Cyberdise AG

Risikoeinstellung gegenüber Risikoverhalten: Trainieren Sie das Falsche?

Veröffentlichungsdatum:

  • November 24, 2025
Risk illustration

Sicherheitsbewusstsein ≠ Verhalten

Trotz umfassender Schulungen in Bezug auf Sicherheitsbewusstsein kommt es in vielen Unternehmen aufgrund menschlicher Fehler weiterhin zu Datenverletzungen. Wir glauben, dass dies daran liegt, dass viele Menschen Sicherheitsbedrohungen zwar theoretisch verstehen, aber dieses Wissen in der Praxis nicht konsequent anwenden, um auch entsprechend zu handeln.

Diese Kluft zwischen Risikoeinstellung (wissen, was riskant ist) und Risikoverhalten (sich tatsächlich sicher verhalten) ist das Thema des heutigen Artikels.

Risikoeinstellung gegenüber Risikoverhalten in der Cybersicherheit

„Wissen” und „Handeln” sind in Sachen Sicherheit nicht dasselbe.

Die Einstellung zum Cyberrisiko bezieht sich auf das Wissen, das Bewusstsein und die Absichten eines Benutzers in Bezug auf Sicherheit (bspw. das Bewusstsein, dass es gefährlich ist, auf einen unbekannten Link zu klicken), während das Risikoverhalten im Bereich Cybersicherheit sich auf die tatsächlichen Handlungen des Benutzers bezieht (wie das Klicken auf einen unbekannten Link trotz dieses Bewusstseins).

Eine anhaltende Diskrepanz zwischen Einstellung und Verhalten im Bereich Cybersicherheit wurde sogar durch Forschungsergebnisse belegt. Selbst wenn Nutzer vorsichtig sind, können sie dennoch erfolgreich angegriffen werden. Diese Diskrepanz wird in einem Branchenbericht aus dem Jahr 2024 hervorgehoben: Obwohl 71 % der Nutzer, die Risiken eingegangen sind, sich dieser Risiken voll bewusst waren, entschieden sich 96 % von ihnen dennoch dafür, diese Risiken einzugehen [1]. Mit anderen Worten: Die meisten Menschen handelten unsicher, obwohl fast alle es besser wussten. Kurz gesagt: Sie „wissen es“, aber sie „tun es nicht“.

Entscheidend ist, dass die Sensibilisierung oder das Bewusstsein der Menschen nicht automatisch zu sichererem Handeln führt. Laut einer Studie zur Cybersicherheitskultur „kann durch Schulungen den Mitarbeitern beigebracht werden, wie sie sicher agieren können, aber das reicht manchmal nicht aus, um tatsächlich sicheres Verhalten zu erzielen. Zu wissen, was zu tun ist, ist erforderlich, aber nicht ausreichend.“

Die Menschen möchten sich tatsächlich richtig verhalten und erzielen in Schulungen oder Umfragen zum Thema Sicherheit gute Ergebnisse, aber unter Stress oder durch eine gut gemachte Phishing-E-Mail verleitet, geraten sie doch ins Straucheln. Die Anfälligkeit für Phishing, Smishing, Vishing usw. ist vor allem ein Beispiel für diese Diskrepanz zwischen Theorie und Praxis: Die Menschen können zwar gut und gerne behaupten, dass sie einen Phishing-Versuch erkennen können, aber in der Realität bleiben die Klickraten unerfreulich hoch. Die Herausforderung für Unternehmen besteht also darin, dieses Manko zu beheben und das Sicherheitsbewusstsein in tatsächlich sicheres Handeln umzuwandeln.

Was würden Sie lieber tun:

Alle internen Sicherheitsrichtlinien gelesen haben
Über einen Instinkt verfügen, der Sie davon abhält, riskante Klicks zu tätigen

Wir werden die Ergebnisse dieser Umfrage im nächsten Newsletter veröffentlichen – wir sind gespannt, wofür Sie sich entscheiden 😉

Warum klassische Cybersicherheits-Schulungen oft zu kurz greifen

Grundsätzlich können konventionelle Sensibilisierungsprogramme (jährliche Präsentationen, Quizze und generische Phishing-Mails an alle Mitarbeiter) oft nicht den Druck und die Individualität realer Angriffe widerspiegeln. Sie können zwar das Wissen vermitteln, aber sie ändern das Verhalten nicht entsprechend.

Menschen sind Gewohnheitstiere und kontextabhängig: Wenn Schulungen zu selten, nicht zielgerichtet oder zu weit von der täglichen Realität der Benutzer entfernt sind, verblassen die Lektionen schnell. Faktoren wie Stress am Arbeitsplatz, Müdigkeit oder die wahrgenommene Dringlichkeit von Aufgaben können die Erinnerung an ein Schulungsmodul von vor Monaten leicht verblassen lassen. Dies gilt insbesondere in stressreichen Umgebungen (wie im Gesundheitswesen), in denen die Mitarbeiter zwar die Regeln kennen, aber unter ständigem Druck zu unsicheren Praktiken zurückkehren, die ihnen zweckmäßig erscheinen.

Einfach ausgedrückt: Man kann sich nicht durch Vorträge oder Tests aus dem Phishing-Risiko herausreden – es sind neue Methoden erforderlich, um das tägliche Verhalten der Nutzer tatsächlich zu beeinflussen.

Ein neuer Ansatz: Personalisierte, kontextbezogene Phishing-Simulationen in Kombination mit maßgeschneiderten E-Learning-Kursen!

Die meisten Phishing-Schulungen unterscheiden sich noch immer stark von realen Angriffen. Sie sind generisch, vorhersehbar und leicht zu erkennen. Aber echte Bedrohungen? Die sind personalisiert. Sie verwenden Namen, Rollen, Unternehmenskontexte – alles, was die Nachricht realistisch erscheinen lässt.

Angreifer nutzen oft öffentlich zugängliche Informationen, um diese E-Mails zu verfassen. Daher ist es sinnvoll, dass Schulungen das ebenso machen. Wenn eine Simulation glaubwürdig wirkt, reagieren die Benutzer so, wie sie es im wirklichen Leben machen würden – und nicht so, wie sie es in einem Quiz für richtig halten. Sie erinnern sich doch an das Cyber-Risiko-Verhalten, oder?

Vor dem Hintergrund dieser Erkenntnisse gibt es neue Lösungen, die Unternehmen dabei helfen, personalisierte Phishing-Schulungen in großem Maßstab durchzuführen. Ein Beispiel dafür ist unser OSINT Reconnaissance Module *** – ein angekündigtes neues Feature. Es wurde entwickelt, um die Erstellung hochrealistischer Phishing-Simulationen unter Verwendung öffentlich zugänglicher Daten zu automatisieren. Dieses Tool kann mithilfe unseres Phishing-E-Mail-Automats kontinuierlich offene Quellen durchsuchen, um gefälschte Phishing-E-Mails auf jeden einzelnen Mitarbeiter zuzuschneiden (unter Bezugnahme auf einen aktuellen Social-Media-Beitrag oder eine öffentliche Unternehmensmitteilung) und damit das wissenschaftlich fundierte Prinzip umzusetzen, dass die Lernergebnisse umso effektiver sind, je realistischer und zielgerichteter die Simulation ist. Durch den Einsatz von Automatisierung und künstlicher Intelligenz ermöglicht ein solches Modul den Sicherheitsteams die Durchführung kontinuierlicher, adaptiver Phishing-Übungen ohne großen manuellen Aufwand – ein wichtiger Faktor für die Skalierung und Einführung der Cybersicherheits-Sensibilisierung. Das Endziel ist die Schaffung einer sich selbst verbessernden „menschlichen Firewall“: Mitarbeiter, die nicht nur über Phishing Bescheid wissen, sondern ihre Reaktionen darauf so lange geübt haben, bis sie zur Gewohnheit geworden sind.

*** Das OSINT-Aufklärungsmodul ist seit Version 2.7.0 als experimentelles Feature verfügbar. Wenn Sie es näher kennenlernen oder für Ihr Team aktivieren möchten, wenden Sie sich bitte an uns oder überprüfen Sie die Versionshinweise in Ihrem Dashboard.

Aufgrund der wachsenden Erfahrung der Kunden und des Aufkommens von KI entwickeln sich Cybersicherheits-Programmen von reinen Compliance-Maßnahmen zu maßgeschneiderten, kultursensiblen und technisch integrierten Lösungen. Durch die aktive Vermeidung der oben genannten Fallstricke und den Einsatz moderner, KI-gestützter Lösungen, die auf die betrieblichen Gegebenheiten abgestimmt sind, können Unternehmen die Sicherheit auf menschlicher Ebene erheblich verbessern.

[1] https://www.proofpoint.com/us/blog/security-awareness-training/2024-state-of-phish-report

Wir freuen uns darauf, Ihnen in den kommenden Ausgaben unseres Newsletters weitere Einblicke, Neuigkeiten und Updates zum Thema Cybersicherheit zu präsentieren.
Wenn Sie diesen Newsletter in Zukunft nicht mehr erhalten möchten, können sie dies über den nachstehenden Icon „Abbestellen“ in die Wege leiten.

Enjoyed reading? Subscribe to our blog!

    Andere Ressourcen