Einstellung vs. Verhalten: Warum Cybersecurity Awareness beides braucht
Veröffentlichungsdatum:
- Januar 15, 2026
Im CYBERDISE AWARENESS werden zwei Konzepte häufig synonym verwendet – Einstellung und Verhalten. Sie hängen zusammen, sind jedoch nicht dasselbe. Ihre Verwechslung ist einer der Hauptgründe, warum viele Awareness-Programme keine nachhaltige Risikoreduktion erzielen.
Was ist die Risiko-Einstellung?
Die Einstellung beschreibt, wie Menschen über ein Thema denken und wie sie dazu fühlen. Im Kontext der Cybersicherheit umfasst das unter anderem:
- Wie riskant Mitarbeitende Phishing oder Social Engineering einschätzen
- Ob sie sich persönlich für Sicherheit verantwortlich fühlen
- Ob sie der Meinung sind, dass sich sicheres Verhalten trotz des Aufwands lohnt
Die Einstellung wird vor allem durch Informationen, Kommunikation und Schulungen geprägt. Klassische Awareness-Programme konzentrieren sich stark auf diese Ebene: Richtlinien, Videos, E-Learning und Erklärungen dazu, „was schiefgehen könnte“.
Studien bestätigen, dass Trainings die Einstellung tatsächlich beeinflussen können. Mitarbeitende berichten nach Schulungsmaßnahmen häufig von einem höheren Bewusstsein, einem stärkeren Verantwortungsgefühl und einem besseren Verständnis.
Was ist (sicheres) Verhalten?
- Verhalten ist das, was Menschen in realen Situationen tatsächlich tun:
- Klicken sie auf einen verdächtigen Link?
- Melden sie eine Phishing-E-Mail?
- Halten sie kurz inne, wenn sich etwas „komisch“ anfühlt – oder handeln sie impulsiv?
Verhalten wird nicht durch Umfragen oder Absichten gemessen. Es ist nur über realistische Situationen und konkrete Handlungen beobachtbar.
Diese Unterscheidung ist entscheidend. Mehrere Studien zeigen, dass eine verbesserte Einstellung nicht automatisch zu sicherem Verhalten führt – insbesondere unter Zeitdruck, Stress oder hoher kognitiver Belastung. Dieselben Studien zeigen, dass sich sicheres Verhalten und Cybersecurity-Einstellung zwar gegenseitig korrelieren (aber kein kausaler Zusammenhang besteht).
Warum eine positive Einstellung allein nicht ausreicht
Aus Psychologie und Verhaltenswissenschaft ist die sogenannte Attitude–Behavior Gap bekannt: Menschen handeln häufig entgegen ihrem besseren Wissen. Das ist nicht irrational – das ist menschlich. Gewohnheiten, Heuristiken und situative Auslöser dominieren die Entscheidungsfindung, insbesondere in schnelllebigen digitalen Umgebungen.
Aktuelle Cybersecurity-Forschung bestätigt diesen Effekt. Normatives Training verbessert, wie Mitarbeitende über Cyber-Risiken denken, hat jedoch nur einen schwachen und inkonsistenten Einfluss darauf, wie sie handeln, wenn sie mit realen Angriffen konfrontiert werden.
Warum Verhalten ohne Einstellungsänderung ebenfalls scheitert
Gleichzeitig ist eine Verhaltensänderung ohne eine Veränderung der Einstellung fragil. Wiederholte Übungen ohne Erklärung können willkürlich oder sogar strafend wirken. Mitarbeitende lernen dann möglicherweise, wie sie den „Test bestehen“, ohne zu verstehen, warum das Thema relevant ist.
Das Ergebnis: kurzfristige Verbesserungen, die schnell wieder verschwinden, sobald die Übungen aufhören – ein Muster, das in Awareness-Programmen häufig beobachtet wird.
Nachhaltige Veränderung (bzw. Awareness) erfordert beides
Die Evidenz ist eindeutig: Dauerhafte Verhaltensänderung benötigt zwei sich ergänzende Stränge:
- Einstellungsprägende Maßnahmen Trainings, Kommunikation und verständliche Erklärungen stärken Risikowahrnehmung, Verantwortungsbewusstsein und Kontextverständnis.
- Verhaltensnahe Exposition Realistische Simulationen und praktische Erfahrung übersetzen dieses Mindset in konkretes Handeln – insbesondere dann, wenn sie moderne, KI-gestützte Angriffstechniken realistisch abbilden.
Die eigene KI-gestützte Spear-Phishing-Forschung von CYBERDISE zeigt das deutlich: Training beeinflusst vor allem die Einstellung. Realistische, personalisierte Angriffssimulationen beeinflussen primär das Verhalten. Erst die Kombination beider Ansätze liefert messbare und nachhaltige Risikoreduktion.
Kurz gesagt
Einstellung und Verhalten sind zwei unterschiedliche verhaltensbezogene Konstrukte. Beide sind menschliche Risikofaktoren – unterscheiden sich jedoch grundlegend darin, wie sie entstehen, wie sie gemessen werden und wodurch sie beeinflusst werden.
Die zentrale Erkenntnis für Security-Verantwortliche
Das gilt besonders für die DACH-Region: Wenn Ihr Awareness-Programm Erfolg ausschließlich über Kursabschlüsse oder Quiz-Ergebnisse misst, messen Sie Einstellung – nicht Risiko. Wenn es sich hingegen nur auf Simulationen ohne Lernkontext stützt, werden Verbesserungen nicht nachhaltig sein.
Wirksame Cybersecurity-Awareness betrachtet Einstellung und Verhalten als unterschiedliche, notwendige und sich ergänzende Faktoren. Beide gezielt zu verzahnen ist kein Nice-to-have – es ist die Grundlage einer resilienten Sicherheitskultur.
Sources
- Towards Diagnosing and Mitigating Behavioral Cyber Risks, Pugnetti et al., 2024 https://cyberdise-awareness.com/wp-content/uploads/2026/01/Towards_Diagnosing_and_Mitigating_Behavioral_Cyber.pdf
- Improving Cyber Risk Behavior through AI-Enabled Spearphishing, Pugnetti & Stacho, 2025 https://cyberdise-awareness.com/wp-content/uploads/2025/09/2025-AISP-Leveraging-AI-enabled-spearphishing-to-enhance-cybersecurity-09.25-1.pdf
Wir freuen uns darauf, Ihnen in den kommenden Ausgaben unseres Newsletters weitere Einblicke, Neuigkeiten und Updates zum Thema Cybersicherheit zu präsentieren.
Wenn Sie diesen Newsletter in Zukunft nicht mehr erhalten möchten, können sie dies über den nachstehenden Icon „Abbestellen“ in die Wege leiten.
