Einloggen
Frau mit Tablet vor einer verschwommenen Büroumgebung mit Overlay aus Grafikelementen, die Human-Risk-Management-Analytics darstellen.

Human Risk Management

HRM ist ein ganzheitlicher Sicherheitsansatz zur Bestimmung, Bewertung, aktiven Verwaltung und Minimierung menschlicher Risiken in Ihrer Organisation. Dieser verhaltenspsychologisch fundierte, ergebnisfokussierte Ansatz fördert eine Sicherheitskultur, in der sicheres Verhalten zur Selbstverständlichkeit wird.

24. Juni 2024 · 19 Min

Human Risk Management ist in einer Zeit in unsere Leben getreten, in der sich Organisationen weltweit mit einem alarmierend rasanten Wachstum von Cybercrime konfrontiert sehen. Und das ist kein Zufall.

Cyberangriffe werden nicht nur häufiger, sondern auch immer ausgeklügelter. Das liegt zum einen an dem Vormarsch KI-getriebener Tools und zum anderen an den immer kreativeren Social-Engineering-Methoden. Mit diesen zielen Cyberkriminelle auf den Faktor Mensch ab und umgehen so moderne technologische Schutzmaßnahmen. Laut dem Data Breach Investigations Report von Verizon spielte bei bis zu 74 Prozent aller Datenschutzverletzungen das menschliche Element eine Rolle; und das ist erst der Anfang von dem, was uns in Zukunft noch erwartet. Forrester prognostiziert, dass dieser Prozentsatz 2024 sogar auf 90 Prozent ansteigen wird.

Grafik, die aufzeigt, dass 90 % der Datenschutzverstöße 2024 auf menschliches Versagen zurückzuführen sein werden.

Diese Zahlen zeigen eine entscheidende Lücke auf. In der Vergangenheit fokussierten sich Unternehmen darauf, ihre technischen Schutzmaßnahmen zu verbessern, vernachlässigten dabei jedoch oft die wichtige Rolle ihrer Mitarbeitenden. Starke technische Sicherheitsmaßnahmen sind zwar unerlässlich, heute jedoch nicht mehr ausreichend zum Schutz vor den ausgeklügelten Angriffsmethoden. Cyberkriminelle umgehen technische Abwehrmechanismen effektiv, indem sie auf den Faktor Mensch abzielen.

Zitat von Dr. Katrin Suder, in dem sie sagt: „Die letzten 10 Jahre haben Unternehmen eher in Technik investiert als in Menschen. Inzwischen haben sie verstanden, dass Technik nicht alles ist, und dass Social Engineering – und insbesondere Phishing – ein echtes Problem ist.“

In einem Versuch, diese Problematik zu lösen, entstanden Security Awareness and Training Solutions (SA&Ts), die auch von Compliance-Frameworks aufgegriffen wurden. Ihr Fokus lag jedoch auf der schnellen Wissensvermittlung; nicht auf der nachhaltigen Anpassung von Verhalten. Doch die aktuelle Cyber-Bedrohungslage macht deutlich, dass das Erfüllen von Compliance-Anforderungen allein nicht genug ist.

Deshalb forderten Analysten und Security-Verantwortliche verstärkt einen ganzheitlichen Ansatz, mit dem sie menschlichen Sicherheitsrisiken bestimmen, bewerten, managen und letztlich minimieren können. Sie brauchen eine Lösung, die ergebnisfokussiert ist und das menschliche Verhalten als Ganzes versteht. Nur so kann eine Sicherheitskultur geschaffen werden, in der sicheres Verhalten zur Selbstverständlichkeit wird. Dieser Ansatz heißt Human Risk Management.

Bevor wir genauer darauf eingehen, was Human Risk Management im Detail umfasst, beginnen wir bei den Grundlagen – und zwar mit der Frage, warum SA&T heute nicht mehr funktioniert.

Zuerst die Basics: Was ist Security Awareness und Training und warum ist es heute nicht mehr effektiv?

Security Awareness and Training (SA&T) ist die branchenweit geläufige Bezeichnung für interne Programme und Initiativen, mit denen Unternehmen ihre Mitarbeitenden zu den verschiedenen Aspekten der IT-Sicherheit schulen.

Es lässt sich nicht genau feststellen, wann diese Bezeichnung zum ersten Mal verwendet oder etabliert wurde. Doch Anfang der 2000er-Jahre breitete sich das Konzept verstärkt aus – in einer Zeit, in der das Internet immer mehr zu einem Bestandteil unseres Alltags wurde und damit auch die Cyberangriffe zunahmen. Eine der offiziellen Quellen, die von „Security Awareness and Training“ sprach, war die Special Publication 800-50 mit dem Titel „Building an Information Technology Security Awareness and Training Program“, die 2003 vom National Institute of Standards and Technology (NIST) veröffentlicht wurde. Dieses Dokument enthielt einen Leitfaden zum Aufbau effektiver SA&T-Programme und erkannte die Wichtigkeit solcher Initiativen für die Cybersicherheit somit offiziell an.

Die Wirksamkeit der frühen Trainingsprogramme war jedoch stark begrenzt. Es fehlten interaktive Elemente, die für Motivation und Spannung sorgen und dadurch die Aufmerksamkeit der Lernenden halten und zu langfristigen Verhaltensänderungen führen. Und selbst als modernere Ansätze, wie Phishing-Simulationen und Nudging, integriert wurden, herrschten sogar 2020 in der Branche noch eher steinzeitliche Umstände: mit umfangreichen, aber generischen Videobibliotheken und Inhalten für die Allgemeinheit, die sich vor allem um Compliance drehten. Jinan Budge, VP, Principal Analyst bei Forrester, veröffentlichte im November 2021 einen Artikel genau zu dieser Thematik:

Ein Zitat von Jinan Budge, das veraltete Cybersicherheits-Anbieterbriefings von 2018 und 2019 kritisch betrachtet, denen der Fokus auf Verhaltensänderung sowie nützliche ROIs oder Metriken fehlten. Das brachte sie dazu, das Angebot des SA&T-Markts als veraltet und nicht zeitgemäß zu kritisieren.

2022 herrschte scheinbar bereits größeres Bewusstsein für die Tatsache, dass Organisation nicht nur Compliance-Anforderungen erfüllen, sondern sich zudem darauf fokussieren müssen, sicheres Verhalten bei ihren Mitarbeitenden zu fördern, eine Sicherheitskultur aufzubauen und menschliche Risiken zu überwachen. Auch Gartner verdeutlichte als Branchenexperte, dass Sicherheitsverantwortliche ihre Awareness-Programme auf die Ziele im Bereich Human Risk Management ausrichten sollten, anstatt allein auf regulatorische und Audit-fähige Compliance zu zählen. Doch ist die Ära, in der wir stumpf Checklisten mit veralteten und unklaren Compliance-Anforderungen abhaken, wirklich vorbei?

Die Antwort lautet: noch nicht ganz. Eine aktuelle NIST-Studie zeigte, dass 56 Prozent der Sicherheitsverantwortlichen Compliance immer noch als wichtigsten Erfolgsindikator für ihre SA&T-Programme betrachten. Gleichzeitig erkannten sie jedoch auch an, dass die Compliance keine Rückschlüsse auf den Erfolg im Hinblick auf die Anpassung von Verhalten und der persönlichen Einstellung zulasse. Bei der Frage, wie Organisationen die Effektivität ihrer Security-Awareness-Programme messen, stellte sich heraus, dass dazu vor allem die Abschlussquoten (84 %) und die Klickraten der Phishing-Simulationen (72 %) herangezogen wurden.

Grafik, die besagt, dass 55 % der Sicherheitsbeauftragten Compliance als wichtigsten Erfolgsindikator bei SA&T betrachten.

Das verdeutlicht, dass noch jede Menge Arbeit vor uns liegt, um Unternehmen weltweit wachzurütteln und dazu zu bringen, Cybersecurity über Compliance hinaus aus einer ganzheitlichen Perspektive zu betrachten. Das soll nicht heißen, dass Compliance an sich etwas Schlechtes ist. Sie ist wichtig, sollte aber nicht der alleinige Motivator sein. SA&T ist ein Mittel und keine Konsequenz. Wir müssen Human Risk Management mit einem ganzheitlichen Ansatz angehen und individuelle Strategien entwickeln, um Mitarbeitende effektiv zu motivieren – mit eindeutigen Metriken zur Messung der Verhaltensanpassungen und Risikominderung. Nur so können wir SA&T nach und nach transformieren und die Resilienz und Anpassungsfähigkeit von Organisationen insgesamt verbessern.

Genau darum geht es beim Human Risk Management. Und während wir bisher noch nicht ganz dort angekommen sind, zieht dennoch die gesamte Branche am selben Strang, damit sich dieser Ansatz branchenweit festigt.

Was versteht man genau unter menschlichen Risiken?

Wir haben in diesem Guide bereits einige Male „menschliche Risiken“ erwähnt, da sie ein entscheidendes Element des Human Risk Managements sind. Doch was versteht man eigentlich genau unter menschlichen Sicherheitsrisiken?

Um Human Risk als Konzept vollständig zu verstehen, müssen wir zwei Begriffe heranziehen: Schwachstelle und Bedrohung. Im Zusammenhang mit menschlichem Risiko beschreiben Schwachstellen die Anfälligkeit einer Person für Handlungen, die potenziell zu einem Sicherheitsvorfall führen könnten – sei es aufgrund von fehlender Awareness, technischen Einschränkungen, schlechtem Urteilsvermögen oder durch menschliches Versagen. Ein Mitarbeitender kann beispielsweise für Phishing angreifbar sein, weil er nicht weiß, wie solche Scams ablaufen. Bedrohung bezieht sich hingegen auf den Ursprung eines für das System oder Unternehmen schädlichen Sicherheitsvorfalls. Eine Bedrohung können Social-Engineering-Taktiken, wie Phishing, Spear-Phishing oder Pretexting sein, die auf den Faktor Mensch abzielen. Ein weiteres Szenario zur Veranschaulichung:

Grafik stellt unsichere Passwortgewohnheiten als „Schwachstelle“ dar und zeigt als „Bedrohung“ einen Hacker, der versucht, diese Schwachstelle auszunutzen.

Das menschliche Risiko liegt zwischen diesen beiden Konzepten, denn es bemisst, wie angreifbar eine Organisation gegenüber Verlusten, Schäden oder anderen unerwünschten Folgen ist, die auf eine durch eine Bedrohung ausgenutzte Schwachstelle zurückzuführen sind. Anders ausgedrückt:

Definition von menschlichem Risiko als Ausmaß, in dem „die Security Awareness, Verhaltensweisen und das menschliche Versagen bzw. Nicht-Handeln der Mitarbeitenden zu Sicherheitsvorfällen und damit verbundenen potenziellen Verlusten und Schäden für die Organisation führen können.“

Ein neues Marktsegment: Was ist Human Risk Management?

Nachdem wir die Begriffe SA&T, Schwachstelle, Bedrohung und menschliche Risiken definiert haben, lässt sich einfacher aufzeigen, was Human Risk Management ausmacht. Vielleicht sind Ihnen schon mal die Bezeichnungen „Security Behavior and Culture Programs“ (SBCPs) oder „Human Detection and Response“ begegnet, die sich auf dasselbe Konzept beziehen. Der Begriff „Human Risk Management“ wurde im Artikel „The Future Is Now: Introducing Human Risk Management“ von Forrester geprägt, wo er wie folgt definiert ist:

Definition von Human Risk Management nach Forrester, die wie folgt lautet: „Lösungen zur Verwaltung und Reduzierung von Sicherheitsrisiken, die von Menschen ausgehen und auf diese abzielen, durch: 1) Identifizieren und Messen sicheren Verhaltens und Bewerten der menschlichen Risiken; 2) Einführen von Richtlinien und auf menschliche Risiken ausgerichteten Schulungsinterventionen; 3) Sensibilisierung und Befähigung der Mitarbeitenden zu ihrem eigenen Schutz und dem der Organisation vor Cyberbedrohungen; 4) Aufbau einer positiven Sicherheitskultur.“

Aus dieser Definition geht dieselbe Botschaft hervor, wie bereits oben erwähnt: Einfache Awareness-Maßnahmen sind nicht genug, um eine echte Risikominderung zu erzielen. Traditionelle Awareness-Programme, die auf Sensibilisierung und Wissensübermittlung ausgelegt sind, klären die Lernenden über potenzielle Bedrohungen und mögliche Response-Strategien auf. Ein solcher Ansatz funktioniert in unserer dynamischen Welt jedoch meist nicht mehr. Die schnelllebige Cyber-Bedrohungslage von heute erfordert ganzheitliches Human Risk Management, das ergebnisfokussiert ist und auf verhaltenspsychologischen Prinzipien aufbaut. Es geht nicht nur darum, Wissen zu vermitteln, sondern menschliches Verhalten als Ganzes zu verstehen – dazu gehören auch die zugrunde liegenden Hintergründe und Treiber und wie diese zum Ausdruck kommen. Ziel ist es, eine Sicherheitskultur zu schaffen, in der jeder Einzelne – mit Hilfe verhaltenspsychologischer Methoden und neuester Technologie – sicheres Verhalten verinnerlicht.

Human Risk Management (HRM) ist eine evidenzbasierte Trainingsmethode, die gezielte Maßnahmen basierend auf dem individuellen Risikoprofil einer Person ermöglicht. Basierend auf empirischen Daten und einem wissenschaftlichen Fundament lässt diese Methode eine präzise Bestimmung der menschlichen Schwachstellen zu. Dabei werden vergangene Sicherheitsvorfälle analysiert, User-Aktivität im Netzwerk überwacht und wiederkehrende Verhaltensmuster identifiziert, die zur Erhöhung des Risikos beitragen.

Um dieses neue Konzept aus allen Winkeln zu beleuchten, sehen wir uns im Folgenden jedes der vier Elemente aus der Definition von Forrester im Einzelnen an.

Der erste Schritt: Identifizieren und Messen von Verhalten und Bewerten des menschlichen Risikos

Traditionelle Security-Awareness-Lösungen zogen zur Messung des Risikos lange Zeit eingeschränkte Aktivitätsmetriken heran. Dabei wurde oft ein essentieller Aspekt vernachlässigt: Wie effektiv reduziert die Trainingslösung tatsächlich die Angreifbarkeit gegenüber Cyberbedrohungen? Das Verfolgen von Abschlussquoten und Prüfungsergebnissen bietet zwar Rückschlüsse auf das Engagement und den Wissenserwerb – jedoch nicht automatisch auf die erzielte Verhaltensänderung oder Risikominderung. Deshalb geht HRM über grundlegende Aktivitätsmetriken hinaus und berücksichtigt detailliertere, aussagekräftige Risikometriken, die den Wirkungsgrad der Trainingsmaßnahmen im Hinblick auf die Reduzierung realer Cyber-Sicherheitsrisiken messen.

Grafik vergleicht „Aktivitätsmetriken“ wie Phishing-Klickraten mit „Risikometriken“ wie die geschätzten finanziellen Folgen eines Datenschutzverstoßes.

SoSafe entwickelte den Human Security Index (HSI) gezielt, um menschliche Sicherheitsrisiken innerhalb einer Organisation präzise bewerten zu können, indem potenziell gefährliches Verhalten erkannt und damit verbundene Risiken bestimmt werden. Durch die Identifizierung der Bereiche mit dem höchsten Risikofaktor, die verschiedene Teams innerhalb einer Organisation umfassen können, haben CISOs die Möglichkeit, Risiken durch spezifische Maßnahmen effektiv zu minimieren. Wenn zum Beispiel riskantes Verhalten in bestimmten Abteilungen auffällt – wie die Eingabe von personenbezogenen Daten in generative KI-Tools, das Teilen sensibler Informationen über ungesicherte Netzwerke oder die Nutzung schwacher oder identischer Passwörter – kann durch gezielte Interventionen bzw. Schutzmaßnahmen eine schnelle Verhaltensänderung erzielt werden.

Das Daten-Dashboard von SoSafe mit Risk Score basierend auf verschiedenen Parametern, wie Awareness, Verhalten und Kultur.
Analytics-Daten im SoSafe-Dashboard 

Die oben erwähnten Maßnahmen bringen uns zum zweiten Teil der Definition, in dem es genau darum geht.

Einführen von Richtlinien und auf menschliche Risiken ausgerichteten Trainingsmaßnahmen

Das Bewerten des Sicherheitsrisikos ist nur ein Teil der Gleichung; um proaktiv Sicherheitsmaßnahmen zu ergreifen, müssen wir durch Interventionen zielgerichtet auf die erkannten Schwachstellen und Bedrohungen eingehen. Wenn das Dashboard beispielsweise eine bestimmte Wissenslücke aufzeigt und erkenntlich wird, dass eine bestimmte Personengruppe durch ihr Verhalten das Risiko der Organisation erhöht, dann können CISOs die Lernerfahrung durch Trainingsmaßnahmen auf diese Erkenntnisse abstimmen – zum Beispiel durch Nudging dieser Mitarbeitenden über unseren AI-basierten Chatbot. Auch der Schwierigkeitsgrad und die verhaltenspsychologischen Vektoren der Phishing-Simulationen sind an das individuelle Risiko und Verhalten anpassbar. SoSafe bietet beispielsweise die Möglichkeit, Nutzergruppen mit hohem Risiko – wie Finanzabteilung, HR, Sicherheitsteams, Führungsebene und Engineering – personalisierte Phishing-Simulationen bereitzustellen. Doch das ist erst der Anfang, denn mögliche Schulungsmaßnahmen gibt es so viele wie potenzielle Risiken. Die effektivste Herangehensweise besteht darin, die Maßnahmen nach dem jeweiligen Risiko zu priorisieren. Im folgenden Screenshot sehen Sie beispielhaft vier verschiedene Interventionen, die Sie über die SoSafe-Plattform registrieren und auslösen können.

Smartphone, auf dem der Interventions Hub von SoSafe zu sehen ist.
SoSafe Interventions Hub 

Tiefere Einblicke in Nutzerverhalten dank Integrationen

Es hat eine geradezu transformierende Wirkung, eine ganzheitliche Sicht auf Sicherheit einzunehmen und detaillierte Einblicke in das Verhalten unserer Teams zu gewinnen. Dazu gehört auch, Daten aus dritten Quellen heranzuziehen und sicherzustellen, dass wir alle uns zur Verfügung stehenden Technologien ausschöpfen, um die Risiken verschiedenster Organisationen zu bestimmen und zu bewerten. Aus dieser Bemühung, verschiedene Security Tools zu verbinden und zu nutzen, entstand ein Konzept, das Gartner als „Cybersecurity Mesh“ bzw. „Cybersecurity-Mesh-Architektur“ (CSMA) bezeichnete.

Ein integrativer Ansatz, der einen entscheidenden Wandel hin zu einem kollaborativen und vernetzten Sicherheits-Framework darstellt und das Potenzial von Integrationen innerhalb eines Netzwerks aus Security-Tools und Kontrollen hervorhebt. Durch die Zentralisierung des Datenmanagements und der Kontrollmechanismen können diese Tools nahtlos zusammenarbeiten. Es entsteht eine starke Security-Infrastruktur, die ausgefeilte Detection-Funktionen bietet, die Response vereinfacht, eine konsistente Verwaltung von Richtlinien, Sicherheitskultur und Protokollen gewährleistet, und eine adaptivere, granulare Zugriffsüberwachung umfasst.

Diese Philosophie ist Teil des Human Risk Managements: Idealerweise sollte jede HRM-Plattform die Integration mit dem restlichen Tech-Stack ermöglichen. Nur so ist ein ganzheitlicher Blick auf die Sicherheitskultur und die Entwicklung der nötigen Schulungsmaßnahmen möglich. Nach diesem Prinzip bietet die SoSafe-Plattform unter anderem folgende Integrationen: 

  • Microsoft 365 als Kollaborationstool und zur Data Loss Prevention (z. B. Teilen persönlicher Daten) sowie für die Response auf reale Phishing-Simulationen;  
  • Microsoft Entra als Lösung für Identitätsereignisse (z. B. Geschäftsreisen, Identitätsdiebstahl) und zur Authentifizierung (z. B. MFA, Password Spraying etc.);  
  • und Microsoft Defender unter anderem zur Endpoint Protection (z. B. Antivirus).

Sensibilisierung und Befähigung der Mitarbeitenden zu ihrem eigenen Schutz und dem der Organisation

Beim Human Risk Management steht die Schulung und Befähigung der Teams im Mittelpunkt, sodass sie sich selbst und die Organisation effektiv und selbstbewusst schützen können. Ohne das geht es nicht und darauf machen wir bei SoSafe schon seit Langem aufmerksam. Einer der effektivsten Hebel, um einen hohen Wirkungsgrad des Trainings sicherzustellen und kontinuierliches Security Management zu ermöglichen, ist die Anwendung verhaltenspsychologischer Prinzipien in jeder einzelnen Lernerfahrung. Dieser Ansatz birgt massive Vorteile – und ihn zu vernachlässigen immense Risiken.

Einer der Hauptgründe, die für diesen Ansatz sprechen: Traditionelle Cyber Security Trainingsmethoden mit standardisierten Checklisten und Lerninhalten funktionieren heute nicht mehr. Sie führen oft zu einem rapiden Rückgang beim User-Engagement und Wissenserhalt, wie die Vergessenskurve nach Dr. Ebbinghaus veranschaulicht. Dieser Theorie zufolge vergessen Lernende schon innerhalb der ersten sieben Tage 90 Prozent des Erlernten. Das gilt insbesondere dann, wenn User ihre Lernroutine und -häufigkeit unterbrechen.

Die Vergessenskurve nach Ebbinghaus

Es gibt jedoch Möglichkeiten, die Mitarbeitenden dazu zu motivieren, beim Lernen am Ball zu bleiben und sich Wissen so nachhaltiger einzuprägen. Beim Spaced Learning wird Wissen kontinuierlich in kleinen Portionen über verschiedene Kanäle, wie E-Mail und Kommunikationstools, vermittelt und so immer wieder aktiv wiederholt. Das setzen wir beispielsweise über unseren AI-basierten Chatbot um, der Nudging über mehrere Kanäle ermöglicht und die Sicherheitskultur durch stetige Kommunikation stärkt.

Das „beiläufige“ Lernen (auch Incidental Learning) ist ein weiteres Element verhaltensbasierter Security-Trainings, das – ähnlich wie das Nudging – das Lernen in alltäglichen Situationen fördert. In einer Zeit, in der wir von Informationen überflutet werden und Zeit Mangelware ist, macht das Bereitstellen von Inhalten in kleinen Einheiten und genau im richtigen Moment den entscheidenden Unterschied. Das perfekte Beispiel ist eine Lernseite, die direkt nach dem Klick auf eine Phishing-Simulationsmail angezeigt wird. Security ​Awareness Training, das in leicht verdaulichen 5-Minuten-Einheiten vermittelt wird, lässt sich problemlos in den Arbeitsalltag integrieren und gewährleistet einen stetigen Lernfortschritt, ohne die Lernenden zu überfordern. Doch Incidental Learning umfasst noch mehr. Studien zeigen, dass Menschen schneller aus Fehlern lernen als aus der Theorie; Phishing-Simulationen bieten einen sicheren Raum, in dem man sich einen Fehler erlauben darf – und dann daraus lernen kann.

Gamification: Ein verhaltenspsychologisches Tool mit starker Wirkung

Der Wechsel von traditionellen Modellen hin zu einer interaktiven Lernerfahrung steigert nicht nur den Lernerfolg, sondern auch die Motivation und den Spaßfaktor. Die von Csikszentmihalyi entwickelte Flow-Theorie bestätigt diese Behauptung: Sie spricht von einem Zustand von erhöhtem Fokus und vollständigem Eintauchen in Aktivitäten, die als positiv und gleichzeitig herausfordernd empfunden werden. Gamification-Elemente, die an das Wissenslevel des Lernenden angepasst sind, können zu diesem Flow-Zustand führen und das Lernen angenehmer und effektiver machen. Außerdem gaben bei einer Umfrage der Trainingsplattform Talent LMS mehr als 80 Prozent der Teilnehmenden an, dass Gamification-Elemente das Lernen erleichterten und eine stärkere Verbindung zu den Inhalten herstellten.

Kurz gesagt: Um eine starke Cyber-Sicherheitskultur zu erzielen, müssen wir eintönige Inhalte in eine unterhaltsame Lernerfahrung verwandeln, sodass Motivation und Security Awareness im Gleichschritt wachsen können. Aus unseren eigenen Produkten gezogene Daten bestätigen: Immersive Storytelling-Elemente und Deep-Gamification erhöhen die Aktivierungsrate um 54 Prozent.

Grafik zur durchschnittlichen Aktivierungsrate in Monaten seit Beginn.

Personalisiertes Lernen verbessert die Time-to-Awareness genauso wie die Nutzererfahrung

Um eine starke Sicherheitskultur aufzubauen, ist ein personalisierbares Trainingsprogramm erforderlich, das die individuellen Risiken und Aufgaben einzelner Personen innerhalb einer Organisation berücksichtigt. Führungskräfte, die stark auf ihr Firmenhandy angewiesen sind, brauchen Trainingseinheiten, die über die Risiken für mobile Geräte aufklären und wie sie richtig darauf reagieren. Genauso ist für die IT-Abteilung spezifisches Cybersicherheits-Wissen entscheidend, das für andere Abteilungen nicht relevant ist.

Indem wir Lerninhalte auf die einzigartigen Herausforderungen einzelner Personen und ihre Security Awareness abstimmen, schaffen wir eine effektivere und gleichzeitig unterhaltsamere Lernerfahrung. Laut einer Studie von Towards Maturity wünschen sich 77 Prozent der Lernenden Inhalte, die für ihre Position relevant sind. Aus diesem Grund legt dieser verhaltensbasierte Ansatz den Fokus auf die Mitarbeitenden, spricht ihre einzigartigen Herausforderungen an und stellt Informationen bereit, die auf ihre Positionen, Profile und Awareness-Ebenen abgestimmt sind.

Positive Bestärkung als effektivstes Mittel zur Befähigung von Mitarbeitenden

Traditionelle Security-Awareness-Programme betrachten den Menschen in erster Linie als schwächstes Glied in der Cyberverteidigung von Unternehmen. Daraus entstand eine durch Schuldzuweisungen und Ängste geprägte Lernkultur. Die Psychologie lehrt uns jedoch, dass solches Verhalten zu erlernter Hilflosigkeit führen kann – ein von Seligman entwickeltes Konzept. Dieser Theorie zufolge entsteht ein Zustand, in dem eine Person der Auffassung ist, keine Kontrolle über ihre Situation zu haben, was zu Passivität und Depressionen führen kann. Anstatt selbstbestimmt zu handeln und Teil der Lösung zu werden, glauben die Betroffenen nicht an eine mögliche Lösung und führen ein durch Ängste geprägtes Leben. Wir bei SoSafe glauben an die Kraft der positiven Bestärkung zur Befähigung der Mitarbeitenden – sei es durch personalisierte, relevante und interaktive Lerninhalte, kontinuierliche Feedbackschleifen oder Anerkennung.

Durch konstruktives, unterhaltsames und auf reale Situationen abgestimmtes Training kultivieren Unternehmen eine Sicherheitskultur, die sich durch proaktives Handeln auszeichnet und den Mitarbeitenden ermöglicht, Bedrohungen verantwortungs- und selbstbewusst abzuwehren. Diese Art der Befähigung baut auf der Ansicht auf, dass Menschen, die sich kompetent und wertgeschätzt fühlen, eher dazu neigen, proaktiv und richtig zu handeln. Durch gamifizierte Lernerfahrungen und realistische Simulationen eignen sich Mitarbeitende wichtiges Wissen im Bereich Cybersicherheit an und gewinnen gleichzeitig das Vertrauen, dass sie durch ihre Fähigkeiten zur Sicherheit der gesamten Organisation beitragen können. In regelmäßigen Feedbackgesprächen mit Mitarbeitenden können Sie ihre Fortschritte und ihren aktiven Beitrag anerkennen, Bereiche mit Verbesserungspotenzial aufzeigen und ein Gefühl des Erfolgs und Zusammenhalts schaffen.

Hinzu kommt, dass ein offenes, durch gegenseitigen Support geprägtes Umfeld Mitarbeitende motiviert, ihre Erfahrungen miteinander auszutauschen und so voneinander zu lernen. Wir sind überzeugt: Indem wir von Beschuldigung zu Befähigung umdenken, können wir den Faktor Mensch von einer Schwachstelle in einen starken Verbündeten im Kampf gegen Cyberbedrohungen verwandeln.

Mehr Security Champions für mehr Kompetenz in digitaler Sicherheit

In seiner sozialkognitiven Lerntheorie verdeutlichte Bandura, dass Menschen lernen, indem sie andere Menschen beobachten, imitieren und nachahmen. Im Bereich der Cybersecurity können positive Vorbilder, wie Kollegen, die konsistent sicheres Verhalten zeigen, den Lernprozess fördern und sichere Gewohnheiten festigen. Wir bei SoSafe sind von der starken Wirkung dieser Theorie überzeugt. Deshalb werden auf unserem Analytics-Dashboard Mitarbeitende mit besonders guter Leistung hervorgehoben, damit Sie sie zu Security Champions ernennen können. So schaffen Sie eine starke Verteidigungslinie und machen Cybersicherheit zu einer gemeinsamen Verantwortung.

Screenshot von SoSafes Dashboard, das das Klickverhalten nach Nutzergruppe zeigt.

Sicherheitskultur als Schlüsselfaktor zur Minimierung menschlicher Risiken

Das alles läuft auf eines hinaus: Das Endziel ist der Aufbau einer starken Sicherheitskultur, denn nur mit ihr können wir menschliche Risiken effektiv minimieren. Das sichere Verhalten der Mitarbeitenden – wie dass sie den Bildschirm sperren, wenn sie ihren Schreibtisch verlassen, die IT-Abteilung zeitnah über Zwischenfälle informieren oder ihre E-Mails auf verdächtige Aktivitäten scannen – trägt zum Schutz der Organisation bei. Ob solche sicheren Gewohnheiten tagtäglich zuverlässig ausgeführt werden, hängt von der Sicherheitskultur in Ihrer Organisation ab. Doch was bedeutet „Sicherheitskultur“ eigentlich genau?

Definition einer Cyber-Sicherheitskultur als „Reihe von Werten, Überzeugungen und Verhaltensweisen, die eine Organisation annimmt, um ihre Sicherheit zu stärken.“

Bei SoSafe haben wir das Behavioral-Security-Modell entwickelt, das über traditionelle Sicherheitsansätze hinaus geht, indem die Sicherheitsstrategie um den Faktor Mensch herum aufgebaut wird. Diesem Modell zufolge können wir nur dann eine nachhaltige Sicherheitskultur erreichen, wenn wir Mitarbeitende nicht als potenziellen Risikofaktor oder größte Schwachstelle betrachten – sondern als stärksten Glied unserer Verteidigungskette.

Das Behavioral-Security-Modell baut auf vier Dimensionen auf: Wissen, Kontext, Motivation und Verhalten. Diese Dimensionen sind keine isolierten Einheiten, sondern ein vernetztes System, das Mitarbeitende zu proaktivem Handeln anregt. Dieses Modell hat das Ziel, die Beziehung zwischen Mitarbeitenden und Cybersecurity in jedem Aspekt ganzheitlich zu stärken. Aus dem Zusammenspiel der vier Dimensionen entsteht eine robuste Verteidigungslinie, die die Sicherheit einzelner Personen und der gesamten Organisation verbessert.

Grafik mit den vier Komponenten einer starken Sicherheitskultur: Kontext, Wissen, Verhalten und Motivation.

Im Folgenden finden Sie eine Zusammenfassung der vier Dimensionen und wie sie mit den zuvor beschriebenen psychologischen Theorien und Konzepten in Verbindung stehen. Diese vier Komponenten ebnen gemeinsam den Weg hin zu einer starken, auf Human Risk Management fokussierten Sicherheitskultur. Wenn Sie mehr über das Modell erfahren möchten, lesen Sie unseren Blogpost „Aufbau einer starken Sicherheitskultur: das Behavioral-Security-Modell“:

  • Wissen umfasst die Kenntnis der aktuellen Angriffstrends und Bedrohungen sowie der sicheren Verhaltensweisen, die durch ein solides Lernprogramm bzw. kontinuierliches Awareness-Training mittels kontextbezogener Inhalte vermittelt werden.
  • Kontext macht sicheres Verhalten im Zusammenhang mit den individuellen Aufgaben des Mitarbeitenden greifbar und hebt die Wichtigkeit einer personalisierten Lernerfahrung und relevanter Inhalte hervor.
  • Motivation bringt Mitarbeitende durch positive Bestärkung (wie Belohnungen oder Anerkennung) dazu, sicheres Verhalten zu übernehmen.
  • Verhalten umfasst die Integration sicherer Verhaltensweisen in den Arbeitsalltag und das Etablieren sicherer Gewohnheiten bei den Mitarbeitenden.

Wie hilft Ihnen SoSafe, menschliche Risiken zu minimieren?

SoSafe ist die führende Human-Risk-Management-Plattform. Mit ihrem verhaltenspsychologischen Fundament und dem Menschen im Fokus stellt sie sicher, dass die Lernenden sicheres Verhalten verinnerlichen. Wir sind überzeugt, dass Menschen von Natur aus das Richtige tun wollen, dabei manchmal jedoch Unterstützung benötigen. In der heutigen eskalierenden Cyber-Bedrohungslage und im Angesicht KI-getriebener Professionalisierung der Cyberkriminalität ist das wichtiger denn je. Wir wollen die weltweite digitale Selbstverteidigung stärken, indem wir Sicherheitskulturen aufbauen und menschliche Sicherheitsrisiken reduzieren – immer mit den Mitarbeitenden im Mittelpunkt.

Mitarbeitende müssen über das nötige Wissen im Bereich Cybersicherheit verfügen, im richtigen Kontext lernen, motiviert sein, ihren Teil beizutragen, und sicheres Verhalten verinnerlichen – nur so kann eine starke Sicherheitskultur entstehen. SoSafe unterstützt Organisationen bei der praktischen Umsetzung der vier Dimensionen des Behavioral-Security-Modells. Dabei sorgen die personalisierten und gamifizierten Lernmodule unserer E-Learning-Plattform dafür, dass das Cybersicherheits-Wissen der Teams geschärft wird. Unsere auf reale Situationen abgestimmten personalisierten Phishing-Simulationen umfassen von E-Learning-Experten erstellte Lernseiten, die das Trainingsprogramm noch effektiver machen. Das Zusammenspiel aus kontinuierlichem Lernen und Phishing-Simulationen hilft Mitarbeitenden, sicheres Verhalten im Arbeitsalltag umzusetzen. Während sich dieses Verhalten zu sicheren Gewohnheiten festigt, sinkt das Sicherheitsrisiko der Organisation und die Fähigkeit, schnell auf Sicherheitsvorfälle zu reagieren, wird optimiert.

Praktische Tools wie der Phishing-Meldebutton ermöglichen Mitarbeitenden, Erlerntes in der Praxis anzuwenden und aktiv zum Schutz des gesamten Unternehmens beizutragen. Doch es geht noch weiter: Dank unseres AI-basierten Chatbots Sofie können Sie Ihre Mitarbeitenden schnell und einfach in Ihren Kollaborationstools erreichen. Aktivieren Sie Rapid-Micro-Learning und halten Sie mit Cyberbedrohungen Schritt, schicken Sie Ihren Teams Alerts zu den neuesten Angriffsmaschen und machen Sie sie so zu Ihrer stärksten Verteidigungslinie.

Darüber hinaus ermöglicht Ihnen unser Risk Scoring und Culture Automation-Dashboard, eigene sowie Drittdaten einzuspeisen, Aktivitäts- und Risikometriken zu verfolgen, menschliche Sicherheitsrisiken zu bewerten, Schwachstellen zu identifizieren und datenbasierte Entscheidungen zu treffen – alles an einem zentralen Ort.

Bleiben Sie Cyberkriminellen immer einen Schritt voraus

Melden Sie sich für unseren Newsletter an, um die neuesten Beiträge zum Thema Informationssicherheit sowie News zu Events und Security-Ressourcen zu erhalten.
Immer up-to-date – immer sicher!

Newsletter visual