2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Das Rückhalt-Problem

Warum Datenschutz- und Security-Awareness-Programme selten an der E-Learning scheitern, sondern am fehlenden Engagement des Managements, und wie man das Management doch gewinnt.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Kurzfassung

  1. Das Engagement des Managements zählt zu den stärksten und am konsistentesten nachgewiesenen Prädiktoren für sicheres Verhalten von Mitarbeitenden. Das zeigen eine Meta-Analyse von 95 empirischen Studien, mehrere systematische Literaturstudien und Untersuchungen unter erfahrenen Awareness-Fachleuten. Ein Awareness-Programm ist deshalb kein Produkt, das man ausrollt, sondern ein Veränderungsprozess, dessen tragender Bestandteil das Management ist.
  2. Dieses Engagement wirkt überwiegend indirekt, über die Kultur und das Vorbildverhalten. Mitarbeitende richten sich nach dem, was ihre Führungskräfte tun, und nicht nach dem, was diese sagen. Symbolische Unterstützung, etwa eine einmalige Ankündigung der Geschäftsführung, verändert deshalb wenig, während sichtbare Teilnahme, Vorbildverhalten und Steuerung sehr wohl etwas bewirken. Darüber hinaus verwaltet das Management die Gelegenheit zum Lernen, nämlich das Budget, die Zeit während der Arbeitszeit und die Priorität. Genau diese Gelegenheit fehlt, sobald Awareness als "einfach eine E-Learning-Maßnahme ausrollen" verstanden wird.
  3. Ein Management überzeugt man nicht mit Angst, sondern mit drei Wegen zugleich: der gesetzlichen Sorgfaltspflicht aus der NIS2-Richtlinie und ihrer nationalen Umsetzung, die die Geschäftsleitung selbst verantwortlich und schulungspflichtig macht; einer konkreten und kleinen Bitte um Verhalten anstelle einer vagen Bitte um Rückhalt; und einer Berichterstattung in der Sprache der Risiken anstatt in Abschlussquoten.

Wer ein Privacy- und Security-Awareness-Programm scheitern sieht, sucht die Ursache meist in der Nähe des Programms selbst. Vielleicht war das E-Learning zu langweilig, die Kommunikation zu dünn oder die Mitarbeitenden zu beschäftigt. Manchmal liegt die Ursache tatsächlich im Programm selbst, etwa wenn Sicherheit und Datenschutz über einen Kamm geschoren werden, obwohl sie einen unterschiedlichen Ansatz erfordern, wie wir in Der Unterschied zwischen Security Awareness und Datenschutzbewusstsein gezeigt haben. In der Praxis geht all dem jedoch oft etwas anderes voraus: ein Management, das Awareness mit "das ist doch einfach eine E-Learning-Maßnahme ausrollen" zusammenfasst und das anschließend nicht mehr Budget, Zeit und Aufmerksamkeit dafür bereitstellt als für eine beliebige Softwarelizenz.

Dieser Bericht stellt zusammen, was die wissenschaftliche Forschung über die Rolle des Managements in Awareness-Programmen sagt, warum diese Rolle so schwer wiegt und wie man als Fachperson ein zurückhaltendes Management dennoch mitnimmt.

Methodik

Art
Literaturstudie auf Basis von peer-reviewter Forschung und der europäischen NIS2-Richtlinie.
Quellen
Eine Meta-Analyse von 95 empirischen Studien, drei systematische Literaturstudien, Feldforschung unter Awareness-Fachleuten und Aufsichtsratsforschung der MIT Sloan und der Bentley University.
Stichtag
Juni 2026.
Leitfrage
Inwieweit bestimmt das Engagement des Managements, ob ein Privacy- und Security-Awareness-Programm gelingt oder scheitert, und wie überzeugt man ein Management, das Awareness als das Ausrollen eines E-Learnings ansieht?

Teilfragen

  1. Was versteht die Forschung unter Management-Engagement, und welche Formen werden dabei unterschieden?
  2. Wie stark ist der Zusammenhang zwischen Management-Engagement und sicherem Verhalten von Mitarbeitenden, verglichen mit anderen Faktoren?
  3. Über welchen Mechanismus beeinflusst das Management dieses Verhalten?
  4. Ist Management-Engagement ein kritischer Erfolgsfaktor für das Awareness-Programm selbst?
  5. Was geschieht in der Praxis, wenn dieses Engagement fehlt?
  6. Welche Formen des Engagements haben nachweislich Wirkung, und welche bleiben symbolisch?
  7. Mit welchen Argumenten und Maßnahmen überzeugt man ein zurückhaltendes Management?

01 · BefundManagement-Engagement ist keine Randbedingung, sondern ein Hauptfaktor

Die Forschung zu der Frage, warum Mitarbeitende sich sicher verhalten oder nicht, ist umfangreich. Die vollständigste Zusammenfassung ist die Meta-Analyse von Cram, D'Arcy und Proudfoot (2019) in MIS Quarterly, in der 95 empirische Studien und 401 untersuchte Variablen auf siebzehn Kategorien von Faktoren reduziert wurden, die die Einhaltung von Sicherheitsrichtlinien vorhersagen. Der rote Faden aus dieser und späteren Übersichtsstudien ist, dass die ausschlaggebenden Faktoren nicht technischer, sondern organisatorischer Natur sind: die Einstellung und die persönlichen Normen der Mitarbeitenden, das soziale Umfeld, in dem sie arbeiten, und die Organisationskultur. Bemerkenswerterweise erweist sich das klassische Instrument vieler Manager, das Belohnen und Bestrafen, gerade als einer der schwächsten Prädiktoren.

Eine systematische Literaturstudie über den Zeitraum 2001 bis einschließlich 2023 kommt zum selben Kern: die Unterstützung des Topmanagements und die Organisationskultur gehören, zusammen mit der wahrgenommenen Wirksamkeit der Maßnahmen, zu den bestimmenden Faktoren für Compliance-Verhalten (García de Blanes-Sebastián et al., 2025). Und in der Übersichtsstudie von Khando und Kollegen (2021), die speziell auf Wege zur Steigerung des Sicherheitsbewusstseins von Mitarbeitenden blickte, tritt die Teilnahme des Managements als einer der Faktoren mit dem stärksten Effekt auf dieses Bewusstsein hervor.

Wenn die Manager nicht engagiert sind, sind es die übrigen Mitglieder der Organisation auch nicht.

Befund von Khando und Kollegen (2021)

Dasselbe Bild ergibt sich, wenn man nicht die Literatur befragt, sondern die Menschen, die Awareness-Programme aufbauen. Alyami und Kollegen (2023, 2024) befragten erfahrene Fachleute in den Vereinigten Staaten, im Vereinigten Königreich, in Irland und im Nahen Osten und leiteten daraus elf kritische Erfolgsfaktoren für die Wirksamkeit von Programmen für Security, Education, Training und Awareness ab, geordnet entlang des Lebenszyklus eines solchen Programms. Die Unterstützung des Managements und die Verfügbarkeit von Ressourcen ziehen sich dort als Voraussetzung hindurch: ohne diese Grundlage kommen die übrigen Erfolgsfaktoren, wie maßgeschneiderte Inhalte und fortlaufende Evaluation, schlicht nicht zustande.

Die Schlussfolgerung dieses ersten Befunds ist damit eindeutig. Das Engagement des Managements ist in der Forschung keine wünschenswerte Begleiterscheinung, sondern einer der Hauptfaktoren, die darüber entscheiden, ob ein Awareness-Programm das Verhalten der Mitarbeitenden verändert.

Von Managementbeteiligung zu sicherem Verhalten Der Einfluss wirkt direkt und über die Kultur Management- beteiligung Sicherheits- kultur Einstellung Soziale Norm Wahrgenommene Kontrolle bei den Mitarbeitenden Sicheres Verhalten direkter Effekt indirekter Effekt, über die Kultur Konzeptionelle Darstellung. Nach Hu, Dinev, Hart und Cooke (2012), Decision Sciences.

Abbildung 1 Von der Management-Partizipation zum sicheren Verhalten. Die Teilnahme des Topmanagements wirkt sowohl direkt als auch über die Sicherheitskultur auf die Einstellung, die soziale Norm und die wahrgenommene Kontrolle der Mitarbeitenden und damit auf ihr Verhalten. Nach Hu, Dinev, Hart und Cooke (2012).

02 · BefundEngagement wirkt über Kultur und Vorbildverhalten, nicht über die Ankündigungsmail

Wie wirkt dieser Einfluss des Managements dann genau? Die klassische Studie hierzu ist die von Hu, Dinev, Hart und Cooke (2012) in Decision Sciences. Sie ordneten die Rolle des Topmanagements und der Organisationskultur in die Theorie des geplanten Verhaltens ein und überprüften dieses Modell mit Fragebogenuntersuchungen und Strukturgleichungsmodellen. Das Ergebnis: die Teilnahme des Topmanagements an Sicherheitsinitiativen hat sowohl einen direkten als auch einen indirekten Einfluss auf die Einstellung der Mitarbeitenden zur Compliance, auf die soziale Norm, die sie wahrnehmen, und auf das Maß, in dem sie sich selbst in der Lage sehen, das Richtige zu tun. Ein wesentlicher Teil dieses Einflusses verläuft über die Organisationskultur: das Management formt die Kultur, und die Kultur formt das Verhalten.

Das Schlüsselwort in dieser Studie ist Teilnahme, und das ist kein Zufall. Die Forschenden treffen eine nachdrückliche Unterscheidung zwischen aktiver Teilnahme des Managements und Unterstützung aus der Distanz. Eine Geschäftsleitung, die das Programm genehmigt und sich danach nicht mehr darum kümmert, gibt Unterstützung. Eine Geschäftsleitung, die selbst als Erste die Schulung durchläuft, im Arbeitsmeeting darüber berichtet und in den Quartalsgesprächen danach fragt, nimmt teil. Nur diese zweite Form verändert, was Mitarbeitende als normal betrachten.

Forschung zu Führungsstilen bestätigt das. Guhr, Lebek und Breitner (2019) verknüpften das sogenannte Full-Range-Leadership-Modell mit dem Sicherheitsverhalten von Mitarbeitenden und fanden heraus, dass inspirierende und engagierte Führung nicht nur die Bereitschaft erhöht, die Regeln zu befolgen, sondern auch die Bereitschaft, aktiv beizutragen, etwa indem Vorfälle gemeldet oder Kollegen angesprochen werden. Passive Führung, die erst in Bewegung kommt, wenn etwas schiefgeht, zeigt diese Effekte nicht. Und in der Übersichtsstudie von Uchendu, Nurse, Bada und Furnell (2021) über den Aufbau einer Sicherheitskultur wird die Management-Unterstützung in zwei Dimensionen aufgeschlüsselt: die Bedeutung, die das Management der Sicherheit beimisst, und das Engagement, das es sichtbar dafür zeigt. Sowohl vollständige Unterstützung als auch Engagement der Spitze erweisen sich als notwendig, denn das eine wirkt nicht ohne das andere.

Für die Praxis bedeutet dies, dass die übliche Umsetzung von Management-Engagement, eine Ankündigungsmail zum Start der Kampagne, so gut wie nichts bewirkt. Mitarbeitende lesen diese Mail, blicken anschließend auf das Verhalten ihrer eigenen Führungskraft und richten sich danach. Ein Direktor, der sein Passwort mit seiner Assistentin teilt, sagt der Organisation mehr über die Bedeutung von Sicherheit als zehn Kampagnen zusammen.

Vier Formen der Managementbeteiligung Der nachweisbare Effekt liegt vor allem in den oberen drei Stufen 1 · Unterstützung Worte und Budget 2 · Beteiligung aktive Teilnahme am Programm 3 · Vorbildverhalten selbst tun, was die Richtlinie verlangt 4 · Governance steuern, überwachen, verantworten symbolisch struktureller Effekt auf Verhalten

Abbildung 2 Vier Formen des Management-Engagements, ansteigend von symbolisch zu strukturell: Unterstützung (Worte und Budget), Teilnahme (aktives Engagement), Vorbildverhalten (selbst tun, was die Richtlinie verlangt) und Governance (steuern, beaufsichtigen und verantworten). Die Forschung zeigt, dass die Wirkung vor allem in den oberen drei Stufen liegt.

03 · ErklärungDas Management verwaltet die Gelegenheit, und die ist bei keinem Anbieter zu kaufen

Warum ist die Rolle des Managements dann so ausschlaggebend, obwohl es die Schulung selbst selten entwickelt oder durchführt? Die Antwort wird sichtbar, sobald man das COM-B-Modell aus der Verhaltenswissenschaft danebenlegt (Michie, van Stralen und West, 2011). Sicheres Verhalten entsteht erst, wenn drei Dinge zusammenkommen: die Capability (Wissen und Fähigkeit), die Motivation (der Wille) und die Opportunity (der physische und soziale Raum, das Richtige zu tun).

Ein E-Learning liefert die Capability und bei gutem Design auch einen Teil der Motivation. Die Opportunity kann ein Anbieter jedoch nicht liefern, denn die liegt nahezu vollständig in den Händen des Managements. Das Management bestimmt, ob Mitarbeitende die Schulung während der Arbeitszeit absolvieren dürfen oder ob diese abends obendrauf kommen muss. Es bestimmt, ob es Budget für Wiederholung und maßgeschneiderte Inhalte gibt oder nur für eine einmalige Lizenz. Und es bestimmt, ob Awareness ein fester Punkt auf der Agenda des Arbeitsmeetings ist oder eine jährliche Pflicht, die Teamleiter schnell wegklicken. Über die soziale Norm und das Vorbildverhalten aus dem vorigen Abschnitt bestimmt es zudem einen erheblichen Teil der Motivation.

Damit fällt die Argumentation "das ist doch einfach eine E-Learning-Maßnahme ausrollen" an ihren Platz. Wer so argumentiert, kauft von den drei Voraussetzungen für Verhaltensänderung nur die erste ein und lässt gerade die beiden Voraussetzungen liegen, die nur die Organisation selbst liefern kann. Das ist kein Detail. Die Meta-Analyse von Prümmer, van Steen und van den Berg (2024), die wir auch in unserem Bericht über Phishing-Simulationen angeführt haben, zeigt, dass Schulung das Verhalten erst dann merklich verändert, wenn sie aktiv, wiederholt und auf die Zielgruppe abgestimmt ist. Wiederholung kostet Zeit während der Arbeitszeit, maßgeschneiderte Inhalte kosten Budget und aktive Lernformen verlangen die Aufmerksamkeit von Führungskräften. Die Formen der Schulung, die nachweislich wirken, sind also genau die Formen, die ohne Management-Engagement als Erste wegrationalisiert werden.

Bada, Sasse und Nurse (2015) beschrieben bereits, warum Awareness-Kampagnen so oft kein Verhalten verändern: sie senden Informationen, ohne das Umfeld zu verändern, sie sind einmalig statt fortlaufend, und sie werden nicht in der Organisation verankert. Jeder dieser drei Misserfolgsfaktoren geht im Kern aus einer Entscheidung, oder deren Ausbleiben, auf Managementebene hervor.

Eine Einschränkung ist hier angebracht. Der Großteil der Forschung in diesem Feld ist korrelativ: sie zeigt starke und konsistente Zusammenhänge, beweist aber nicht im strengen Sinne, dass das Fehlen von Management-Engagement die Ursache des Scheiterns ist. Was feststeht, ist, dass das Engagement des Managements zu den stärksten Prädiktoren für Erfolg gehört und dass dessen Fehlen genau die Mechanismen untergräbt, von denen Verhaltensänderung abhängt: die Kultur, die soziale Norm und die Gelegenheit zum Lernen. Für die Praxis ist diese Unterscheidung weniger wichtig, als sie klingt. Die Frage ist nämlich nicht, wer Schuld hat, wenn ein Programm scheitert, sondern welche Voraussetzungen man vorab schaffen muss, um es zum Gelingen zu bringen.

Wer liefert was? Das COM-B-Modell und das Management Ein E-Learning liefert die Fähigkeit; die Gelegenheit kann nur das Management liefern Fähigkeit können Wissen und Können durch Training und E-Learning geliefert Motivation wollen mitgeprägt durch Normen und Vorbildverhalten teils in der Hand des Managements Gelegenheit den Raum bekommen Arbeitszeit, Budget, Wiederholung und Priorität fast vollständig in der Hand des Managements Sicheres Verhalten Konzeptionelle Darstellung. Nach Michie, van Stralen und West (2011).

Abbildung 3 Das COM-B-Modell mit der Rolle des Managements. Das E-Learning liefert die Capability. Die Motivation wird mitgeprägt durch die Normen und das Vorbildverhalten der Führungskräfte. Die Opportunity, also die Zeit, das Budget und die Priorität, liegt nahezu vollständig in den Händen des Managements. Nach Michie, van Stralen und West (2011).

04 · AnsatzSo überzeugt man das Management

Die vorangehenden Befunde führen zu einer unbequemen, aber brauchbaren Schlussfolgerung: das Überzeugen des Managements ist keine Randaktivität neben dem Awareness-Programm, sondern dessen erste Phase. Die Forschung, ergänzt durch Aufsichtsratsforschung der MIT Sloan und der Bentley University unter Vorständen und Aufsichtsräten (Proudfoot, Cram, Madnick und Coden, 2023), weist auf fünf Schritte hin.

  1. Beginnen Sie bei der Sorgfaltspflicht und nicht bei der Bedrohung.Angstbilder über Hacker bewirken bei einer Geschäftsleitung wenig; das Bewusstsein der eigenen Verantwortung umso mehr. Die NIS2-Richtlinie und ihre nationale Umsetzung legen die Verantwortung für die Beherrschungsmaßnahmen ausdrücklich bei der Geschäftsleitung: sie muss die Maßnahmen genehmigen, die Umsetzung überwachen und kann bei Vernachlässigung persönlich haftbar gemacht werden. Geschäftsleitungen sind zudem verpflichtet, selbst eine Schulung zu absolvieren, und es wird von ihnen erwartet, ihren Mitarbeitenden vergleichbare Schulungen anzubieten (Richtlinie (EU) 2022/2555, Artikel 20). Awareness ist damit kein Angebot des CISO, sondern eine gesetzliche Aufgabe der Geschäftsleitung, bei der der CISO unterstützt. Das verändert den Ton des Gesprächs vollständig.
  2. Bitten Sie nicht um Rückhalt, sondern um Verhalten."Wir rechnen mit der Unterstützung der Geschäftsführung" erntet zustimmendes Nicken und verändert nichts. Bitten Sie stattdessen um drei oder vier konkrete, kleine Verhaltensweisen, die zusammen sehr wohl den Unterschied machen: das Management absolviert die Schulung selbst und als Erstes, berichtet darüber in einer eigenen Mitteilung oder Besprechung, setzt das Thema fest auf die eigene Sitzungsagenda und fragt Führungskräfte regelmäßig nach dem Fortschritt in ihren Teams. Dies sind die Formen von Teilnahme und Vorbildverhalten, deren Wirkung die Forschung nachweist (Hu et al., 2012; Khando et al., 2021), und sie kosten ein Mitglied der Geschäftsleitung höchstens einige Stunden pro Jahr.
  3. Machen Sie die Gelegenheit zu einem ausdrücklichen Bestandteil der Entscheidung.Legen Sie dem Management nicht die Anschaffung eines E-Learnings vor, sondern eine Entscheidung mit drei Bestandteilen: den Inhalt (das Programm), die Gelegenheit (Lernzeit während der Arbeitszeit, einen Rhythmus der Wiederholung und Raum für maßgeschneiderte Inhalte je Zielgruppe) und die eigene Rolle des Managements (die Verhaltensweisen aus Schritt 2). Wer nur den ersten Bestandteil genehmigen lässt, organisiert das Scheitern der anderen beiden. Machen Sie dabei die Kosten der Gelegenheit in Stunden pro Mitarbeitendem pro Jahr sichtbar, damit die Geschäftsleitung weiß, worüber sie tatsächlich entscheidet.
  4. Berichten Sie in der Sprache der Risiken und nicht in Abschlussquoten.Die Aufsichtsratsforschung zeigt, dass Vorstände mit Cybersecurity ringen, weil die Informationen, die sie erhalten, zu technisch oder zu oberflächlich sind (Proudfoot et al., 2023). Eine Abschlussquote des E-Learnings sagt einer Geschäftsleitung nichts und verstärkt gerade das Bild von Awareness als Abhakprodukt. Berichten Sie stattdessen über Indikatoren, die Verhalten und Risiko betreffen, etwa das Meldeverhalten bei verdächtigen Nachrichten, die Ergebnisse je Risikogruppe und die Restrisiken, die die Geschäftsleitung akzeptiert. So wird Awareness Teil des Risikodialogs, in dem sich eine Geschäftsleitung zu Hause fühlt und den sie auch gemäß NIS2 und ihrer nationalen Umsetzung steuern muss.
  5. Nutzen Sie die Wissenschaft als Brecheisen.Auf "das ist doch einfach eine E-Learning-Maßnahme ausrollen" gibt es eine kurze und ehrliche Antwort: das wurde bereits versucht und untersucht, und so funktioniert es nicht. Einmalige, passive Aufklärung verändert das Verhalten kaum; Programme mit Wiederholung, maßgeschneiderten Inhalten und sichtbarem Management-Engagement tun das sehr wohl (Prümmer et al., 2024; Bada et al., 2015; Cram et al., 2019). Wer sich als Geschäftsleitung für das kahle E-Learning entscheidet, entscheidet sich also wissentlich und willentlich für die Variante, deren begrenzte Wirkung nachgewiesen ist. Wenige Geschäftsleitungen möchten diese Entscheidung schwarz auf weiß im Protokoll wiederfinden.
Die Überzeugungsroute Fünf Schritte, um das Management vom Zuschauer zum Teilnehmer zu machen 1 Sorgfaltspflicht NIS2: die Leitung ist selbst verantwortlich und schulungspflichtig 2 Verhalten verlangen keinen Rückhalt, sondern drei oder vier konkrete, kleine Verhaltensweisen 3 Vollständiger Beschluss Inhalt, Gelegenheit und die eigene Rolle des Managements in einem Vorschlag 4 Risikosprache Meldeverhalten und Restrisiken statt Abschlussquoten 5 Wissenschaft das bloße E-Learning ist die Variante mit nachweislich begrenzter Wirkung Das Management zu überzeugen ist keine Nebentätigkeit neben dem Programm. Es ist die erste Phase des Programms.

Abbildung 4 Die Überzeugungsroute in fünf Schritten: von der gesetzlichen Sorgfaltspflicht über eine konkrete Bitte um Verhalten und eine vollständige Entscheidung hin zu einer Berichterstattung in der Sprache der Risiken, untermauert mit dem wissenschaftlichen Stand der Dinge.

05 · FazitNicht das E-Learning, sondern der Widerhall

In unserem Bericht über Phishing-Simulationen lautete die Schlussfolgerung, dass das Problem nicht bei den Mitarbeitenden liegt. Die Schlussfolgerung dieses Berichts ist deren Spiegelbild: das Problem liegt meist auch nicht beim E-Learning. Ein Awareness-Programm verändert das Verhalten erst, wenn Wissen, Motivation und Gelegenheit zusammenkommen. Von diesen dreien liefert der Anbieter nur das Wissen und höchstens einen Teil der Motivation. Der Rest muss aus der Organisation selbst kommen, und das ist der Widerhall, den das Programm dort erfährt: die Führungskraft, die es darauf anlegt oder nicht, die Zeit, die dafür freigemacht wird oder nicht, und der Direktor, der selbst tut, was die Richtlinie verlangt, oder eben nicht.

Die wissenschaftliche Forschung ist sich darin bemerkenswert einig. Das Engagement des Managements gehört zu den stärksten Prädiktoren für sicheres Verhalten, es wirkt über Kultur und Vorbildverhalten statt über Ankündigungen, und sein Fehlen erklärt, warum so viele Programme zu einer jährlichen Klickpflicht verkommen. Für die Fachperson bedeutet dies, dass das Gespräch mit dem Management keine Vorarbeit ist, sondern der Kern des Fachs. Und seit der NIS2-Richtlinie und ihrer nationalen Umsetzung steht diese Fachperson in diesem Gespräch stärker da als je zuvor: die Frage ist nicht länger, ob die Geschäftsleitung sich bei Awareness engagieren möchte, sondern ob sie ihre gesetzliche Aufgabe mit dem Ansatz erfüllen möchte, dessen Wirkung nachgewiesen ist.

Einschränkungen

  • Dieser Bericht ist eine Literaturstudie, die bestehende wissenschaftliche Forschung zusammenfasst, und enthält keine eigene neue Forschung.
  • Der Großteil der angeführten Forschung ist korrelativ und misst teils Verhaltensabsichten anstelle von beobachtetem Verhalten; damit sind starke und konsistente Zusammenhänge nachgewiesen, aber kein strikt kausaler Beweis.
  • Die Forschung zum Management-Engagement richtet sich überwiegend auf die Einhaltung von Sicherheitsrichtlinien im weiteren Sinne; Studien, die speziell das Scheitern von Awareness-Programmen an Managementfaktoren überprüfen, sind seltener.
  • Die angeführten Studien wurden in unterschiedlichen Ländern und Branchen durchgeführt, wodurch die Effekte je nach Organisation und Kultur variieren können.

Quellen

  1. Alyami, A., Sammon, D., Neville, K., und Mahony, C. (2023). The critical success factors for Security Education, Training and Awareness (SETA) program effectiveness: a lifecycle model. Information Technology & People, 36(8), 94–125. emerald.com/itp/article/36/8/94
  2. Alyami, A., Sammon, D., Neville, K., und Mahony, C. (2024). Critical success factors for Security Education, Training and Awareness (SETA) programme effectiveness: an empirical comparison of practitioner perspectives. Information and Computer Security, 32(1), 53–73. doi.org/10.1108/ICS-08-2022-0133
  3. Bada, M., Sasse, A. M., und Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  4. Cram, W. A., D'Arcy, J., und Proudfoot, J. G. (2019). Seeing the Forest and the Trees: A Meta-Analysis of the Antecedents to Information Security Policy Compliance. MIS Quarterly, 43(2), 525–554. doi.org/10.25300/MISQ/2019/15117
  5. Europäische Union (2022). Richtlinie (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn), artikel 20. eur-lex.europa.eu/eli/dir/2022/2555
  6. García de Blanes-Sebastián, M., et al. (2025). Factors influencing employee compliance with information security policies: a systematic literature review of behavioral and technological aspects in cybersecurity. Future Business Journal, 11, 28. doi.org/10.1186/s43093-025-00452-7
  7. Guhr, N., Lebek, B., und Breitner, M. H. (2019). The impact of leadership on employees' intended information security behaviour: An examination of the full-range leadership theory. Information Systems Journal, 29(2), 340–362. doi.org/10.1111/isj.12202
  8. Hu, Q., Dinev, T., Hart, P., und Cooke, D. (2012). Managing Employee Compliance with Information Security Policies: The Critical Role of Top Management and Organizational Culture. Decision Sciences, 43(4), 615–660. doi.org/10.1111/j.1540-5915.2012.00361.x
  9. Khando, K., Gao, S., Islam, S. M., und Salman, A. (2021). Enhancing employees information security awareness in private and public organisations: A systematic literature review. Computers & Security, 106, 102267. doi.org/10.1016/j.cose.2021.102267
  10. Michie, S., van Stralen, M. M., und West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  11. Proudfoot, J. G., Cram, W. A., Madnick, S., und Coden, M. (2023). The Importance of Board Member Actions for Cybersecurity Governance and Risk Management. MIS Quarterly Executive, 22(4), 235–250. aisel.aisnet.org/misqe/vol22/iss4/6
  12. Prümmer, J., van Steen, T., und van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  13. Uchendu, B., Nurse, J. R. C., Bada, M., und Furnell, S. (2021). Developing a cyber security culture: Current practices and future needs. Computers & Security, 109, 102387. arxiv.org/abs/2106.14701
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel