsel. Denn das eigentliche Problem ist nicht der Mangel an Inhalten, sondern die Art und Weise, wie wir Schulung verstehen: als einmaliges Ereignis statt als kontinuierlichen Prozess. Als Pflicht statt als Chance. Als etwas, das vermittelt wird – statt aktiviert.
In diesem Artikel analysieren wir fünf typische Fehler, die Security Awareness ineffektiv machen – und was Unternehmen konkret tun können, um wirklich umzudenken.
1. Zu glauben, dass „einmal im Jahr“ ausreicht
Einmalige Phishing-Simulationen.
Vielleicht mit offensichtlich gefälschten E-Mails.
Nur um sagen zu können, dass sie durchgeführt wurden.
Dabei zeigt der Verizon Data Breach Investigations Report 2024, dass 68 % der Sicherheitsverletzungen weiterhin den menschlichen Faktor betreffen. Und wir wissen: Das menschliche Gehirn vergisst bis zu 70 % der Informationen innerhalb eines Tages.
Was es braucht, ist Kontinuität, Realismus und Progression. Training statt einmaliger Exposition.
2. Für alle den gleichen Ansatz verwenden
Mitarbeitende, Führungskräfte, Praktikanten, Techniker, Administratoren – alle erhalten dieselbe Schulung. Dieselben Videos, dieselben Quizze, dieselbe gefälschte E-Mail.
Das funktioniert nicht. Denn Sicherheit ist persönlich.
Menschen haben unterschiedliche Rollen, Verantwortlichkeiten und Risikoprofile. Wer im Finanzbereich arbeitet, ist ein anderes Ziel als jemand im Marketing. Neue Mitarbeitende haben ein anderes Erfahrungsniveau als langjährige Fachkräfte.
Effektive Schulung ist maßgeschneidert. Sie entwickelt sich mit der Person, ihrem Verhalten und ihren Fehlern. Wer klickt, wird intensiver trainiert. Wer sicher handelt, festigt sein Verhalten.
3. Schulung anhand von Abschlussquoten messen
„98 % der Mitarbeitenden haben den Kurs abgeschlossen.“
Gut.
Und dann? Haben sie etwas gelernt? Setzen sie es um? Fühlen sie sich als Teil der Sicherheitsstrategie?
Echte Schulung misst sich im Verhalten – nicht in der Teilnahme.
Der Klick auf eine schädliche E-Mail, die Reaktionszeit, das Einholen von Unterstützung bei Unsicherheit, das Teilen bewährter Praktiken – das sind die relevanten KPIs. Alles andere ist Formalität.
4. Wirksamkeit suchen und die Psychologie ignorieren
Wir verstehen die technische Seite sehr gut. Die menschliche jedoch kaum.
Und genau dort liegt das Risiko.
Menschen machen Fehler, weil sie müde sind, abgelenkt oder überlastet. Weil sie vertrauen. Weil sie unter Druck stehen. Weil eine E-Mail „echt“ wirkt.
Phishing täuscht nicht die Vernunft – es täuscht die Aufmerksamkeit.
Deshalb muss Schulung auch auf Erkenntnissen der Verhaltenswissenschaft basieren: Wiederholung, Kontext, unmittelbares Feedback, positive Verstärkung. Keine statischen Folien, sondern Erlebnisse. Keine Theorie, sondern praktisches Training. Schulung als Kultur, nicht als Kurs.
5. Zu glauben, dass das Risiko „außerhalb“ liegt
Die klassische Cybersecurity-Erzählung fokussiert sich auf externe Bedrohungen: Hacker, Malware, Ransomware. Doch immer häufiger liegt der Einstiegspunkt im Inneren.
Ein geteiltes Passwort, ein USB-Stick, ein Klick.
Nicht aus böser Absicht – sondern aus Unwissenheit.
Sicherheit beginnt intern.
Und sie entsteht jeden Tag – durch jede einzelne Person.
Es braucht eine gemeinsame Kultur. Es braucht Beteiligung, Verantwortung und das Gefühl, Teil der Lösung zu sein. Und das gelingt nur durch eine Schulung, die verständlich ist, motiviert und sich anpasst.
Es braucht einen Mentalitätswechsel – nicht nur einen weiteren Kurs
Security Awareness ist kein Produkt, das man kauft. Es ist ein Prozess, den man gemeinsam entwickelt. Dafür braucht es Zeit, Methodik, Zuhören und die richtigen Werkzeuge.
Vor allem aber braucht es eine andere Ausgangsfrage.
Nicht mehr: „Haben wir die Schulung durchgeführt?“
Sondern: „Verhalten sich unsere Mitarbeitenden heute anders als gestern?“
Genau hier setzt unser Ansatz an.
Mit Albert haben wir ein kontinuierliches, personalisiertes und integriertes Security-Awareness-Programm entwickelt. Ein Ansatz, der kombiniert:
- gezielte und progressive Phishing-Simulationen
- modulare und interaktive Schulungen
- Monitoring realer Verhaltensweisen
- ein intelligentes System, das Inhalte basierend auf Risiko, Rolle und Nutzerverhalten anpasst
Es geht nicht nur darum, Wissen zu vermitteln. Es geht darum, Menschen einzubinden, Gewohnheiten zu verändern und eine echte Sicherheitskultur aufzubauen.