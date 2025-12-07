Im Falle eines erfolgreichen Angriffs sind die Schuldigen mitunter schnell gefunden: Eine Lücke in der Firewall, eine geöffnete Phishing-Mail oder eine übersehene Warnmeldung. Doch ein Blick in die Praxis zeigt: IT-Sicherheit scheitert nicht an Technologien oder Fehlverhalten, sondern bereits grundsätzlich an einem Mangel an Unternehmenskultur. Wenn Cybersicherheit in einer Organisation nur als eine schlecht durchgesetzte Aufgabe von anderen für andere verstanden wird, entsteht vielleicht eine oberflächliche Compliance, aber keine wirkliche Cyberresilienz.

Eine Widerstandsfähigkeit gegen die vielfältigen Cybergefahren entwickelt sich nur, wenn die zugehörigen Prozesse in der Unternehmenskultur verankert sind. Resilienz lediglich auf Tools und auf eine Aufgabe für die IT-Abteilung zu reduzieren, greift zu kurz. Kataloge von Einzelmaßnahmen scheitern, wenn nicht ein Sicherheitsbewusstsein und eine Selbstverpflichtung der Mitarbeiter auf allen Hierarchieebenen hinzukommen.

Viele Unternehmen gehen bereits einen Schritt in die Richtung »Kultur« und setzen etwa auf Sicherheitsaufklärung. Aber auch aus Wissen entsteht noch keine gelebte Sicherheit. Eine Teilnahme der Mitarbeiter an jährlichen E-Learning-Kursen, Phishing-Simulationen oder eine obligatorische Bestätigung der Kenntnisnahme von Richtlinien kann schnell zu einer Schulübung verkommen. Natürlich sind Trainings wichtig. Wer aber nur im regelmäßigen Test die Fragen richtig beantwortet und einen Fragebogen besteht, hat vielleicht die oberflächlichen Compliance-Richtlinien erfüllt. Er verfügt auch theoretisch über das nötige Wissen. Viele Absolventen einer solchen oberflächlichen Übung ziehen aber nicht die Konsequenzen und verändern nicht ihr Verhalten. Cybersicherheit ist für sie lediglich ein weiteres To-Do, das sie gerne auf ihrer Liste abhaken.

Sicherheitskultur geht über Compliance hinaus

Mit Compliance-Programmen erfüllen Organisationen zunächst nur Vorgaben. Sie haben also nur eine Teilstrecke auf dem Weg zu einer Kultur der Cybersicherheit absolviert. Erst ein Verständnis der Relevanz cybersicheren Verhaltens macht diese zu einem wirklichen Bestandteil der Unternehmenskultur. Als solche ist Sicherheit eingebettet in die Art und Weise, wie Mitarbeiter denken, handeln und sich gegenseitig ermuntern oder anspornen. Eine Sicherheitskultur sorgt für konsequentes Handeln, ohne dass Mitarbeiter nur auf eine Aufforderung reagieren.

Wie weit Unternehmen auf dem Weg hin zu einer Sicherheitskultur sind, zeigt sich schon anhand kleiner Symptome:

Haben Mitarbeiter eines Unternehmens Zutrauen und Vertrauen und sind daher bereit, den Klick auf einen bösartigen Link zu melden? Oder befürchten sie vielmehr, dafür verantwortlich gemacht zu werden?

Nehmen auch Führungskräfte aktiv und bereitwillig an Tabletop-Übungen teil? Oder stehen sie abseits und lassen ihren Unwillen angesichts der Mehraufgabe durchscheinen?

Werden Richtlinien im gesamten Unternehmen konsequent angewendet? Oder setzen Führungskräfte Ausnahmen für sich selbst durch?

Beschreibt jeweils die zweite Alternative die Wahrheit, ist eines klar: Sicherheit wird von Mitarbeitern nicht als gemeinsame Aufgabe und Interesse gesehen, sondern als eine Aufgabe und ein Nutzen für Andere.

Aber warum ist eine gelebte Sicherheitskultur über alle Ebenen hinweg so schwer zu etablieren? Verhaltensmodelle wie das »Fogg Behavior Model« helfen zu erklären, warum sich Kultur oft nicht etabliert. Demnach sind drei Elemente nötig, damit Mitarbeiter ihr Verhalten ändern:

Motivation:

Mitarbeiter wollen einen Grund haben, um etwas zu tun. Der beste Grund ist der persönliche Nutzen eines jeden.

Mitarbeiter wollen einen Grund haben, um etwas zu tun. Der beste Grund ist der persönliche Nutzen eines jeden. Fähigkeit:

Wer etwas tun soll, verlangt geeignete Werkzeuge und das nötige Wissen, um die Aufgabe ohne Reibungsverluste umzusetzen.

Wer etwas tun soll, verlangt geeignete Werkzeuge und das nötige Wissen, um die Aufgabe ohne Reibungsverluste umzusetzen. Aufforderung:

Um eine Aktion wirklich auszuführen, bedarf es in der Regel eines Anlasses oder Auslösers.

Ist nur eine dieser Bedingungen nicht erfüllt, ändert sich das Verhalten der Mitarbeiter nicht. Gerade an der Motivation hakt es aber häufig. Um die Erwartungshaltung zu erfüllen und das Zugehörigkeitsgefühl zu stärken, muss zudem das gesamte Unternehmen an einem Strang ziehen.

Eine gelebte Cybersicherheit beginnt ganz oben

Aufgrund ihrer Genehmigungskompetenz etwa für Budgets und ihres umfassenden Zugriffs hat die Geschäftsleitung häufig einen überproportionalen Einfluss auf organisatorische Risiken. Nicht weniger Einfluss auf eine Sicherheitskultur hat aber ihre Vorbildfunktion. Wenn disziplinarische Vorgesetzte Cybersicherheit nur als lästige Pflicht betrachten, wird diese Einstellung auf die anderen Hierarchieebenen abfärben.

Führungskräfte untergraben Sicherheitsprogramme zudem, wenn sie Ausnahmen fordern: offene USB-Anschlüsse, Bring-Your-Own-Device-Hardware mit minimalen Kontrollen, uneingeschränkter Fernzugriff, Deaktivieren der Multi-Faktor-Authentifizierung (MFA) oder andere Sonderregeln. Diese Privilegien mögen in der Vorstandsetage bequem sein, aber sie senden eine verheerende Botschaft: Regeln gelten nur für alle anderen. C-Level-Ausnahmen schwächen nicht nur die Kontrolle, sondern auch das Vertrauen und die Sicherheitskultur. IT-Sicherheitsregeln funktionieren nur ohne Ausnahmen.

Echte Sicherheitskultur muss zudem alle Abteilungen einbinden. Denn sie alle können und sollen im Rahmen ihres Aufgabenbereichs einen Teil leisten: Die Personalabteilung nimmt Cybersicherheit in die Einarbeitung und das Leistungsmanagement auf, die Rechtsabteilung integriert Compliance in Verträge und Risikorahmen, das Marketing moderiert, wie Sicherheit intern und extern kommuniziert wird. Externe Experten können neue Perspektiven und Best Practices als Maßstab liefern. Nur wenn alle Abteilungen zusammenarbeiten, stärken sie die Sicherheitsbotschaft auch an jedem Berührungspunkt zwischen den Abteilungen und machen sie so zu einem Element der gesamten Unternehmensorganisation.

Regulatorische Vorgaben erhöhen den Einsatz

Welche Rolle die Unternehmenskultur in puncto Cybersicherheit spielt, haben Sicherheitsverantwortliche schon lang erkannt. Nun greifen auch Regulierungsbehörden diesen Gedanken ausdrücklich auf. Die DSGVO zum Beispiel definiert nicht nur technische Maßnahmen. Sie diktiert auch die Nachweispflicht, dass Mitarbeiter, Prozesse und Verhaltensweisen mit den Datenschutzgrundsätzen im Einklang stehen. DORA (Digital Operational Resilience Act) geht im Finanzsektor und bei dessen Dienstleistern noch einen Schritt weiter und macht Vorstände direkt für Cyberresilienz verantwortlich.

Eine Kultur der Sicherheit und damit der Cyberresilienz ist also nicht mehr nur ein »nice to have«. Wenn Vorstände nicht nachweisen können, dass Sicherheit im gesamten Unternehmen verankert ist (in Strategie, Verhalten und Entscheidungsfindung), haben sie mit realen regulatorischen und reputationsbezogenen Konsequenzen zu rechnen.

Vom Bewusstsein zum veränderten Verhalten

Eine gelebte und ausgereifte Sicherheitskultur beugt nicht nur Verstößen vor. Sie schafft Vertrauen, Widerstandsfähigkeit und sogar Wettbewerbsvorteile. Compliance ist die Grundlage, Kultur der Multiplikator der Cybersicherheit. Gemeinsam tragen beide zur Verbesserung der allgemeinen Resilienz der Unternehmensprozesse bei. Bei einer Kultur der Unternehmenssicherheit geht es um Vertrauen und Disziplin für alle. Das Bewusstsein für Cybersicherheit sollte in die Entscheidungsfindung eines jeden Mitarbeiters einfließen. Echter Fortschritt bemisst sich dabei nicht in Tools oder Erfüllungsraten. Er zeigt sich in neuem Verhalten, in neuen Strukturen, in einer neuen Sicherheitskultur.

Nicholas Jackson, Director of Cyber Security Services, Bitdefender.

Bildquelle: Bitdefender.

Fogg Behavior Model

Das Fogg Behavior Model (FBM) besagt, dass ein Verhalten nur dann entsteht, wenn Motivation, Fähigkeit und ein Auslöser (Trigger) gleichzeitig zusammentreffen. Fehlt eines dieser drei Elemente, tritt das gewünschte Verhalten nicht ein.

Kernelemente des Fogg Behavior Model

Motivation Innere Beweggründe wie Lust, Angst, Hoffnung oder soziale Anerkennung. Beispiel: Jemand möchte gesünder leben, weil er sich fitter fühlen will.

Fähigkeit (Ability) Wie einfach oder schwer eine Handlung ist. Je geringer der Aufwand, desto wahrscheinlicher wird das Verhalten. Beispiel: Ein Fitnessprogramm mit kurzen, klaren Übungen ist leichter umzusetzen als ein komplexes Training.

Auslöser (Prompt/Trigger) Der konkrete Anlass, der das Verhalten auslöst. Beispiel: Eine Push-Benachrichtigung erinnert dich daran, deine tägliche Übung zu machen.



Modellstruktur

Motivation wird auf der senkrechten Achse dargestellt (von niedrig bis hoch).

Fähigkeit liegt auf der waagerechten Achse (von schwierig bis einfach).

Eine Aktionslinie zeigt, ab wann Motivation und Fähigkeit groß genug sind, damit ein Auslöser erfolgreich ein Verhalten auslöst.

Anwendung in der Praxis

UX-/UI-Design: Motivation steigern durch Belohnungen oder klare Vorteile. Fähigkeit erhöhen, indem man Barrieren reduziert (z. B. einfache Formulare). Auslöser setzen, etwa durch Call-to-Action-Buttons oder Erinnerungen.

Vertrieb & Marketing: Kundenverhalten wird wahrscheinlicher, wenn Produkte leicht zugänglich sind, ein klarer Nutzen erkennbar ist und ein passender Trigger (z. B. Rabattaktion) gesetzt wird.



Beispiel

Eine Hochschule bittet Alumni um eine Spende:

Hohe Motivation + Fähigkeit: Alumni mit starkem Bezug und finanziellen Mitteln spenden sofort.

Hohe Motivation, geringe Fähigkeit: Wenn der Betrag zu hoch ist, spenden sie nicht.

Geringe Motivation: Selbst bei einfacher Spende bleibt die Handlung aus, wenn kein emotionaler Bezug besteht.

Das FBM ist besonders wertvoll, um Verhaltensänderungen gezielt zu fördern – sei es im Design, Marketing oder persönlichen Alltag.

Hier ist das visuelle Diagramm des Fogg Behavior Models: Es zeigt die Achsen für Motivation und Fähigkeit, die Aktionslinie von links oben nach rechts unten sowie die Bereiche »Verhalten tritt ein« und »Kein Verhalten«.

Erklärung zum Diagramm

Y-Achse (Motivation): Niedrig bis hoch.

X-Achse (Fähigkeit): Schwierig bis einfach.

Aktionslinie: Trennt die Zone, in der Verhalten ausgelöst wird, von der Zone, in der es nicht passiert.

Oberhalb der Linie: Wenn Motivation und Fähigkeit ausreichend hoch sind, genügt ein Auslöser, und das Verhalten tritt ein.

Unterhalb der Linie: Selbst mit einem Auslöser passiert nichts, weil Motivation oder Fähigkeit zu gering sind.

Bedeutung

Das Diagramm macht deutlich:

Hohe Motivation kann geringe Fähigkeit ausgleichen (z. B. jemand ist sehr motiviert, etwas Schwieriges zu lernen).

Hohe Fähigkeit kann geringe Motivation kompensieren (z. B. eine sehr einfache Aufgabe wird auch bei wenig Motivation erledigt).

Ein Auslöser ist immer notwendig, sonst bleibt das Verhalten aus.

Cybersicherheit der Mitarbeiter lässt sich perfekt mit dem Fogg Behavior Model (FBM) erklären

Anwendung des FBM auf Cybersicherheit

Motivation

Mitarbeiter müssen motiviert sein , sichere Verhaltensweisen anzuwenden.

, sichere Verhaltensweisen anzuwenden. Typische Motivationsfaktoren: Angst vor Datenverlust oder Hackerangriffen Wunsch, das Unternehmen zu schützen Persönliche Verantwortung für Kundendaten



Beispiel: Ein Mitarbeiter weiß, dass ein Phishing-Angriff das Unternehmen Millionen kosten könnte – das steigert seine Motivation, E-Mails kritisch zu prüfen.

Fähigkeit (Ability)

Sicherheitsmaßnahmen müssen einfach umsetzbar sein.

sein. Typische Vereinfachungen: Single-Sign-On statt komplizierter Passwortlisten Automatische Updates statt manuelle Installationen Klare, kurze Schulungen statt komplexer Handbücher



Beispiel: Wenn das Unternehmen eine Passwort-Manager-App bereitstellt, fällt es den Mitarbeitern leichter, starke Passwörter zu nutzen.

Auslöser (Trigger)

Selbst bei Motivation und Fähigkeit braucht es einen konkreten Auslöser .

. Typische Auslöser: E-Mail-Erinnerung: »Bitte aktualisieren Sie Ihr Passwort heute« Pop-up-Hinweis: »Verdächtige Datei erkannt – bitte melden« Regelmäßige Security-Trainings mit praktischen Übungen



Beispiel: Ein Mitarbeiter erhält eine kurze Benachrichtigung, dass eine verdächtige E-Mail im Postfach liegt – dieser Trigger führt zum richtigen Verhalten (Meldung an IT).

Zusammenspiel im Diagramm

Hohe Motivation + einfache Fähigkeit + Trigger → Mitarbeiter klicken nicht auf Phishing-Links.

Hohe Motivation, aber geringe Fähigkeit → Wenn die Sicherheitssoftware zu kompliziert ist, sinkt die Erfolgsquote.

Hohe Fähigkeit, aber geringe Motivation → Selbst einfache Tools werden ignoriert, wenn Mitarbeiter denken »Das passiert uns eh nicht«.

Fazit

Das FBM zeigt klar:

Motivation allein reicht nicht.

Fähigkeit muss durch einfache Tools unterstützt werden.

Trigger sind entscheidend, um Verhalten im Alltag auszulösen.

Albert Absmeier & KI

