SoSafe Adventskalender: Entdecken Sie 24 Türchen voller Cyber-Sicherheits-Tipps. Mehr erfahren.

Ein Mitarbeitender blickt zufrieden auf seinen Laptop, auf dem er positives Feedback zu seinem sicheren Verhalten erhält.

Verhaltenspsychologie

Von Schuld zu Selbstbewusstsein: Wie positive Verstärkung Ihre Sicherheitskultur transformiert

6. Dezember 2024 · 10 Min

Stellen Sie sich vor, ein Mitarbeitender klickt in einer E-Mail auf einen schädlichen Link. Aus Angst vor möglichen Konsequenzen löscht er oder sie die E-Mail versucht, den Zwischenfall zu vertuschen. Zwei Wochen später stellt sich heraus, dass Cyberkriminelle in die Systeme eingedrungen sind und sensible Informationen gestohlen haben. Zu diesem Zeitpunkt ist es für eine Eingrenzung des Schadens zu spät. Gehen wir jetzt stattdessen davon aus, dass sich Ihr Mitarbeitender sicher und unterstützt gefühlt und den Vorfall deshalb sofort dem Security-Team gemeldet hätte. Durch schnelles Handeln könnte das Sicherheitsteam den Zugriff auf das System abwehren und so schwerwiegende Konsequenzen verhindern.

Zweifellos würde sich jedes Security-Team lieber in der zweiten Situation wiederfinden. Trotzdem gibt es immer noch Geschäftsleitungen und Sicherheitsbeauftragte, die in ihrem Cybersecurity-Trainingsprogramm auf Einschüchterung und Abstrafung setzen. Aus unserer Umfrage im Rahmen des Human Risk Review 2024 geht hervor, dass 81 Prozent der Sicherheitsbeauftragten immer noch der Meinung sind, dass Maßregelung und Zurechtweisung bei Usern effektiv zur Anpassung ihres Verhaltens führen – wobei nur 56 von 81 Prozent diese Disziplinarmethoden tatsächlich anwenden.

Obwohl dieser Ansatz stark umstritten ist, scheint Abstrafung weiterhin eine beliebte Strategie zur Korrektur unsicherer Verhaltensweisen zu sein. Das liegt daran, dass sie leicht umzusetzen und zu Beginn auch effektiv ist – denn Angst ist ein starker Motivator. Zahlreiche Forschende in verschiedenen Bereichen – wie zum Beispiel Rebecca Raby, Professorin an der Brock University – bestätigten, dass diese Methoden jedoch die komplexen Faktoren außer Acht lassen, die das Verhalten einer Person beeinflussen. Damit Mitarbeitende sich vertrauensvoll an das Sicherheitsteam wenden und ihre Fehler offen kommunizieren, müssen wir sie motivieren und befähigen, nicht abstrafen oder bloßstellen. Die positive Verstärkung ist ein verhaltenswissenschaftlicher Ansatz, mit dem wir genau das erreichen.

Zitat von Dr. Niklas Hellemann, CEO von SoSafe: „Cyberkriminelle haben schon lange verstanden, wie sie unsere Emotionen für ihre Zwecke ausnutzen können. Wir müssen Menschen helfen, sich gegen diese psychologischen Taktiken zu wappnen. Die Macht der menschlichen Psychologie liegt jedoch nicht nur in den Händen von böswilligen Akteuren. Die Verhaltenswissenschaft hat uns eine Fülle von bewährten Werkzeugen an die Hand gegeben, mit denen wir ein nachhaltiges und sicheres digitales Verhalten entwickeln können.“

Der Ursprung des Problems: Schuldzuweisungen und erlernte Hilflosigkeit

Bevor wir darauf eingehen, wie Sie Ihre Mitarbeitenden durch positive Verstärkung zu sicheren Verhaltensweisen motivieren können, ist es wichtig, den Ursprung des Problems zu kennen. Für viel zu lange Zeit wurden die Mitarbeitenden als größte Schwachstelle der Organisationen betrachtet. Zu Unrecht wurden sie damit durch Schuld und Furcht vor Fehlern belastet. Es steht zwar außer Frage, dass jeder Mensch für seine Handlungen verantwortlich ist. Doch leider passiert es viel zu schnell, dass wir der Human Error Fallacy zum Opfer fallen und die Schuld immer auf den User schieben.

Definition von Human Error Fallacy: „Bei Human Error Fallacy handelt es sich um eine kognitive Verzerrung, bei der die Komplexität der Interaktionen zwischen Mensch und Technologie außer Acht gelassen werden. Der Mensch wird sofort für jeden seiner Fehler beschuldigt, ohne externe Faktoren in Betracht zu ziehen, die seine Entscheidungen beeinflusst haben können – wie ein unangemessenes Systemdesign oder -architektur oder die Unternehmenskultur.“

Die Beschuldigung der User lässt nicht nur die Komplexität des menschlichen Wesens außer acht. Sie hat auch psychologische Auswirkungen auf die Mitarbeitenden und ihr Verhalten. Sie werden in einen Zustand „erlernter Hilflosigkeit“ getrieben, in dem sie sich nicht in der Lage fühlen, sich selbst oder ihre Organisation zu schützen.

Definition von erlernter Hilflosigkeit: „Erlernte Hilflosigkeit ist eine mentale Einstellung, die eintritt, wenn eine Person immer wieder mit derselben Herausforderung konfrontiert sieht und sich deshalb beginnt als Opfer zu betrachten, das keinerlei Kontrolle über die Situation hat. Sie nimmt eine passive, deprimierte und ängstliche Haltung ein, aus der heraus sie nicht zur Lösung des ursprünglichen Problems beitragen kann.“

Im Kontext der Cybersicherheit kann das für Mitarbeitende bedeuten, dass sie sich isoliert und hilflos fühlen, da ihnen die Unterstützung und das nötige Wissen fehlen, um richtig handeln zu können. Ebenso können sie sich vor Abstrafungen fürchten, wenn sie ihre Fehler zugeben. Diese Angst lässt CISOs, Sicherheitsteams und IT-Manager wiederum als „die Bösen“ dastehen, die es auf die Mitarbeitenden abgesehen haben, anstatt ihnen helfen zu wollen. 

Dieses Problem können wir nur mit zwei komplementären Ansätzen lösen. Erstens müssen wir Mitarbeitenden vermitteln, was sicheres Verhalten bedeutet, und sie motivieren, in riskanten Situationen richtig zu reagieren. Hier spielt die positive Verstärkung eine entscheidende Rolle. Zweitens müssen wir unsere Mitarbeitenden dazu bewegen, Verantwortung zu übernehmen, doch dazu müssen sie zuerst die möglichen Auswirkungen der Bedrohungen verstehen. Beginnen wir beim ersten Punkt. 

Der erste Schritt: Mitarbeitende zu positivem Verhalten motivieren

Die Art, wie Sie Ihren Mitarbeitenden sicheres Verhalten vermitteln, spielt eine entscheidende Rolle. Aus der Lernwissenschaft wissen wir, dass der Wissenserhalt stark davon abhängt, wie die Informationen vermittelt werden. Wenn die Lernenden mit Spaß dabei sind, vervielfacht sich der Lernerfolg. Das scheint offensichtlich, trotzdem berücksichtigen es nicht alle Security-Awareness-Programme. Traditionelle Programme, die vor allem auf Compliance mit regulatorischen Vorgaben abzielen, überfluten ihre Mitarbeitenden mit Informationen. Solche Trainingsprogramme ignorieren die Komplexität des menschlichen Wesens – seine Emotionen, Denkweisen und Motivatoren. Sie sprechen die Lernenden auf diesen Ebenen nicht an und bewirken deshalb keine echte, langfristige Verhaltensänderung.

Eine Möglichkeit, Trainingsprogramme zu verbessern ist Gamification. Wenn Mitarbeitende Punkte oder Badges sammeln oder durch das Abschließen von Aufgaben oder Lernmodulen das nächste Level erreichen können, wird das Cyber Security Training unterhaltsam und viel effektiver. Gamification steigert die Motivation zum Lernen und spricht gleichzeitig unseren natürlichen Wettbewerbstrieb und das Erfolgsstreben an.

Außerdem können wir Cyber Security Training durch Storytelling mit interessanten Charakteren und Lernerfahrungen, die durch eine Geschichte miteinander verknüpft sind, dynamischer gestalten. Durch solche wirkungsvollen Lernerfahrungen befähigen wir unsere Mitarbeitenden, sich selbst und ihre Organisation vor Cyberbedrohungen zu schützen.

Eine weitere Möglichkeit, positive Verstärkung anzuwenden, ist erfahrungsbasiertes Lernen („Learning by doing“), insbesondere in Form von personalisierten Phishing-Simulationen. Erfahrungsbasiertes Lernen veranschaulicht abstrakte Konzepte in konkreten und für den User relevanten Situationen. Dabei können Mitarbeitende die Folgen ihrer Handlungen in einer kontrollierten, risikofreien Umgebung selbst erleben. Als entscheidender Teil dieser Lernerfahrungen sind Phishing-Reporting-Tools unerlässlich. Diese Tools bieten die Möglichkeit für positives Feedback, um richtige Verhaltensweisen durch positive Verstärkung zu festigen.

Stärken des Selbstbewusstseins durch positives Feedback

Wer erhält nicht gern die Bestätigung von außen, dass er auf dem richtigen Weg ist? Positives Feedback ist für Mitarbeitende eine Bestärkung, die ihnen zeigt, dass ihre Bemühungen und Erfolge nicht unbemerkt bleiben. Damit fördern Sie sicheres Verhalten und steigern gleichzeitig das Vertrauen Ihrer Mitarbeitenden in sich selbst und in Sie – eine entscheidende Voraussetzung, damit sie eigene Fehler angstfrei und offen kommunizieren können. Stetige Unterstützung ist wichtig, um ihre Motivation aufrechtzuerhalten. Das gilt insbesondere in der Cybersicherheit, wo wir tagtäglich wachsam sein und uns kontinuierlich an neue Bedrohungen anpassen müssen. Der Phishing-Meldebutton von SoSafe ist ein wichtiges Tool, das Mitarbeitenden nach dem Melden einer Phishing-Mail direktes Feedback bietet – sowohl bei Phishing-Simulationen als auch bei echten Phishing-Angriffen. Er fördert zudem ein durch gegenseitige Unterstützung und Zusammenarbeit geprägtes Arbeitsumfeld.

Abbildung, auf der zu sehen ist, wie das PhishFeedback-Feature von SoSafe einen Mitarbeitenden darüber informiert, dass er erfolgreich einen echten Cyberangriff abgewehrt hat.

Schritt 2: Der Wechsel von Beschuldigung zu Verantwortung

Schuldzuweisungen versetzen Menschen in den Verteidigungsmodus, in dem sie nur noch die unmittelbar drohenden Konsequenzen wahrnehmen. Die Folge: Begeht die Person einen Fehler, fürchtet sie sich wahrscheinlich eher vor den möglichen Konsequenzen für sich als Mitarbeitender und Person, anstatt den Schutz der Organisation zu priorisieren und den Fehler offen zu kommunizieren.

Damit Mitarbeitende ihre Furcht ablegen können, müssen sie die Gewissheit haben, dass sie im Falle eines Fehlers nicht ihren Job verlieren oder beschuldigt und öffentlich bloßgestellt werden. Das ist nur im Rahmen einer sogenannten „Just Culture“ möglich. Neben dem Einsatz der positiven Verstärkung tritt das Unternehmen selbst zuerst in die Verantwortung, indem es seine Prozesse optimiert und den Mitarbeitenden die richtigen Tools, Prozesse und Kontrollelemente bereitstellt, um ähnliche Fehler in Zukunft zu vermeiden.

Zitat von Andrew Rose, CISO von SoSafe: „In einer Just Culture identifizieren wir Risiken, anstatt mit dem Finger auf andere zu zeigen. Es geht darum, neue Methoden zu finden, um Mitarbeitende zur offenen Kommunikation von Bedrohungen zu motivieren.“

In einer „Just Culture“ – einer Kultur, die durch Fairness und Integrität geprägt ist – gehört zur Befähigung der Mitarbeitenden, ihnen die Furcht vor Abstrafungen und Schuldzuweisungen zu nehmen. Aber auch, ihnen die möglichen Konsequenzen ihrer Handlungen in allen Bereichen bewusst zu machen. Als Erstes müssen wir ihnen vermitteln, welche Folgen ein Datenschutzverstoß oder Cyberangriff für ihr Unternehmen und somit auch für die Mitarbeitenden haben kann. Die massiven finanziellen Verluste in Folge eines Cyberangriffs können zur Rufschädigung führen, wodurch das Unternehmen wiederum Kunden verlieren und Gewinne einbüßen kann. Das wirkt sich auch auf die gesamte Belegschaft aus: Aufgrund fehlender Budgets könnten Bonuszahlungen und Beförderungen eingestellt werden.

„Just Culture“ bedeutet jedoch nicht, dass es im Ernstfall keinerlei Strafen gibt, sollte die Situation diese erfordern. Mitarbeitende müssen sich zwar einerseits sicher fühlen, dass sie im Falle eines ungewollten Fehlers nicht zur Rechenschaft gezogen werden. Andererseits sollten sie auch die möglichen Konsequenzen von vorsätzlich oder fahrlässig riskantem Verhalten kennen. Zum Beispiel werden in extremen Fällen von vorsätzlich riskantem Verhalten strenge Maßnahmen ergriffen. Es können rechtliche Folgen oder der Verlust des Arbeitsplatzes drohen.

In der folgenden Tabelle sind die verschiedenen mögliche Konsequenzen aufgeführt, über die Ihr Team aufgeklärt werden sollte:

Folgen für das UnternehmenPersönliche FolgenNegative persönliche Folgen
Rufschädigung des UnternehmensBeförderungen werden ausgesetztRechtliche Folgen
Projekte werden abgebrochenBonuszahlungen werden eingestelltKündigung von Mitarbeitenden
Unternehmen verliert KundenVerlust von Familienfotos 

Diese möglichen Konsequenzen sollten auf eine Weise kommuniziert werden, die keine Gefühle der Angst oder Machtlosigkeit hervorrufen. Wir müssen Mitarbeitenden vermitteln, dass sie die häufigste Angriffsfläche ihrer Organisation sind und dass sie sowohl als Einzelperson als auch im Team zum Schutz der Organisation beitragen können bzw. müssen. In Fällen, in denen Mitarbeitende zu sehr auf mögliche negative Konsequenzen fixiert sind, ohne das große Ganze im Blick zu behalten, kann die folgende Matrix die Schuldfrage genauer beleuchten:

Flowchart, das die Schuldhaftigkeit basierend auf der Frage „War die Handlung beabsichtigt?“ auswertet. Zu den Kriterien gehören beispielsweise verbotene Substanzen, medizinische Erfordernis, die Einsehbarkeit der Sicherheitsvorgaben und vorheriges unsicheres Verhalten, die jeweils zu verschiedenen Stufen der Schuldhaftigkeit führen.

Wichtig ist, dass die Mitarbeitenden verstehen, dass sie die stärkste Verteidigungslinie gegen Cyberangriffe sind – nicht die größte Schwachstelle. Indem wir Informationssicherheit zur Sache aller machen, fördern wir auf allen Unternehmensebenen eine Kultur der Verantwortung.

Praktische Tipps zur Einführung der positiven Verstärkung und zum Aufbau einer „Just Culture“ in Ihrer Organisation

Inzwischen wissen wir, dass es bei positiver Verstärkung vor allem um die richtige Kommunikation mit Mitarbeitenden geht und darum, sie zu sicherem Verhalten zu befähigen. Im Folgenden finden Sie einige konkrete Tipps, wie Sie das erreichen:

  • Bieten Sie Training an, das die echten Folgen von Cyberangriffen verdeutlicht. Teilen Sie aber auch Berichte von erfolgreichen Interventionen und Lösungen durch Personen, zu denen sie einen Bezug herstellen können.
  • Erstellen Sie Lernmodule, die die Grundsätze der Cybersicherheit im Kontext unterhaltsamer Geschichten und Szenarien vermitteln, die für Ihre Mitarbeitenden relevant sind.
  • Kommunizieren Sie Cyber-Security-Themen offen und transparent und verdeutlichen Sie, dass Ihre Organisation durch die richtigen Schutzmaßnahmen auf mögliche Angriffe vorbereitet ist.
  • Entwickeln Sie eine Kommunikationsstrategie, bei der Sie Mitarbeitende aus allen Unternehmensbereichen zu Wort kommen lassen. So betonen Sie, dass jede einzelne Person im Unternehmen – vom nächsten Kollegen bis zum Vorgesetzten – für die Informationssicherheit verantwortlich ist.
  • Entwickeln und verbreiten Sie klare Richtlinien, die zwischen einem unbeabsichtigten Fehler und fahrlässigem oder vorsätzlichem Fehlverhalten unterscheiden.
  • Vermeiden Sie komplizierte Fachbegriffe, die verwirrend oder befremdlich wirken können.
  • Stellen Sie Ihren Mitarbeitenden benutzerfreundliche Tools und klare Anweisungen bereit, die ihnen helfen, im Ernstfall richtig zu reagieren.
  • Zeigen Sie Anerkennung und belohnen Sie proaktives sicheres Verhalten, um die Motivation aufrechtzuhalten – von Danksagungs-Mails über Auszeichnungen auf Unternehmensveranstaltungen bis hin zu finanziellen Belohnungen oder spielerischen Anreizen, wie Punkte, Badges und Leaderboards.
  • Bauen Sie eine positive Fehlerkultur auf, in der Mitarbeitende ihre Fehler ohne Furcht vor möglichen Konsequenzen offen kommunizieren können. Wenn nötig, richten Sie Kanäle für anonymes Reporting ein.

So stärkt SoSafe Ihre Sicherheitskultur durch positive Verstärkung

Positive Verstärkung spielt beim Aufbau einer starken Sicherheitskultur eine zentrale Rolle. Indem Sie ein Umfeld schaffen, in dem sich Mitarbeitende verstanden fühlen und Zwischenfälle transparent melden, können bei einem Angriff weitreichendere Konsequenzen vermieden werden.

Dazu brauchen sie im ersten Schritt, wie schon erwähnt, das nötige Wissen, um bessere Entscheidungen treffen zu können. Die interaktive Lernplattform von SoSafe bietet durch relevante Inhalte und Gamification-Elemente ein unterhaltsames und motivierendes Lernerlebnis. Sie fördert den Wissenserhalt durch personalisierte Lerninhalte, die auf die individuellen Risiken und Anforderungen einzelner Personen abgestimmt sind, die das Gelernten in realen Situationen anwenden können.

Unser Phishing-Meldebutton ermöglicht Usern, Phishing-Mails einfach und schnell zu melden. Sein PhishFeedback-Feature integriert positives Feedback, das Mitarbeitende motiviert, ihren Lernfortschritt fortzusetzen. Es informiert den User zeitnah, ob die gemeldete E-Mail wirklich schädlich war, und stellt Tipps und weiterführendes Training bereit.

Zitat von Martin Schmidt, Global Director of Digital Advisory bei Freudenberg: „Entscheidend ist die positive Verstärkung. Jemand kann eine Mail richtig als bedrohlich erkennen und löschen. Wenn er aber kein Feedback dazu bekommt, wird er nie erfahren, ob er wirklich richtig gehandelt hat. Mit dem Phishing-Reporting-Plug-in erhalten die User nach dem Melden einer Simulations-Mail sofortiges Feedback. Sie werden gelobt und erhalten weitere Tipps, wenn sie mehr zu einem Thema erfahren möchten.“

Unser KI-basierter Chatbot Sofie verbessert die Lernerfahrung weiter. Durch den Versand kurzer, leicht verständlicher Alerts an die Mitarbeitenden bietet sie eine nahtlose und unterhaltsame Lernerfahrung in Echtzeit. Sofie dient außerdem als Level Zero Support, indem sie dringende Sicherheitsfragen Ihrer Mitarbeitenden beantwortet oder sie an das Sicherheitsteam weiterleitet.

Wenn Sie aus erster Hand erleben wollen, wie unser Produkt Ihrer Organisation beim Aufbau einer positiven Sicherheitskultur helfen kann, fragen Sie einfach eine Produktdemo an. Ein Mitglied unseres Expertenteams wird sich zeitnah bei Ihnen melden.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual

Demo anfragen

Erfahren Sie, wie unsere Plattform Ihrem Team dabei hilft, Cybergefahren kontinuierlich abzuwehren und Ihre Organisation abzusichern. Vereinbaren Sie jetzt eine Produktdemo und wir melden uns zeitnah bei Ihnen.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025 G2 Momentum Leader Winter 2025 The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions