Zum Inhalt springen
Start Advisories Ransomware Podcasts Bücher Creators Speaker Firmen Karriere Events Cyberwald-Netzwerk Matrix-Server FAQ Besucherstatistik Suche
Analyse

Warum Security Awareness im Ernstfall scheitert und woran es wirklich liegt

Jill Wick ·
Warum Security Awareness im Ernstfall scheitert und woran es wirklich liegt

Absolute Sicherheit gibt es nicht. Mit diesem Gedanken eröffnet Nickolai Zeldovich, Professor an der MIT, seine Vorlesung zu Computer Systems Security. Entscheidend sei, Sicherheit so anzulegen, dass man aus Fehlern lernt und nachbessert. Das braucht eine Grundlage, an der sich ansetzen lässt. Fehlt sie, bleibt nur das immer gleiche Erstaunen: erst „Oh, wir wurden angegriffen”, beim nächsten Mal „schon wieder, zu blöd”.

Dasselbe gilt im Unternehmen. Nach einem Cybervorfall lautet die erste Frage fast immer: Waren die Mitarbeitenden gut genug geschult? Diese Frage lenkt von dem ab, worauf es ankommt. Ob eine Organisation überhaupt so gebaut ist, dass ein Fehler früh auffällt, gemeldet und korrigiert wird.

Security Awareness wird noch viel zu oft als reiner Lerninhalt behandelt. Man bucht ein E-Learning, misst die Abschlussquote, freut sich über „80 Prozent absolviert” und verschiebt die Verantwortung still auf die Belegschaft. Tritt dann ein Vorfall ein, heisst es, dass die Leute doch informiert waren. Ein CEO-Fraud im Kanton Schwyz kostete ein Unternehmen mehrere Millionen Franken. Eine absolvierte Pflichtschulung hätte daran nichts geändert.

Der Fehler beginnt oben, nicht beim Klick

Ein Muster, das in vielen Organisationen wiederkehrt: Eine Fachabteilung führt eigenständig einen Passwortmanager ein. Sinnvoll an sich. Nur wird die Sicherheitsabteilung nie gefragt, kann die Lösung also weder prüfen noch einordnen. Stattdessen soll das Awareness-Team im Nachhinein ein E-Learning dazu bauen. Awareness wird so zur Reparatur einer längst gefallenen Entscheidung. Was fehlt, ist eine Governance, die Sicherheit, IT und Awareness von Beginn an zusammenführt.

Wenn Schweigen teuer wird

Ein Mitarbeitender klickt auf eine täuschend echte Phishing-Mail. Kurz öffnet sich ein Downloadfenster, dann ist es wieder weg. Zurück bleibt ein vager Zweifel. Es gibt keinen klaren Meldeweg, und die Hemmschwelle ist hoch, also bleibt der Vorfall ungemeldet. Wochen später verschlüsselt eine Erpressungssoftware die Systeme. Der erste Rechner war an genau jenem Tag infiziert worden. Eine frühe Meldung hätte den Angriff womöglich isoliert. Der Mitarbeitende hatte das Training absolviert. Geholfen hat es nicht, weil das Drumherum fehlte: ein Prozess und das Gefühl, eine Frage stellen zu dürfen, ohne dafür belangt zu werden.

Was eine gelebte Sicherheitskultur ändert

Dasselbe Angriffsszenario, anderer Ausgang. In einer Organisation, in der Awareness verankert ist, wird der Inhaber beim Lesen der Mail stutzig, lässt sich vom Zeitdruck nicht treiben und prüft die Anfrage über einen zweiten, gesicherten Kanal. „Sicherheit vor Geschwindigkeit” wird hier durch die Führung vorgelebt. Innerhalb von Minuten warnt das Security-Team die Belegschaft und der Angriff scheitert.

Der Unterschied liegt in der Klarheit über Verantwortlichkeiten, Meldewege und richtiges Handeln im Ernstfall. Wirksame Awareness orientiert sich am Alltag der Branche. Zum Beispiel üben Kliniken den Umgang mit Angehörigen und Patientendaten, Banken den Schutz sensibler Zahlungsdaten und die Industrie, wie man mit System-Updates umgeht.

Der eigentliche Hebel: psychologische Sicherheit

Dahinter steht das Prinzip, dass Menschen Fehler und Zweifel offen ansprechen dürfen. So lassen sich Risiken früh benennen und korrigieren. Wo kritische Fragen jedoch sanktioniert oder ignoriert werden, schweigt man, was teuer werden kann. KI-Assistenten führen das sehr gut vor. Sie nehmen jede Frage ernst und belohnen uns dafür mit einem Kompliment für die gute Frage. Man fragt also eher nach und traut sich, alle „dummen“ Fragen zu stellen. Wenn Führungskräfte diese Haltung übernehmen, sinkt die Hemmschwelle, Vorfälle zu melden.

Security Awareness ist deshalb eine Führungs- und Governance-Aufgabe. Auch hier gilt das Prinzip, dass es keine absolute Absicherung des menschlichen Faktors gibt, aber eine Grundlage benötigt wird, auf der aufgebaut werden kann.

Quellen:

  • Nickolai Zeldovich. (2026, Mai 19). 6.566 Frühjahr 2026 Vorlesung 1: Einführung
  • youtube.com
  • Kanton Schwyz: Unbekannte erlangen mit CEO-Fraud-Masche Millionen-Betrag. (2026, Januar 19)
  • sz.ch

Jill Wick ist Cyber Security Awareness Consultant und Wirtschaftspsychologin MSc FH. Als Voice on Human Centred Security beschäftigt sie sich mit der Schnittstelle von Psychologie, Cybersicherheit und Technologie, insbesondere mit deren Auswirkungen auf den Menschen.

Jill Wick

Geschrieben von

Jill Wick