Wir führen Security Awareness Training durch – warum sinkt das Risiko trotzdem nicht?

Training läuft. Metriken sehen gut aus. Das Risiko sinkt trotzdem nicht. Warum die meisten Programme stagnieren und wie sich Wirkung wirklich messen lässt.

Post hero image

Inhalt

Hoxhunt in Aktion erleben
Verbessere deine Kennzahlen für Security Awareness und Phishing-Trainings  und automatisiere gleichzeitig den gesamten Trainingslebenszyklus.
Demo buchen
Updated
June 11, 2026
Written by
Fact checked by

Die meisten Security Teams kennen das.

Training läuft. Mitarbeitende schließen die Module ab, Phishing-Simulationen werden verschickt. Auf dem Papier macht die Organisation genau das, was sie tun soll.

Doch das Risiko fühlt sich nicht geringer an. Sicherheitsvorfälle passieren weiterhin, dieselben Fehlertypen tauchen immer wieder auf – und wenn jemand fragt, ob das Programm den menschlichen Risikofaktor tatsächlich reduziert, fällt die Antwort weniger klar aus als sie sein sollte.

Das ist die Spannung, die viele Security Awareness Programme prägt: Aktivität ist sichtbar, aber Risikoreduktion lässt sich kaum belegen.

In diesem Beitrag zeigen wir, warum das so ist: wie niedrige Fehlerraten ungetestete Nutzende verbergen, wie Durchschnittswerte konzentrierte Risikofelder verschleiern, warum Abschlussmetriken oft falsche Sicherheit erzeugen und was sich verändert, wenn man beginnt, Human Risk statt Training-Aktivität zu messen.

Die Aktivitäts-Komfortillusion

Das Irreführendste an Security Awareness Training ist, dass es ein starkes Fortschrittsgefühl erzeugen kann, bevor es tatsächlich zur Risikoreduktion beiträgt.

Das liegt daran, dass Training-Aktivität hochgradig sichtbar ist. Es lassen sich Folgendes erfassen:

  • Abschlussquoten
  • Versendete Phishing-Kampagnen
  • Bestätigte Richtlinien
  • Quizergebnisse
  • Dashboards, die sich mit Daten füllen

All das lässt das Programm aktiv, organisiert und kontrollierbar wirken. Und diese Dinge haben durchaus Bedeutung: Findet überhaupt kein Training statt, ist das ein Problem. Grundlegende Awareness, Richtlinienschulung und Phishing-Simulationen spielen alle eine Rolle.

Aktivität ist jedoch nicht dasselbe wie Risikoreduktion. Ein Programm kann viel Betrieb zeigen, ohne besonders wirksam zu sein. Mitarbeitende können Trainings abschließen, ohne ihr Verhalten zu ändern. Eine Phishing-Kampagne kann planmäßig laufen, ohne viel über reale Exponierung auszusagen.

Genau hier stecken viele Teams fest. Sie führen das Training durch, erfüllen die Compliance-Anforderungen und halten das Programm am Laufen, aber darunter verbessern sich die entscheidenden Signale (Erkennung, Meldung, Reaktionsgeschwindigkeit, Rückgang riskanter Verhaltensweisen) möglicherweise nicht im selben Maß.

Das ist die Aktivitäts-Komfortillusion: Sie vermittelt Organisationen das beruhigende Gefühl, Risiko werde gemanagt, weil Training stattfindet. In der Praxis beweist das Programm möglicherweise nur, dass Mitarbeitende Security-Inhalten ausgesetzt wurden – nicht, dass die Organisation tatsächlich sicherer geworden ist.

Wenn das passiert, liegt das Problem meist nicht am fehlenden Einsatz. Es liegt daran, dass das Programm Beteiligung an Awareness misst --> nicht Exponierung gegenüber Risiko.

Wenn Training-Aktivität mit Risikoreduktion verwechselt wird

Security Awareness Training wirkt oft effektiv, weil es sichtbare Ergebnisse produziert. Aber diese Ergebnisse spiegeln nicht zwingend ein gesunkenes Human Risk wider.

Die meisten Programme basieren auf einem klaren Aktivitätensatz: jährliche oder quartalsweise Trainingsmodule, Phishing-Simulationen, Richtlinienbestätigungen. Diese lassen sich leicht messen, leicht berichten und leicht gegenüber dem Management rechtfertigen. Wenn diese Zahlen gut aussehen, liegt der Schluss nahe, dass das Programm funktioniert.

Hier beginnt jedoch die Diskrepanz:

  • Abschlussquoten zeigen, dass Mitarbeitende das Training gesehen haben – nicht, ob sie ihr Verhalten geändert haben.
  • Eine sinkende Klickrate zeigt, dass weniger Nutzende mit einer Simulation interagiert haben – nicht, ob Mitarbeitende echte Bedrohungen erkennen oder nur offensichtliche Test-E-Mails meiden.

Phishing-Simulationen selbst können diese Illusion verstärken. Wenn sie vorhersehbar, selten oder zu einfach sind, werden sie zu etwas, das Mitarbeitende lernen zu „bestehen" – nicht zu etwas, das echte Erkennungskompetenz aufbaut.

Training-Aktivität wird oft als Proxy für Risikoreduktion verwendet, weil sie messbar ist – nicht weil sie aussagekräftig ist.

Mit der Zeit entsteht daraus eine subtile, aber folgenreiche Verschiebung:

  • Erfolg wird über hohe Abschlussquoten definiert, nicht über Verhaltensänderung
  • Simulationen werden beherrschbar gestaltet, nicht realistisch
  • Metriken werden berichtsfähig, nicht handlungsorientiert

Das Ergebnis: ein Programm, das auf dem Dashboard gesund aussieht, aber die Wahrscheinlichkeit oder Auswirkung eines echten Angriffs nicht zwingend senkt. Selbst wenn Metriken stark erscheinen, können sie große Bereiche nicht gemessenen Risikos verbergen.

Niedrige Fehlerquoten können eine große ungetestete Population verstecken

Eine niedrige Phishing-Fehlerquote sieht oft nach Erfolg aus. In vielen Programmen bedeutet sie jedoch schlicht, dass große Teile der Belegschaft nie wirklich getestet wurden.

Die meisten Dashboards heben dieselbe Kennzahl hervor: die Klickrate. Sinkt sie, gilt das als Zeichen sinkenden Risikos.

In vielen Awareness-Programmen tun jedoch viele Mitarbeitende schlicht nichts, wenn sie eine Phishing-Simulation erhalten. Sie klicken nicht , aber sie melden auch nicht. Sie ignorieren die E-Mail einfach.

Das erzeugt eine sogenannte „Miss Rate" – den Anteil der Nutzenden, die weder interagieren noch melden. In manchen Programmen kann diese Zahl überraschend hoch sein.

  • Mitarbeitende, die E-Mails ignorieren, werden als „sicher" gezählt
  • Nutzende, die selten getestet werden, tauchen in Ergebnissen nie auf
  • Neue Mitarbeitende oder Nutzende mit geringer Frequenz werden möglicherweise nie sinnvoll bewertet

Die Fehlerrate sinkt also, aber nicht unbedingt, weil sich das Verhalten verbessert hat. Sie sinkt, weil die Messung unvollständig ist.

Ein Programm kann eine Fehlerquote von 4 % melden, was stark klingt. Wenn 60–70 % der Nutzenden jedoch faktisch ungetestet sind, bildet diese Zahl nur einen kleinen Ausschnitt der realen Exponierung ab.

Hinzu kommt: Wenn Simulationen vorhersehbar oder wenig anspruchsvoll sind, können Mitarbeitende lernen, sie zu umgehen, ohne ihre Erkennungskompetenz tatsächlich zu verbessern. Sie erkennen das Muster, nicht die Bedrohung.

Eine niedrige Fehlerquote informiert nur über sichtbare Fehler. Sie sagt nichts darüber aus, wie viel Risiko noch im Verborgenen liegt. Um das zu verstehen, muss der Blick über Klicks hinausgehen –> auf die gesamte Population, einschließlich der Nutzenden, die überhaupt nicht interagieren.

Denn dort sitzt das Risiko oft still, ungemessen und unbehandelt.

Wie Risiko sich still aufbaut, auch wenn Training läuft

Selbst bei aktivem Security Awareness Training kann Risiko unter der Oberfläche weiter wachsen. Das passiert, wenn Wissen vermittelt, aber nicht gefestigt, gemessen oder in Verhalten übersetzt wird. Im Laufe der Zeit summieren sich kleine Lücken zwischen dem, was Mitarbeitende wissen, und dem, was sie tatsächlich tun, zu echter Exponierung.

Die Lücke zwischen Wissen und Verhalten wächst mit der Zeit

In frühen Trainingsphasen lernen Mitarbeitende, wie Phishing aussieht und wie sie reagieren sollen. Ohne kontinuierliche Wiederholung verblasst dieses Wissen jedoch schnell.

  • Bis zu 50–70 % neuer Informationen werden ohne Wiederholung innerhalb weniger Tage vergessen
  • Mitarbeitende erkennen Bedrohungen konzeptuell, handeln aber in realen Drucksituationen trotzdem impulsiv

Das erzeugt ein gefährliches Muster: Awareness ist vorhanden, aber das Entscheidungsverhalten unter Druck verbessert sich nicht. Mitarbeitende scheitern nicht, weil sie es nicht wissen – sie scheitern, weil sich ihr Verhalten nicht verändert hat.

Kleine riskante Verhaltensweisen summieren sich in der gesamten Organisation

Risiko entsteht selten durch einen großen Fehler. Es baut sich durch Tausende kleiner Handlungen auf:

  • Klicken ohne Kontextprüfung
  • Verdächtige E-Mails ignorieren statt melden
  • Passwörter wiederverwenden oder Kontrollmechanismen umgehen
  • Intern wirkenden Nachrichten zu schnell vertrauen

Einzeln erscheinen diese Handlungen harmlos. In der Summe erzeugen sie einen „Tod durch tausend Klicks". Deshalb können Organisationen konsistent Training durchführen und trotzdem Vorfälle erleben.

Trainingsfrequenz hält nicht mit der Bedrohungsentwicklung Schritt

Angreifende entwickeln sich kontinuierlich weiter. Die meisten Trainingsprogramme tun das nicht.

  • Neue Taktiken (KI-generiertes Phishing, QR-Codes, Thread-Hijacking) entstehen schnell
  • Trainingsinhalte werden oft jährlich oder quartalsweise aktualisiert
  • Simulationen hinken der Raffinesse realer Angriffe hinterher

Das Ergebnis: Mitarbeitende werden auf gestrige Bedrohungen trainiert, während sie heutigen Angriffen begegnen. In dieser Lücke akkumuliert sich das Risiko.

Psychologische Faktoren untergraben Training still

Auch wenn Mitarbeitende Training abschließen, erzeugt menschliches Verhalten Reibung:

  • Selbstzufriedenheit: „Ich habe das Training gemacht, ich weiß das schon"
  • Kognitive Überlastung: Sicherheitsentscheidungen fallen in vollen Arbeitsabläufen
  • Angst, falsch zu liegen: reduziert das Meldeverhalten
  • Gewohnheitsüberschreibung: Schnelligkeit und Bequemlichkeit gewinnen gegen Vorsicht

Diese Faktoren erscheinen nicht in Abschlussmetriken. Sie wirken sich aber direkt auf reale Ergebnisse aus.

Das Signal, das die meisten Programme übersehen

Das vielleicht wichtigste Problem: Risikoakkumulation ist in Dashboards oft unsichtbar.

Hohe Abschlussquoten und niedrige Fehlerquoten können koexistieren, und die Exponierung wächst trotzdem.

Was fehlt, ist Verhaltenstransparenz:

  • Wer ignoriert konsequent Bedrohungen?
  • Wer meldet langsam?
  • Welche Rollen sind wiederholt exponiert?

Ohne diese Ebene verschwindet Risiko nicht, es bleibt nur ungemessen.

Training reduziert Risiko nicht automatisch. Es reduziert Risiko nur, wenn es das tatsächliche Verhalten in realen Situationen konsistent verändert. Ändert sich das Verhalten nicht, akkumuliert sich das Risiko weiter still.

Warum Durchschnittswerte verbergen, wo das reale Risiko liegt

Die meisten Security Awareness Dashboards verlassen sich auf Durchschnittswerte. Durchschnittliche Fehlerquote, durchschnittliche Meldequote, durchschnittliche Abschlüsse. Auf den ersten Blick wirken diese beruhigend.

Durchschnittswerte reduzieren Risiko jedoch nicht. Sie verbergen, wo es sich konzentriert.

Durchschnittswerte glätten die Hochrisikogruppen weg

Eine Organisation könnte berichten:

  • 5 % Phishing-Fehlerquote
  • 85 % Trainingsabschlüsse
  • Insgesamt starke Meldemetriken

Das klingt gesund, doch innerhalb dieses Durchschnitts findet man oft eine kleine Gruppe Nutzender, die Simulationen wiederholt nicht besteht, spezifische Teams (Finanzen, HR, Executive-Assistenz), die gezielteren Angriffen ausgesetzt sind, sowie Personen mit privilegiertem Zugriff, die riskanter als der Durchschnitt handeln.

Wenn 5 % der Nutzenden konsistent anfällig sind und in Positionen mit hohem Impact sitzen, ist das tatsächliche Risiko weit höher, als der Durchschnitt nahelegt. Das verbirgt er: Risiko ist nicht gleichmäßig verteilt.

Konzentrierte Exponierung ist das Einfallstor realer Angriffe

Angreifende zielen nicht auf durchschnittliche Mitarbeitende ab. Sie zielen auf:

  • Nutzende mit Zugang zu Geld (Finanzen, Einkauf)
  • Nutzende mit Systemzugang (IT, Engineering)
  • Nutzende in Führungsnähe (Executive-Assistenz)

Diese Gruppen erhalten ausgefeiltere Angriffe, verarbeiten höhere E-Mail-Volumen und stehen meist unter mehr Zeitdruck. Das macht sie exponierter, selbst in „gut performenden" Organisationen.

Während also die Gesamtmetriken stabil aussehen, konzentriert sich Risiko still genau dort, wo es für Angreifende am relevantesten ist.

Warum „gute Durchschnittswerte" falsche Sicherheit erzeugen

Durchschnittswerte konstruieren eine Erzählung, dass die Mehrheit das Richtige tut. Aber Sicherheit scheitert nicht auf der Mehrheitsebene – sie scheitert am schwächsten Punkt mit dem höchsten Impact.

Das führt zu einem gefährlichen Ergebnis:

  • Teams hören auf, tiefer zu analysieren
  • Hochrisikonutzende erhalten keine gezielte Intervention
  • Programme optimieren für Gesamtmetriken statt für reale Exponierung

Und das Risiko bleibt bestehen, nur weniger sichtbar.

Worauf stattdessen zu achten ist

Um reales Human Risk zu verstehen, braucht es den Wechsel von Durchschnittswerten zu Verteilung und Konzentration. Das bedeutet, folgende Fragen zu stellen:

  • Wer sind die Wiederholungsklickenden?
  • Welche Rollen haben die niedrigsten Meldequoten?
  • Wo ist die Zeit bis zur Meldung am längsten?
  • Welche Nutzenden interagieren überhaupt nie mit Simulationen?

Abschlussmetriken vs. Exponierungsmetriken: Warum Aktivität nicht gleich Risikoreduktion ist

Einer der häufigsten Gründe, warum Risiko trotz laufendem Training nicht sinkt: Programme messen das Falsche.

Die meisten Dashboards sind auf Abschlüsse ausgerichtet z.B. Trainingsabschlussquoten, Quizergebnisse, Zeit in Modulen. Diese lassen sich leicht verfolgen, leicht berichten und sind für Compliance nützlich, aber sie sagen nicht, ob sich tatsächlich etwas verändert hat.

Abschlüsse geben Gewissheit, Verhalten gibt Wahrheit

Abschlussmetriken erzeugen ein Kontrollgefühl. Auf hohe Beteiligung, starke Bestehensquoten und konsistentes Rollout kann man verweisen. Aus Reporting-Perspektive sieht alles gesund aus – aber Verhalten folgt anderen Regeln.

Mitarbeitende können jedes Modul abschließen, jeden Quiz bestehen und trotzdem unter Druck auf eine Phishing-E-Mail klicken. Warum? Weil das Umfeld, in dem Verhalten zählt (volle Posteingänge, mehrdeutige Nachrichten, realer Kontext) völlig anders ist als eine Trainingsumgebung.

Deshalb wird Abschluss zum Fortschritts-Proxy, statt zum Beweis.

Exponierungsmetriken zeigen, was tatsächlich passiert

Um zu verstehen, ob Risiko sinkt, braucht es Daten darüber, was passiert, wenn Mitarbeitende Bedrohungen ausgesetzt werden. Melden sie verdächtige E-Mails? Zögern sie vor dem Klicken? Eskalieren sie schnell oder ignorieren sie das Signal?

Metriken wie Meldequote, Fehlerquote und Zeit bis zur Meldung beginnen, diese Fragen zu beantworten. Nicht perfekt, aber weit aussagekräftiger als Abschlüsse.

Sie spiegeln Verhalten unter realen Bedingungen wider. Das ist der entscheidende Unterschied: Sie messen Reaktion, nicht Beteiligung.

Warum das die Illusion von Fortschritt erzeugt

Wenn Programme für Abschlüsse optimieren, verbessern sie natürlich die Abschlüsse. Training wird effizienter ausgerollt, Erinnerungen werden besser, Beteiligung steigt.

Aber nichts davon garantiert, dass Mitarbeitende in realen Szenarien bessere Entscheidungen treffen.

Das Ergebnis ist ein bekanntes Muster:

  • Abschlussquoten steigen
  • Dashboards sehen stärker aus
  • Risiko stagniert

Das ist kein Versagen des Einsatzes – es ist ein Mismatch zwischen dem, was gemessen wird, und dem, was Risiko tatsächlich reduziert.

Die Verschiebung, die Ergebnisse verändert

Programme, die aus diesem Muster ausbrechen, hören auf, Training als Ziel zu behandeln. Stattdessen behandeln sie Verhalten als Ergebnis. Abschlüsse werden weiterhin verfolgt, aber sie werden sekundär.

Die primäre Frage lautet: Erkennen und reagieren Mitarbeitende im Laufe der Zeit effektiver auf (echte) Bedrohungen?

Diese Verschiebung zwingt alles andere zur Evolution: die Art, wie Training bereitgestellt wird, wie Simulationen gestaltet werden, wie Erfolg definiert wird. Denn letztlich sinkt Risiko nicht, wenn Training abgeschlossen wird –> es sinkt, wenn sich Verhalten ändert.

Frühe Anzeichen, dass das Programm falsche Sicherheit erzeugt

Die meisten Teams bemerken nichts, weil die Signale, auf die sie sich verlassen, noch positiv aussehen – das macht diese Phase gefährlich.

Nichts ist offensichtlich gebrochen, aber das Programm hat aufgehört, Risiko meaningful zu reduzieren.

Das Gefühl kommt vor den Daten

Sicherheitsverantwortliche bemerken das oft, bevor sie es belegen können. Es zeigt sich in Fragen wie:

  • „Wir machen alles richtig – warum sinken Vorfälle nicht?"
  • „Warum funktionieren dieselben Angriffstypen immer noch?"
  • „Warum fühlt sich das weniger wirksam an als es sollte?"

Das ist das früheste Signal: Intuition, die vom Reporting abweicht. Und sie ist oft akkurat.

Fortschritt wird schwerer zu erklären

Im ersten Jahr sind Verbesserungen offensichtlich. Klickraten sinken, Engagement ist hoch.

Danach wird Fortschritt schwerer zu artikulieren. In Dashboards ist noch Bewegung zu sehen, aber sie ist inkrementell, inkonsistent oder schwer mit realen Ergebnissen zu verbinden.

Das liegt meist daran, dass das Programm die einfachen Gewinne erschöpft hat. Ab diesem Punkt erfordert Verbesserung tiefere Verhaltensänderung. Nicht einfach mehr Training.

Das Programm läuft auf Trägheit

Ein weiteres Zeichen: Das Programm läuft weiter ohne klare Richtung.

  • Dieselben Formate wiederholen sich
  • Dieselben Annahmen bleiben bestehen
  • Dieselbe Struktur persistiert Jahr für Jahr

An diesem Punkt entwickelt sich das Programm nicht mehr weiter. Es läuft aus Gewohnheit.

Erfolg wird über Konsistenz definiert, nicht über Impact

Eine subtile Verschiebung: wie Erfolg intern gerahmt wird.

Statt zu fragen: „Reduzieren wir Risiko?"

Fragen Teams: „Lief alles wie geplant?"

Konsistenz ersetzt Wirksamkeit. Solange Training bereitgestellt wird und Metriken stabil bleiben, gilt das Programm als erfolgreich auch wenn sich die zugrundeliegende Exponierung nicht verändert hat.

Warum diese Phase wichtig ist

Hier stagnieren die meisten Programme. Nicht weil sie scheitern, sondern weil sie gut genug zu funktionieren scheinen. Das macht es schwer, sie zu hinterfragen.

Bleibt man jedoch zu lange hier:

  • Sinkt das Risiko nicht weiter
  • Verbessert sich Verhalten nicht mehr
  • Wird das Programm später schwerer zu entwickeln

Der Schlüssel: Diese Phase zu erkennen für das, was sie ist. Kein Scheitern, sondern eine Decke. Und Decken brechen nicht durch von mehr vom Selben.

Warum Training allein Human Risk nicht reduzieren kann

Selbst wenn Security Awareness Training gut konzipiert, gut umgesetzt und weitreichend adoptiert ist, operiert es weiterhin in einem engen Modell: Es behandelt Risiko als Wissensproblem. In der Praxis verhält sich Human Risk jedoch eher wie ein Systemproblem.

Training ist episodisch, Risiko ist kontinuierlich

Die meisten Awareness-Programme laufen in Zyklen:

  • Jährliche Schulungen
  • Quartalsweise Auffrischungen
  • Periodische Simulationen

Angriffe folgen jedoch keinem solchen Rhythmus. Sie passieren kontinuierlich, über verschiedene Kanäle, mit sich entwickelnden Taktiken.

Selbst wenn Training im Moment der Vermittlung wirksam ist, verblasst sein Einfluss zwischen diesen Momenten, während das Risiko weiter akkumuliert.

Das Modell setzt gleichmäßiges Risiko voraus, Exponierung ist es aber nicht

Traditionelle Programme behandeln die Belegschaft als eine einheitliche Gruppe. Alle erhalten ähnliches Training, ähnliche Simulationen, ähnliche Erwartungen.

In der Realität jedoch:

  • Manche Rollen werden weit stärker angegriffen
  • Manche Personen interagieren den ganzen Tag mit externen E-Mails
  • Manche Nutzenden verwalten sensible Systeme oder Finanzprozesse

Das Risiko ist nicht gleichmäßig verteilt. Ein einheitliches Trainingsmodell hinterlässt daher immer Lücken.

Training erzeugt keine Feedback-Schleifen

Eine weitere Einschränkung: Training ist oft unidirektional.

  • Inhalte werden bereitgestellt
  • Mitarbeitende schließen sie ab
  • Ergebnisse werden erfasst

Verhaltensänderung erfordert jedoch Feedback:

  • Was hat die/der Nutzende getan?
  • Wie schnell wurde reagiert?
  • Hat sich das Verhalten im Laufe der Zeit verbessert?

Ohne diese Schleife kann sich das Programm nicht anpassen. Es wird statisch, während sich sowohl Nutzerverhalten als auch Angreifertaktiken weiterentwickeln.

Das Ergebnis: Abnehmende Renditen

Deshalb sehen die meisten Programme dasselbe Muster:

  • Starke frühe Verbesserung
  • Langsamere Gewinne über die Zeit
  • Schließlich kaum noch messbare Veränderung

Nicht weil Training vollständig aufhört zu wirken, sondern weil das Modell seine Grenze erreicht.

Ab diesem Punkt produziert mehr Training immer kleinere Renditen.

Vom Trainingsprogramm zum Human Risk System

Wenn man die Grenzen klar sieht, ist das Problem nicht nur, dass Training verbessert werden muss – das Modell selbst muss sich ändern.

Die meisten Organisationen führen Security Awareness als Programm durch. Eine Reihe von Aktivitäten, die über die Zeit bereitgestellt werden.

Human Risk zu reduzieren erfordert jedoch ein System, das Verhalten kontinuierlich beobachtet, misst und beeinflusst.

Programme liefern Inhalte, Systeme reagieren auf Verhalten

Ein traditionelles Programm fragt:

  • Haben Mitarbeitende Training abgeschlossen?
  • Werden Simulationen verschickt?
  • Erreichen wir Beteiligungsziele?

Ein Human Risk System stellt andere Fragen:

  • Wie reagieren Mitarbeitende tatsächlich auf Bedrohungen?
  • Wo steigt Risiko oder konzentriert es sich?
  • Welches Verhalten muss sich als nächstes ändern?

Diese Verschiebung bewegt den Fokus von Bereitstellung → Reaktion.

Risiko wird zu etwas Sichtbarem, nicht Angenommenem

Im Programmmodell wird Risiko aus Aktivität inferiert:

Training abgeschlossen → angenommene Verbesserung
Niedrige Fehlerquote → angenommene Resilienz

Im Systemmodell wird Risiko direkt beobachtet: Wer meldet Bedrohungen und wer nicht? Wer verbessert sich im Laufe der Zeit? Wo ist Erkennung schnell und wo verzögert sie sich?

Das verwandelt Human Risk von etwas Abstraktem in etwas Messbares und über die Zeit Verfolgbares.

Intervention wird gezielt, nicht generisch

Wenn Verhalten sichtbar ist, verändert sich Intervention.

Statt allen dasselbe Training zu schicken und identische Simulationen im gesamten Unternehmen auszurollen, können Hochrisiko-Rollen und -Personen priorisiert, spezifische Verhaltensweisen (z. B. Melden, Verifizieren) gestärkt sowie Schwierigkeitsgrad und Exponierung dynamisch angepasst werden.

Hier beginnt Verbesserung kontinuierlich zu werden und nicht nur periodisch.

Das Ziel verschiebt sich von Awareness zu Reaktionsfähigkeit

Das ist letztlich die größte Veränderung. Traditionelle Programme zielen darauf ab, Mitarbeitende über Bedrohungen zu informieren.

Ein Human Risk System zielt darauf ab, sicherzustellen, dass Mitarbeitende:

  • Bedrohungen unter realen Bedingungen erkennen
  • Konsistent richtig handeln
  • Schnell reagieren, wenn es darauf ankommt

Denn das ist es, was Risiko tatsächlich senkt.

Was jetzt zu tun ist, wenn Risiko nicht sinkt

Wenn Sie bis hierher gelesen haben, liegt das Problem in der Regel nicht am fehlenden Einsatz.

Training wird durchgeführt, Metriken werden verfolgt, das Programm macht das, wofür es konzipiert ist.

Aber die Signale stimmen nicht mit den Ergebnissen überein. Das ist der Moment, in dem inkrementelle Korrekturen aufhören zu wirken und der Ansatz selbst sich verschieben muss.

Beginnen Sie damit, was gemessen wird, zu ändern

Bevor Tools oder Inhalte geändert werden, ändern Sie die Perspektive.

Weg von der Frage: „Haben Mitarbeitende Training abgeschlossen?"

Hin zu: „Erkennen und reagieren Mitarbeitende im Laufe der Zeit besser?"

Das bedeutet, zu priorisieren:

  • Meldeverhalten
  • Zeit bis zur Meldung
  • Wiederkehrende Risikomuster
  • Rollenbasierte Exponierung

Denn was gemessen wird, bestimmt, was sich verbessert.

Machen Sie Risiko auf der richtigen Ebene sichtbar

Durchschnittswerte helfen hier nicht weiter. Um Risiko tatsächlich zu reduzieren, braucht es Sichtbarkeit auf:

  • Welche Personen kämpfen konsistent?
  • Welche Rollen sind am stärksten exponiert?
  • Wo bricht Erkennung zusammen?

Hier entsperren die meisten Programme ihre ersten echten Erkenntnisse. Nicht durch mehr Training, sondern dadurch, das Risiko zum ersten Mal klar zu sehen.

Wechsel von Kampagnen zu kontinuierlicher Verstärkung

Wenn Training in Schüben passiert, gilt das auch für das Verhalten.

Traditioneller Ansatz Was tatsächlich Verhaltensänderung antreibt
Periodische Kampagnen Häufige, leichte Interaktionen
Einmalige Simulationen Kontinuierliche Exponierung gegenüber realistischen Szenarien
Jährliche Auffrischungen Verstärkung, die an tatsächlichem Verhalten ansetzt

Das Ziel: Sicherheit im täglichen Entscheidungsprozess präsent halten und nicht davon getrennt.

Energie dort einsetzen, wo es tatsächlich zählt

Nicht alle Nutzenden tragen dasselbe Risiko. Alle gleichermaßen verbessern zu wollen ist ineffizient und oft unwirksam.

Stattdessen:

  • Hochrisiko-Rollen priorisieren
  • Wiederholungsauffällige mit gezielter Intervention unterstützen
  • Schwierigkeitsgrad erhöhen, wo Nutzende bereits stark sind

So entwickeln sich Programme von breiter Awareness zu gezielter Risikoreduktion.

Verhalten als etwas behandeln, das gepflegt werden muss

Selbst wenn sich Dinge verbessern, bleiben sie nicht automatisch so. Gewohnheiten verfallen, Bedrohungen entwickeln sich weiter, Kontext ändert sich.

Das Ziel ist also nicht, Human Risk einmal zu „beheben". Es ist, das Risiko über die Zeit kontinuierlich zu managen und zu senken.

Wenn Risiko nicht sinkt, liegt das selten daran, dass nichts passiert. Es liegt daran, dass das Programm für Aktivität optimiert ist und nicht für Ergebnisse.

Und sobald der Fokus von Training bereitgestellt auf Verhalten verändert verschoben wird. Und dann beginnt sich das Risiko in die richtige Richtung zu bewegen

Wesentliche Erkenntnisse

Warum Security Awareness Training das Risiko nicht immer senkt

Security Awareness Training durchzuführen garantiert keine Risikoreduktion. Viele Programme erzeugen ein falsches Fortschrittsgefühl, indem sie sich auf Aktivitätsmetriken wie Abschlussquoten und Fehlerquoten konzentrieren – während versteckte Exponierung bei ungetesteten Nutzenden, Hochrisiko-Rollen und nicht gemessenen Verhaltensweisen aufgebaut wird.

Wo Programme scheitern
  • Fokus auf Abschlüsse statt Verhalten
  • Verlassen auf Durchschnittswerte, die Risikokonzentration verbergen
  • Niedrige Fehlerquoten verschleiern ungetestete Nutzende
  • Training läuft in Zyklen, während Risiko kontinuierlich ist
Warum Risiko nicht sinkt
  • Verhalten wird nicht konsistent verstärkt
  • Große Teile der Belegschaft bleiben unmessen
  • Hochrisiko-Rollen werden nicht spezifisch adressiert
  • Programme optimieren für Aktivität, nicht für Ergebnisse
✓ Was tatsächlich funktioniert
  • Verhalten messen, nicht nur Beteiligung
  • Risiko sichtbar machen auf Nutzenden- und Rollenebene
  • Erkennungskompetenz kontinuierlich stärken
  • Interventionen gezielt einsetzen, wo Risiko am höchsten ist
Zusammenfassung: Risiko sinkt nicht, weil Training stattfindet – es sinkt, wenn sich das Verhalten der Mitarbeitenden über die Zeit messbar verbessert.
Want to learn more?
Be sure to check out these articles recommended by the author:
Mehr Insights zu Cybersecurity erhalten