In der Cybersicherheit findet seit einigen Jahren ein Wandel statt, den die meisten CISOs auf die eine oder andere Weise zu spüren bekommen haben. Viele haben versucht, diese Entwicklung zu umgehen, indem sie ihre Programme angepasst, neue Tools eingeführt und die Kommunikation verfeinert haben. Aber es wird immer schwieriger zu ignorieren, dass sich etwas Grundlegendes ändern muss.
Die Art und Weise, wie wir bisher an das Sicherheitsbewusstsein herangegangen sind, entspricht nicht mehr der Art und Weise, wie Risiken entstehen.
In unserem jüngsten Bericht „ Rethinking Human Cyber Risk: How CISOs can transform security awareness training to drive measurable risk reduction„, der auf einer Umfrage unter 200 CISOs in Großbritannien und Europa basiert, wird dieser Wandel deutlich. 78% der Befragten geben an, dass sie ihren Ansatz für das Sicherheitsbewusstsein überdenken wollen. Und zwar nicht, um ihn zu optimieren oder leicht zu verbessern, sondern um ihn wirklich zu ändern. Das wirft natürlich die Frage auf, warum gerade jetzt, wo das Bewusstsein doch schon so lange ein zentraler Bestandteil der Sicherheitsstrategien ist.
Die Antwort liegt in einer Kombination von Faktoren, die sich im Laufe der Zeit aufgebaut haben. Die Bedrohungen haben sich schnell entwickelt, die Erwartungen der Führungskräfte sind gestiegen und die Kluft zwischen dem, was Awareness-Programme liefern, und dem, was Unternehmen tatsächlich brauchen, ist viel deutlicher geworden.
Es wird immer deutlicher, dass es nicht darum geht, kleine Verbesserungen an unseren bestehenden Programmen und Kontrollen vorzunehmen, sondern um etwas Grundsätzlicheres. Für viele Unternehmen bedeutet das, dass sie das Modell völlig neu überdenken und einen anderen Ansatz für das Bewusstsein für Cybersicherheit wählen müssen.
Die Bedrohungslandschaft hat sich schneller verändert als das Bewusstsein
Die Art der Cyber-Bedrohungen sieht heute ganz anders aus als das, wofür viele Programme zur Förderung des Sicherheitsbewusstseins ursprünglich konzipiert waren. Angriffe sind nicht mehr leicht zu erkennen oder auf generische Phishing-E-Mails beschränkt. Sie sind gezielter, überzeugender und viel mehr auf die Arbeitsweise der Menschen abgestimmt.
Künstliche Intelligenz hat diesen Wandel beschleunigt. Es ist jetzt möglich, Nachrichten zu generieren, die natürlich klingen, den Tonfall genau wiedergeben und sich auf einen realen Kontext beziehen, so dass sie viel schwieriger zu erkennen sind. Tatsächlich nennen 46% der CISOs, die sich beim Umgang mit menschlichen Cyberrisiken weniger sicher fühlen als noch vor einem Jahr, KI-gestütztes Social Engineering als einen der Hauptgründe. Gleichzeitig ist Social Engineering immer raffinierter geworden und nutzt öffentlich verfügbare Informationen, um Szenarien zu schaffen, die vertraut und glaubwürdig wirken.
Dies stellt eine Herausforderung dar, denn die Mitarbeiter verlassen sich oft auf Anleitungen, die für eine andere Art von Bedrohung entwickelt wurden. Es reicht nicht mehr aus, schlechte Grammatik oder verdächtige Formatierungen zu erkennen, wenn die Nachricht legitim aussieht und klingt. Infolgedessen vergrößert sich die Kluft zwischen der Schulung des Sicherheitsbewusstseins und der Realität immer weiter, selbst in Unternehmen, die viel in das Bewusstsein investieren.
Warum traditionelle Bewusstseinsansätze scheitern
„74% der CISOs sagen, dass ihr Berichtswesen zwar Dashboards produziert, aber nicht genug Klarheit, um bessere Entscheidungen zu treffen.
Die meisten Unternehmen haben im Laufe der Jahre erhebliche Anstrengungen in das Sicherheitsbewusstsein investiert, aber die Art und Weise, wie der Erfolg gemessen wird, hat sich nicht im gleichen Tempo verändert. Abschlussquoten, die Unterzeichnung von Richtlinien und die Ergebnisse von Phishing-Simulationen bilden nach wie vor das Rückgrat vieler Programme. 70 % der CISOs geben an, dass sich ihre Messsysteme auf diese aktivitätsbasierten Metriken stützen. Die Herausforderung besteht darin, dass sie nicht immer widerspiegeln, wie sich Menschen in realen Situationen verhalten. Deshalb sagen 74%, dass ihre Berichte zwar Dashboards liefern, aber nicht genug Klarheit, um bessere Entscheidungen zu treffen.
Es besteht ein Unterschied zwischen dem Wissen, wie ein gutes Sicherheitsverhalten aussieht, und dessen Anwendung in der Praxis, insbesondere wenn jemand beschäftigt ist, unter Druck steht oder konkurrierende Prioritäten hat. Sensibilisierungsprogramme stehen oft außerhalb dieser Realität und werden als eigenständige Aktivitäten durchgeführt, anstatt in die tägliche Entscheidungsfindung integriert zu werden.
Und dann ist da noch die Frage der Relevanz. Allgemeine Sicherheitsschulungen können das Grundwissen verbessern, aber sie spiegeln selten die spezifischen Risiken wider, mit denen der Einzelne in seiner Funktion konfrontiert ist. Jemand, der im Finanzwesen, in der Personalabteilung oder in der IT-Abteilung tätig ist, wird mit ganz unterschiedlichen Szenarien konfrontiert, und doch erhalten sie oft dieselben Schulungsinhalte. Mit der Zeit wird es dadurch schwieriger, das Verhalten sinnvoll zu beeinflussen. Dies spiegelt sich in den Daten wider: Drei Viertel der CISOs geben an, dass die Relevanz der Schulungen wichtiger ist als die Häufigkeit der Schulungen, wenn es darum geht, sicheres Verhalten zu fördern.
Die Erwartungen des Vorstands entwickeln sich schneller als die Fähigkeiten
„Nur 11% der CISOs können ihre Awareness-Aktivitäten mit einer Verringerung von Zwischenfällen oder Beinaheunfällen in Verbindung bringen.
Gleichzeitig steigen die Erwartungen, die an CISOs gestellt werden. Die Cybersicherheit ist nun fest als Geschäftsrisiko verankert, und die Vorstände wollen ein klareres Verständnis dafür, wie dieses Risiko gemanagt wird, insbesondere wenn es um menschliches Verhalten geht. Tatsächlich geben 77% der CISOs an, dass von ihnen erwartet wird, dass sie den ROI für Initiativen zur Bewältigung menschlicher Risiken strenger nachweisen als für technische Kontrollen, was die Messlatte für Sensibilisierungsprogramme höher legt.
Es reicht nicht mehr aus, zu zeigen, dass eine Schulung zum Thema Sicherheit durchgeführt wurde. Die Führungskräfte wollen wissen, ob es funktioniert, wo das Risiko am größten ist und was getan wird, um es zu verringern. Dieser Wandel der Erwartungen vollzieht sich schnell und übersteigt in vielen Fällen die Möglichkeiten herkömmlicher Awareness-Programme.
Dies bringt CISOs in eine schwierige Lage. Sie werden aufgefordert, die Auswirkungen nachzuweisen, aber die verfügbaren Metriken erzählen nicht immer die ganze Geschichte. Viele Unternehmen haben zwar Zugang zu großen Datenmengen, aber 74 % geben an, dass ihre Berichterstattung zwar Dashboards liefert, aber nicht genügend Klarheit, um bessere Entscheidungen zu treffen, und nur 11 % können ihre Awareness-Aktivitäten sicher mit einem Rückgang von Zwischenfällen oder Beinaheunfällen in Verbindung bringen. Diese Diskrepanz macht es sehr viel schwieriger, die Rentabilität der Investitionen nachzuweisen oder weitere Ausgaben zu rechtfertigen.
Die Kosten des Stillstands
Die Beibehaltung des gleichen Ansatzes für das Sicherheitsbewusstsein ist mit wachsenden Kosten verbunden, auch wenn diese für das Unternehmen nicht sofort sichtbar sind. Vorfälle, die auf menschliches Verhalten zurückzuführen sind, können zu finanziellen Verlusten, behördlicher Kontrolle und Rufschädigung führen. Aber darüber hinaus gibt es noch eine subtilere Auswirkung auf die Funktionsweise der Sicherheitsfunktionen.
Wenn Awareness-Programme das Verhalten nicht vollständig beeinflussen, kompensieren Sicherheitsteams dies oft an anderer Stelle. Das kann bedeuten, dass mehr Kontrollen hinzugefügt werden, die Überwachung verstärkt wird oder häufiger auf Vorfälle reagiert wird, die früher hätten verhindert werden können. Im Laufe der Zeit führt dies zu einem zusätzlichen Druck auf die Ressourcen und schränkt die Möglichkeit ein, sich auf längerfristige Verbesserungen zu konzentrieren.
Es ist auch ein strategisches Risiko, zurückzufallen. Da sich die Bedrohungen ständig weiterentwickeln, wird es für Unternehmen, die ihren Ansatz zur Sensibilisierung nicht anpassen, immer schwieriger, die Lücke zu schließen. Was heute noch überschaubar erscheint, kann mit zunehmender Komplexität schnell zu einem viel größeren Problem werden.
Überarbeitung des Bewusstseins für Cybersicherheit für die heutige Bedrohungslandschaft
Es ist klar, dass viele CISOs die Notwendigkeit eines Wandels erkennen. 79% gaben an, dass sie einen strategischeren Ansatz für das Management menschlicher Risiken verfolgen wollen. Die Frage ist, wie das in der Praxis aussieht und wie sich das Bewusstsein für Cybersicherheit entwickeln muss, um dies zu unterstützen.
Sich weiterzuentwickeln bedeutet nicht, bei Null anzufangen, und es bedeutet auch nicht, Schulungen zum Sicherheitsbewusstsein ganz abzuschaffen. Es geht darum, den Schwerpunkt von der Messung der Aktivität auf die Messung des Verhaltens zu verlagern und von einmaligen Maßnahmen auf etwas Kontinuierliches und in die Arbeitsweise der Mitarbeiter Eingebettetes.
Dazu muss man verstehen, wie Menschen in realen Szenarien Entscheidungen treffen, wo diese Entscheidungen Risiken mit sich bringen und wie sich diese Risiken im Laufe der Zeit verändern. Es bedeutet auch, dass wir zu kontext- und rollenspezifischen Ansätzen übergehen, bei denen die Ausbildung die Situationen widerspiegelt, mit denen der Einzelne wahrscheinlich konfrontiert wird.
Für viele Organisationen erfordert dies eine andere Denkweise in Bezug auf das Bewusstsein. Es geht weniger um die Vermittlung von Inhalten als vielmehr um die Schaffung einer Umgebung, in der sicheres Verhalten einfacher, intuitiver und besser unterstützt wird. Dieser Wandel ermöglicht es CISOs, über oberflächliche Metriken hinauszugehen und einen klareren Blick darauf zu bekommen, wie sich das Risiko im gesamten Unternehmen entwickelt.
Ein entscheidender Moment für das Cyber-Bewusstsein
Der Grund, warum sich das Jahr 2026 anders anfühlt, ist, dass mehrere Faktoren gleichzeitig zusammenkommen. Die Bedrohungen sind fortschrittlicher, die Erwartungen sind höher und die Grenzen bestehender Ansätze sind immer schwerer zu ignorieren. KI verstärkt diesen Druck. 46% der CISOs, die weniger Vertrauen in ihren Sicherheitsansatz haben als noch vor 12 Monaten, nennen KI-gestütztes Social Engineering als einen der Hauptgründe.
CISOs haben die Notwendigkeit von Veränderungen bereits erkannt, aber jetzt besteht die Gelegenheit, diese Erkenntnis in die Tat umzusetzen. Organisationen, die ihren Ansatz weiterentwickeln, werden besser in der Lage sein, menschliche Risiken zu verstehen und zu reduzieren, während es für diejenigen, die mit dem gleichen Modell weitermachen, immer schwieriger wird, Schritt zu halten.
Hier geht es nicht darum, auf einen einzelnen Trend zu reagieren. Es geht darum, auf einen breiteren Wandel in der Art und Weise zu reagieren, wie sich Cyberrisiken entwickeln und wie sie verwaltet werden müssen.
Wie MetaCompliance helfen kann
Bei MetaCompliance konzentrieren wir uns auf die Verhaltensweisen, die hinter dem Sicherheitsrisiko stehen, und nicht nur auf die Absolvierung von Schulungsprogrammen.
Cyber-Bewusstsein muss widerspiegeln, wie Menschen arbeiten, wie Entscheidungen unter Druck getroffen werden und wo Risiken am wahrscheinlichsten auftreten. Das bedeutet, dass wir über traditionelle Ansätze hinausgehen und Sicherheitsprogramme entwickeln müssen, die einen echten Einblick in das Verhalten und nicht nur in die Aktivitäten geben.
Wir helfen Organisationen zu verstehen, wo menschliche Risiken bestehen, wie sie sich entwickeln und welche praktischen Schritte unternommen werden können, um sie im Laufe der Zeit zu verringern. Durch die Kombination von verhaltensbezogenen Erkenntnissen mit gezielten, relevanten Schulungen ermöglichen wir es Sicherheitsverantwortlichen, messbare Erfolge zu erzielen und stärkere, widerstandsfähigere Organisationen aufzubauen.
Wenn Sie Ihren Ansatz für das Bewusstsein für Cybersicherheit im Jahr 2026 überdenken wollen, ist es jetzt an der Zeit, den nächsten Schritt zu tun.
Lesen Sie unseren neuesten Bericht und erfahren Sie, wie führende Unternehmen bereits damit begonnen haben, das menschliche Risiko neu zu überdenken.
FAQs zum Thema Cybersicherheit
Was ist Cybersicherheitsbewusstsein und warum ist es wichtig?
Das Bewusstsein für Cybersicherheit bezieht sich darauf, wie gut Mitarbeiter Cyber-Bedrohungen bei ihrer täglichen Arbeit verstehen, erkennen und auf sie reagieren. Das ist wichtig, weil die meisten Sicherheitsvorfälle mit menschlichem Verhalten zu tun haben, sei es das Klicken auf einen Phishing-Link, der falsche Umgang mit Daten oder eine Entscheidung unter Druck. Ein ausgeprägtes Bewusstsein trägt zur Risikominderung bei, indem es die Mitarbeiter in die Lage versetzt, Bedrohungen zu erkennen und angemessen darauf zu reagieren, bevor sie eskalieren.
Warum überdenken Unternehmen im Jahr 2026 die Schulungen zum Sicherheitsbewusstsein?
Viele Unternehmen überdenken ihre Herangehensweise an Sicherheitsschulungen, weil die traditionellen Methoden mit den modernen Bedrohungen nicht mehr Schritt halten können. Angreifer nutzen KI und fortschrittlichere Social-Engineering-Techniken, während sich Awareness-Programme oft auf statische Inhalte und grundlegende Metriken verlassen. Infolgedessen suchen CISOs nach effektiveren, verhaltensorientierten Ansätzen, die das reale Risiko besser widerspiegeln.
Was sind die größten Herausforderungen bei herkömmlichen Programmen zur Förderung des Sicherheitsbewusstseins?
Eine der größten Herausforderungen besteht darin, dass sich herkömmliche Programme eher auf den Abschluss als auf das Verhalten konzentrieren. Kennzahlen wie die Abschlussquote von Schulungen oder die Ergebnisse von Phishing-Tests zeigen nicht immer, wie sich die Mitarbeiter in realen Situationen verhalten. Außerdem mangelt es oft an Relevanz, da die allgemeinen Inhalte nicht auf spezifische Rollen oder alltägliche Entscheidungen abgestimmt sind, was es schwieriger macht, sinnvolle Veränderungen zu bewirken.
Wie können CISOs die Wirksamkeit von Cyber Awareness messen?
Um die Effektivität zu messen, muss man über die grundlegenden Beteiligungskennzahlen hinausgehen und sich mit dem Verhalten der Mitarbeiter befassen. Dazu gehört das Verständnis, wie Mitarbeiter auf reale Szenarien reagieren, wo Risiken am wahrscheinlichsten auftreten und wie sich das Verhalten im Laufe der Zeit verändert. Fortgeschrittenere Ansätze nutzen Daten und Analysen, um das menschliche Risiko sichtbar zu machen und messbare Verbesserungen nachzuweisen.
Was ist Human Risk Management in der Cybersicherheit?
Menschliches Risikomanagement ist ein Ansatz, der sich darauf konzentriert, die Risiken zu verstehen und zu verringern, die durch menschliches Verhalten innerhalb einer Organisation entstehen. Anstatt den Menschen als schwächstes Glied zu betrachten, geht es darum, wie Entscheidungen getroffen werden, was diese Entscheidungen beeinflusst und wie Organisationen bessere Ergebnisse erzielen können. Er kombiniert Verhaltensdaten, gezielte Schulungen und kontinuierliche Verbesserungen, um die Gefährdung durch Cyber-Bedrohungen zu verringern.