Die Schulung, die niemand ernst nimmt – und die E-Mail, die trotzdem geöffnet wird
Es ist kurz vor Mittag, der Tag ist voll, der Kopf auch. Ein Mitarbeiter sitzt vor seinem Postfach und arbeitet Mails der Reihe nach ab. Zwischen Statusberichten, Tickets und Kalendereinladungen liegt eine Nachricht, die auf den ersten Blick völlig unspektakulär wirkt: Eine scheinbar interne Anfrage zu einem laufenden Projekt, freundliche Begrüßung, passender Betreff, bekannte Namen in CC.
Er klickt, weil es zu seinem Job gehört, schnell zu reagieren. Aus seiner Sicht ist das gutes Verhalten.
Zur gleichen Zeit sitzt der CISO zwei Etagen höher im Management-Meeting und zeigt die aktuellen Kennzahlen der Awareness-Schulung. Teilnahmequote: 98 Prozent. Bestehensquote: 97 Prozent. Die Folien sehen gut aus. Auf dem Papier ist das Unternehmen „sensibilisiert“.
In der Realität hat gerade jemand eine Tür geöffnet, die so nicht hätte geöffnet werden sollen. Nicht, weil er unbelehrbar oder „unaufmerksam“ war, sondern weil sein Arbeitsalltag anders funktioniert als die Folien der Schulung.
Die Frage ist deshalb nicht, warum Mitarbeiter „schon wieder“ geklickt haben. Die Frage ist, warum ein Awareness-Konzept, das formell erfolgreich ist, im entscheidenden Moment wirkungslos bleibt.
Das alte Narrativ: „Der Mensch als Risiko“ – warum es Organisationen lähmt
Das Bild vom Mitarbeiter als Risiko kommt nicht aus dem Nichts. Es entstand in einer Zeit, in der Security vor allem als Compliance-Thema gedacht wurde. Man führte Pflichtschulungen ein, ließ Videos abspielen, hakte Trainings in Lernplattformen ab, sammelte Teilnahmebestätigungen. Wenn etwas schiefging, war schnell klar, wer schuld war: „Der User“.
Dieses Narrativ hat sich tief eingebrannt. Es passt gut zu einer Welt, in der Sicherheit vor allem aus Regelwerken besteht. Wer Regeln verletzt, ist das Problem.
Psychologisch ist dieses Bild aber fatal. Wer sich als Risiko erlebt, verhält sich defensiv. Menschen vermeiden Fehler, indem sie versuchen, nicht aufzufallen. Sie melden Vorfälle später oder gar nicht, weil sie Angst vor Konsequenzen haben. Sie sagen nicht: „Ich glaube, da war gerade etwas komisch“, sondern hoffen, dass es schon nichts war.
Für eine CISO-Perspektive ist das strategisch verheerend. Eine Sicherheitskultur, die auf Schuldzuweisung beruht, bleibt an der Oberfläche. Mitarbeiter fühlen sich beobachtet, nicht beteiligt. Security wirkt wie etwas, das „von oben“ kommt, nicht wie ein gemeinsames Anliegen.
Solange dieses Narrativ dominiert, bleibt Awareness ein Pflichtprogramm und wird nicht zu einem Teil der Identität des Unternehmens.
Warum klassische Awareness-Ansätze verpuffen
Viele Awareness-Maßnahmen sehen auf dem Papier gut aus und fühlen sich in der Realität leer an. Die Gründe dafür sind erstaunlich konsistent.
Einmal im Jahr ein Video anzusehen und ein paar Multiple-Choice-Fragen zu beantworten, ist kein Verhaltenstraining. Niemand fährt sicherer Auto, nur weil er einmal jährlich eine Broschüre liest. Sicherheit entsteht durch wiederholte, erlebte Situationen, durch Reflexe und Routinen.
Klassische E-Learnings setzen jedoch auf passiven Konsum. Man klickt sich durch Slides, schaut ein kurzes Video, beantwortet Fragen, die eher das Gedächtnis als das Verhalten testen. Im Arbeitsalltag erinnert sich kaum jemand daran, wenn der Druck steigt oder unerwartete Situationen auftreten.
Hinzu kommt: Inhalte sind häufig generisch. Es gibt die gleiche Phishing-Folie für HR, Vertrieb, Entwicklung und Vorstand. Niemand fühlt sich wirklich gemeint. Mitarbeiter erkennen ihre konkreten Situationen nicht wieder und ziehen keine Brücke zwischen Schulungsbeispielen und den eigenen Aufgaben.
Oft werden Inhalte überfrachtet. Alles ist wichtig. Alles ist kritisch. Alles muss dringend beachtet werden. Das menschliche Gehirn reagiert darauf mit einer einfachen Strategie: Es filtert. Häufig bleibt nur ein diffuses „Sicherheit ist wichtig“ hängen, aber keine handlungsfähige Priorisierung.
Phishing-Tests schließlich werden vielerorts als reine Kontrollmaßnahme eingesetzt. Wer „hineinfällt“, wird sanktioniert oder bloßgestellt, offiziell oder subtil. Die Botschaft lautet: „Wir warten darauf, dass ihr Fehler macht.“ Vertrauen sieht anders aus.
Moderne Angriffe sind Verhaltensangriffe, keine Klickfehler
Wer sich aktuelle Angriffe ansieht, erkennt ein Muster. Es geht selten um reine Technik. Es geht um Verhalten.
Social Engineering ist inzwischen eine strategische Disziplin. Angreifer analysieren Strukturen, Kommunikationswege und Entscheidungslogiken. Sie konstruieren Nachrichten, die in den Alltag der Menschen passen. Die Qualität solcher Angriffe unterscheidet sich fundamental von den plumpen „Sie haben im Lotto gewonnen“-Mails der Vergangenheit.
Gleichzeitig steigen die Anforderungen im Tagesgeschäft. Mitarbeiter jonglieren Projekte, Tickets, Meetings, Chat-Nachrichten und Mails. In Stresssituationen greifen Menschen auf intuitive Entscheidungen zurück. Sie sehen eine scheinbar passende Nachricht, die zur aktuellen Aufgabe passt, und handeln automatisch.
Technische Schutzmaßnahmen wie Zero Trust, MFA oder EDR sind immens wichtig. Sie schließen Lücken und erschweren Angriffe. Trotzdem werden täglich Entscheidungen getroffen, bei denen Menschen abwägen, nachfragen oder klicken müssen. Kein System nimmt ihnen das vollständig ab.
Wenn Awareness diese Realität ignoriert und so tut, als gäbe es nur „richtige“ und „falsche“ Klicks, verfehlt sie die eigentliche Natur des Problems.
Security Awareness neu gedacht: Vom Risiko zur Ressource
Ein moderner Ansatz setzt an einem anderen Punkt an. Er sieht Menschen nicht länger als Schwachstelle, sondern als Teil der Verteidigung.
Mitarbeiter sitzen näher am Geschehen als jedes SOC. Sie sehen ungewöhnliche Anfragen, hören merkwürdige Geschichten am Telefon, bemerken subtile Veränderungen im Arbeitsablauf. Wenn sie befähigt sind, diese Signale ernst zu nehmen und zu melden, sind sie ein Frühwarnsystem, das kein technisches Tool ersetzen kann.
Damit das funktioniert, muss sich der Ton ändern. Weg von Kontrolle, hin zu Empowerment. Security Awareness wird dann nicht mehr als „wir bringen euch bei, nichts Falsches zu tun“ verstanden, sondern als „wir statten euch mit Fähigkeiten aus, damit ihr in heiklen Situationen gut entscheiden könnt“.
Verhaltenspsychologie bietet dafür eine Menge Werkzeuge. Statt trockener Pflichtmodule lassen sich kleine Impulse setzen, die an bestehende Gewohnheiten anknüpfen. Micro-Learnings, kurze Szenarien, gezieltes Nudging, kleine Wiederholungen. Menschen lernen besser, wenn Informationen im richtigen Moment auftauchen, nicht nur einmal im Jahr.
Wie moderne Awareness-Programme funktionieren – ein praxisnaher Leitfaden
Moderne Programme unterscheiden sich nicht nur in der Verpackung, sondern im Kern.
Ein wichtiger Punkt ist Rhythmus. Kurze, regelmäßige Einheiten wirken besser als seltene Blöcke. Ein fünfminütiges interaktives Szenario pro Monat kann mehr verändern als eine Stunde Video im Jahr. Entscheidend ist Erlebbarkeit. Ein Mitarbeiter sollte typische Situationen ausprobieren können, ohne dass etwas passiert.
Kontext ist der zweite Faktor. Eine HR-Abteilung hat mit anderen Risiken zu tun als ein Cloud-Engineering-Team. Gute Awareness verknüpft Inhalte mit realen Rollen. Sie zeigt dem Vertrieb konkrete Beispiele, die zu Kundenkommunikation passen, und dem Einkauf Situationen, in denen manipulierte Lieferantenkontaktaufnahmen eine Rolle spielen.
Ein dritter Faktor ist Fehlerkultur. Wenn Mitarbeiter befürchten, „erwischt“ zu werden, lernen sie vor allem, vorsichtig im Umgang mit Security-Themen zu sein. Wer möchte schon freiwillig etwas melden, wenn er damit möglicherweise zeigt, dass er etwas übersehen hat. Eine belastbare Kultur sagt dagegen: Entscheidend ist, dass du meldest, nicht dass du nie einen Fehler machst.
Phishing-Simulationen können hier sehr wirkungsvoll sein, wenn sie als Lerninstrument eingesetzt werden. Sie werden problematisch, wenn sie wie Fallen wirken.
Die Frage nach einem Test sollte nicht lauten „Wer ist schuld“, sondern „Was lernen wir daraus“.
Ebenso wichtig ist die Verzahnung mit technischen Maßnahmen. Wenn ein Mailclient einen verdächtigen Banner zeigt, braucht es eine einfache Möglichkeit für die Rückfrage. Wenn ein System eine ungewöhnliche Login-Anfrage meldet, sollte der Weg zu einer internen Stelle klar sein. Awareness allein ohne passende Tools erzeugt Frustration. Tools ohne Awareness erzeugen Überforderung.
Die Rolle von Führungskräften: Kultur beginnt nicht am Schreibtisch der IT
Wenn die Geschäftsleitung Sicherheit sichtbar ernst nimmt, ändert das die Wahrnehmung im Unternehmen. Wenn sie selbst an Trainings teilnimmt, Sicherheitsvorfälle transparent adressiert und Rückfragen aktiv einfordert, gewinnt das Thema Gewicht.
Awareness ist kein IT-Projekt. Sie ist ein Führungsthema.
Umgekehrt können Führungskräfte Awareness mit wenigen Handlungen untergraben. Wer Mails mit Betreffzeilen wie „Bitte dringend bearbeiten!!!“ ohne Kontext quer durchs Unternehmen weiterleitet, trainiert seine Teams auf Stress statt auf Sorgfalt.
Delegation reicht nicht. Security kann nicht „an die IT delegiert“ werden, während man selbst Abkürzungen nutzt. Vorleben ist wirkungsvoller als jede Policy.
Fallbeispiel: Von Frustration zu echter Resilienz
Stellen wir uns ein Unternehmen vor, das in einer klassischen Awareness-Sackgasse steckt. Die Schulungsteilnahme ist hoch, die Akzeptanz gering. Mitarbeiter fühlen sich belehrt. Phishing-Tests werden als Falle wahrgenommen. Die Zahl der Klicks geht zwar minimal zurück, dafür melden immer weniger Mitarbeiter verdächtige Mails.
Dieses Unternehmen entscheidet sich für einen Neustart. Statt einer jährlichen Großschulung werden kurze, rollenspezifische Einheiten eingeführt. Jede Abteilung erhält Szenarien, die zum Arbeitsalltag passen. Phishing-Simulationen werden transparenter kommuniziert und in Nachbesprechungen genutzt, um Muster zu erklären, nicht um Schuldige zu benennen.
Parallel wird eine einfache Meldeoption eingeführt: ein Button, eine zentrale Adresse, klar kommuniziert. Keine Vorwürfe, sondern Dank für jeden Hinweis. Im SOC werden Reaktionswege angepasst, sodass Meldungen zeitnah und wertschätzend beantwortet werden.
Nach einigen Monaten zeigt sich ein anderes Bild. Die Zahl der gemeldeten verdächtigen Mails steigt deutlich. Die Klickrate sinkt langsam, aber kontinuierlich. Vor allem aber ändert sich der Ton in den Teams. Man spricht über Beispiele, tauscht sich aus, bittet Kollegen um eine zweite Meinung. Sicherheit ist nicht mehr nur eine Compliance-Folie, sondern Teil der Zusammenarbeit.
Was moderne Awareness nicht ist
Awareness in diesem Sinne ist kein „Einmal-pro-Jahr“-Pflichttermin. Sie ersetzt keine technischen Maßnahmen. Sie verschiebt die Verantwortung nicht auf Mitarbeiter, sondern verteilt sie. Sie ist keine Sammlung von Klickstatistiken, mit denen man Erfolge vorgaukelt. Und sie ist kein Compliance-Fetisch, den man erfüllt, weil es der Standard so verlangt.
Messen, was wirklich zählt: Erfolgskriterien jenseits der Klickrate
Wer moderne Awareness bewertet, braucht andere Kennzahlen. Die Frage ist nicht nur, wie viele Mitarbeiter auf eine Phishing-Mail geklickt haben. Interessanter ist, wie viele etwas Verdächtiges gemeldet haben.
Ebenso wertvoll sind qualitative Indikatoren. In wie vielen Meetings werden Security-Fragen von Mitarbeitern angesprochen. Wie oft fragt jemand proaktiv beim Security-Team nach, ob eine neue externe Lösung geprüft werden sollte. Welche Qualität haben Rückfragen, wenn ungewöhnliche Situationen auftreten.
Awareness ist außerdem nur sinnvoll im Kontext des gesamten Security-Programms. Sie entfaltet ihre Wirkung erst dann voll, wenn SOC, Incident Response, technische Controls und Kommunikation zusammenspielen.
Wie Awareness Teil der Sicherheitsarchitektur wird
Wenn man Awareness als Frühwarnsystem versteht, ergeben sich interessante Verbindungen. Meldungen von Mitarbeitern können im Incident-Response-Prozess als Auslöser dienen. Schulungsthemen können aus echten Vorfällen abgeleitet werden. Kommunikation über Sicherheitsvorfälle kann wiederum in Trainings zurückfließen.
Technische Controls und menschliches Verhalten verstärken sich gegenseitig. Ein Warnhinweis im System erinnert an gelernten Inhalt. Eine Schulung erklärt, warum ein bestimmter Hinweis ernst zu nehmen ist.
Langfristig geht es nicht mehr um Kampagnen, sondern um Kultur. Eine Kampagne endet, eine Kultur nicht. Sicherheit wird dann Teil der Identität. Man versteht sich nicht mehr als jemand, der „nicht klicken darf“, sondern als jemand, der aktiv an der Stabilität des Unternehmens mitarbeitet.
Fazit: Menschen sind nicht das Problem, sondern der entscheidende Hebel
Das Narrativ vom „Mitarbeiter als Risiko“ hat Unternehmen jahrelang geprägt und gleichzeitig gelähmt. Es hat Angst erzeugt, statt Verantwortung. Es hat Schulungen hervorgebracht, die gut aussehen, aber wenig bewirken.
Moderne Security Awareness denkt anders. Sie setzt auf Vertrauen, Kompetenz und Beteiligung. Sie sieht Menschen als Ressource, nicht als Störfaktor. Resilienz entsteht, wenn alle wissen, dass sie Teil der Verteidigung sind – und wenn sie so behandelt werden.
Wer diesen Perspektivwechsel ernst nimmt, wird feststellen, dass sich Security nicht mehr gegen die Organisation durchsetzen muss. Sie wächst mit ihr.