👀🧠 Security fängt beim Ausschalten des Hirns an – und echte Awareness beim bewussten Handeln

Daniel Eberhorn
27. Mai
5 Min. Lesezeit

Flat-style digital illustration divided into two halves. On the left, a muted orange background shows a dark silhouette with a faded brain and two warning symbols, representing inattentiveness and security risks. On the right, a teal background displays a bright, glowing brain inside a focused silhouette, accompanied by a shield with a checkmark and a secure password field, symbolizing cybersecurity awareness and conscious action.

Bild generiert durch OpenAI's DALL·E

Warum dieser Titel?

Security-Probleme entstehen selten, weil jemand absichtlich Regeln missachtet. Viel häufiger passieren sie, weil aus Gewohnheit gehandelt wird – ohne bewusst nachzudenken.

„Ausschalten“ bedeutet nicht, dass Sicherheit vergessen oder bewusst ignoriert wird. Vielmehr reagieren Menschen im Alltag häufig automatisch – und dabei geraten gute Sicherheitsentscheidungen schnell in den Hintergrund.

Deshalb geht es nicht nur darum, Wissen zu besitzen, sondern darum, sichere Gewohnheiten zu entwickeln, die auch im Alltag bestehen.

Security Awareness entsteht nicht im Seminarraum

Awareness-Trainings bleiben oft Alibiübungen in der Cyber Security.

Echte Sicherheit entsteht nicht durch das Absolvieren eines Kurses, sondern durch konsequentes, tägliches Verhalten.

Security as a Social Norm

Menschen orientieren sich in ihrem Verhalten fast immer an ihrer Umgebung – bewusst oder unbewusst. Was als „normal“ gilt, wird oft ohne große Reflexion übernommen. Dieses Prinzip sozialer Normen steuert viele Alltagsentscheidungen:

Man spricht leise in der Bibliothek, sortiert Müll in Deutschland oder trägt im Supermarkt Schuhe – nicht, weil ständig Regeln vorgelesen werden, sondern weil es alle tun.

Beispiele außerhalb der Security:

Gesundheitsbereich: In Krankenhäusern gibt es klare Normen für Händedesinfektion. Studien zeigen: Wird die Compliance öffentlich sichtbar gemacht (z.B. Poster "90 % unserer Mitarbeiter desinfizieren ihre Hände regelmäßig"), steigt die Quote deutlich („social proof“, vgl. [Cialdini, Influence: The Psychology of Persuasion]).
Umweltschutz: Die Mitteilung "80 % der Gäste in diesem Hotel nutzen ihre Handtücher mehrfach" führt nachweislich zu höherer Wiederverwendung als reine Appelle an das Umweltbewusstsein (Studie: Goldstein, Cialdini, Griskevicius, 2008).

Sicherheitsbewusstes Verhalten wird erst dann nachhaltig, wenn es gesehen, erwartet und bestätigt wird – nicht, weil eine Policy es verlangt, sondern weil es als selbstverständlicher Teil der sozialen Realität wahrgenommen wird.

Menschen passen ihr Verhalten ständig an das an, was sie glauben, dass andere tun oder erwarten. Wird sicheres Verhalten sichtbar vorgelebt und anerkannt, entsteht eine stille soziale Erwartung.

Diese soziale Bestätigung wirkt oft stärker als jede formale Vorgabe.

Es wird „normal“, nachzufragen, wenn eine Mail verdächtig erscheint. Ebenso wird es selbstverständlich, mobile Geräte konsequent zu sperren oder keine sensiblen Informationen über unsichere Kanäle zu teilen.

Kulturelles Design am Arbeitsplatz – und darüber hinaus

Sichere Gewohnheiten am Arbeitsplatz entstehen nicht von selbst. Sie müssen bewusst geschaffen und über alle Ebenen hinweg vorgelebt werden – von Führungskräften ebenso wie von Mitarbeitenden.

Kulturelles Design bedeutet hier, die tägliche Arbeitsumgebung so zu gestalten, dass sich sicheres Verhalten nicht wie eine Zusatzaufgabe anfühlt, sondern wie ein selbstverständlicher Teil des beruflichen Handelns. Policies und Schulungen bilden dafür lediglich die Grundlage. Wirkliche Veränderung entsteht erst, wenn Regeln im Alltag sichtbar gelebt werden.

Beispiele für kulturelles Design in der Praxis:

Zugängliche Sicherheit: Arbeitsgeräte sind so vorkonfiguriert, dass Verschlüsselung, Zwei-Faktor-Authentifizierung und automatische Sperrzeiten standardmäßig aktiviert sind. Niemand muss extra etwas einrichten – sichere Defaults senken die Hürde.
Sichtbares Vorleben: Führungskräfte sperren ihre Laptops selbst bei kurzen Pausen konsequent, setzen sichere Kommunikationswege durch und greifen bei unsicheren Situationen frühzeitig ein. Sicherheit wird nicht theoretisch gefordert, sondern praktisch vorgelebt.
Positive Verstärkung: Mitarbeitende, die ein Sicherheitsproblem entdecken oder proaktiv handeln (zum Beispiel eine verdächtige E-Mail melden), werden gelobt und nicht mit zusätzlichen Aufgaben oder Schuldzuweisungen belastet. Anerkennung fördert Wiederholung.
Offene Kommunikation: Statt auf Schuldzuweisungen zu setzen, wenn ein Fehler passiert, wird offen darüber gesprochen. Fehler werden als Lernchancen verstanden, nicht als Karriereknick.
Sicherheitsbewusste Standards: Projekte und interne Prozesse werden von Anfang an mit Sicherheitsfragen durchdacht: „Welche Daten verarbeiten wir?“, „Wie sichern wir sie ab?“, „Welche minimalen Berechtigungen sind notwendig?“ – und diese Fragen werden nicht als Bremse, sondern als Qualitätsmerkmal gesehen.

Ein kulturelles Design, das Sicherheit in kleine, regelmäßige Handlungen übersetzt, wirkt nachhaltig: Wenn es selbstverständlich ist, sich über sichere, identitätsbasierte Zugänge (z.B. Single Sign-On mit Multi-Faktor-Authentifizierung) anzumelden oder vertrauliche Unterlagen nicht offen auf dem Schreibtisch liegen zu lassen, braucht es keine ständige Erinnerung mehr.

Entscheidend ist:

Sicherheit muss in der Wahrnehmung aller Mitarbeitenden eine Frage der täglichen Praxis werden – nicht ein Sonderthema, für das „irgendwann“ Zeit ist. Erst wenn Sicherheit kein zusätzlicher Aufwand, sondern integraler Bestandteil des normalen Arbeitsstils ist, wird sie wirklich gelebt.

Social Media: Privat gepostet, beruflich verwertet

Sicherheitsbewusstsein geht über das Büro hinaus. Gerade auf Social Media werden oft unbewusst Informationen geteilt, die für Angreifer wertvoll sein können – und so auch das Unternehmen gefährden.

Schon kleine Details reichen aus: Ein Urlaubsfoto, veröffentlicht in Echtzeit, zeigt Abwesenheiten. Fotos aus dem Büro können sensible Informationen im Hintergrund sichtbar machen. Und ein scheinbar harmloses Bild eines Firmenausweises oder einer Zugangskarte kann ungewollt technische Details verraten, die zur Nachahmung oder Fälschung genutzt werden können.

Typische Risiken auf Social Media:

Fotos von Arbeitsplätzen, Bildschirmen oder internen Räumen – oft mit sichtbaren Dokumenten, Plänen oder Geräten.
Fotos von Firmenausweisen, Zugangskarten oder Besucherausweisen – ermöglichen technische Rekonstruktion oder Identitätsmissbrauch.
Veröffentlichung von Standortdaten – kann Rückschlüsse auf interne Strukturen oder Sicherheitszonen erlauben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in der BSI-CS 044 darauf hin, beim Teilen auf sozialen Medien besondere Vorsicht walten zu lassen:

Fotos von Ausweisen, internen Bereichen oder sicherheitsrelevanten Informationen sollten grundsätzlich vermieden werden.

Auch Metadaten wie Geotags können unbeabsichtigt sensible Informationen preisgeben und Rückschlüsse auf interne Strukturen ermöglichen.

Es geht nicht darum, die Nutzung von Social Media zu verhindern oder sich nicht mehr über berufliche Positionen oder Erfolge zu freuen. Vielmehr sollte ein bewusstes Augenmaß entstehen: Welche Details könnten ein Risiko darstellen? Welche Inhalte gehören besser nicht ins öffentliche Internet?

Praktische Ansätze für mehr Datensparsamkeit im Alltag:

Keine Fotos von Firmenausweisen, Zugangskarten oder internen Bereichen posten.
Sensible Technik oder Dokumente im Hintergrund unkenntlich machen oder vermeiden.
Standort- und Metadaten in Fotos vor dem Teilen entfernen.
Veröffentlichungen regelmäßig aus Angreiferperspektive hinterfragen: Was verrate ich unbeabsichtigt?

Jede Information, die nicht veröffentlicht wird, reduziert potenzielle Angriffsflächen.

Gemeinsam besser: Andere unterstützen, ohne zu missionieren

Sicheres Verhalten lässt sich nicht verordnen. Es entwickelt sich durch Vorbilder, Vertrauen und kleine Impulse im Alltag.

Wer selbst bewusst mit sensiblen Informationen umgeht, kann damit einen wichtigen Einfluss auf andere ausüben – ohne belehrend zu wirken. Im Arbeitsumfeld bedeutet das zum Beispiel, Sicherheitsrisiken freundlich anzusprechen, Hilfe bei Unsicherheiten anzubieten oder gute Gewohnheiten wie das Sperren von Geräten selbstverständlich vorzuleben. Auch kleine Gesten machen einen Unterschied: Wer eine Phishing-Mail meldet und das offen kommuniziert, wer bewusst sichere Kommunikationswege nutzt oder bei Kollegen kurz nachfragt, wenn etwas verdächtig erscheint, prägt das Sicherheitsklima nachhaltig.

Wichtig ist dabei, auf Augenhöhe zu agieren. Nicht jede Person hat dieselben technischen Kenntnisse oder dasselbe Risikobewusstsein. Wer andere unterstützt, anstatt sie bloßzustellen oder zu belehren, baut Vertrauen auf – und schafft damit die Grundlage dafür, dass sich sichere Verhaltensweisen tatsächlich etablieren.

Konkrete Beispiele für unaufdringliche Unterstützung im Alltag:

Einen unsicheren Link gemeinsam prüfen, statt nur auf die Gefahr hinzuweisen.
Vorschlagen, gemeinsam sichere Passwörter oder Passwortmanager einzurichten.
Bei neuen Mitarbeitenden Sicherheitsroutinen wie Gerätesperren oder MFA-Anmeldungen direkt im Arbeitsalltag vorleben.
Bei Präsentationen oder Meetings bewusst sensible Informationen ausblenden und das auch kurz begründen („Sicherheitsgründe“).

Kulturelles Design lebt davon, dass sich gutes Verhalten verbreitet – nicht durch Druck, sondern durch das Gefühl, dass es selbstverständlich und richtig ist.

Wer Sicherheit vorlebt, macht sie für andere erreichbar.