2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Das Teilnahmeparadox

Warum verpflichtende Security- und Datenschutz-Schulungen die Teilnahme erhöhen, das Verhalten aber nicht von selbst ändern, und welcher Ansatz laut Wissenschaft wirklich wirkt.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Kurz gefasst

  1. Eine Verpflichtung erhöht zuverlässig die Zahl der Mitarbeitenden, die das Training abschließen, doch die Abschlussquote ist ein Maß für Aktivität und nicht für das Ergebnis. Der Erfolg, den Organisationen feiern, ein Abschluss von nahezu hundert Prozent, ist nicht der Erfolg, den sie eigentlich suchen, nämlich sichereres Verhalten.
  2. Freiwilligkeit ist keine Alternative. Ohne Verpflichtung bleibt die Teilnahme so gering, dass sich kaum etwas verändern lässt. Der Gegensatz zwischen Müssen und Wollen ist damit ein Scheingegensatz: Die Verpflichtung sorgt für die notwendige Reichweite, leistet aber nicht die eigentliche Arbeit.
  3. Ob sich die angeordnete Teilnahme in Verhalten übersetzt, hängt von der Art der Motivation ab, die die Verpflichtung hervorruft. Diese Art bestimmen Sie über die Gestaltung des Trainings, nicht über die Verpflichtung selbst. Eine Verpflichtung, die die Autonomie, die Kompetenz und die Verbundenheit der Mitarbeitenden unterstützt, bewegt sich in Richtung eigener Entscheidung, während eine rein kontrollierende Verpflichtung Widerstand, Erschöpfung und das Wegerklären von Regeln begünstigt.

Methodik

Art
Literaturstudie auf der Grundlage von peer-reviewter Forschung und maßgeblichen Standards.
Quellen
Eine Meta-Analyse von 69 Studien, großangelegte Feldstudien sowie empirische Arbeiten aus der Verhaltenswissenschaft und der Informationssicherheit, darunter die Selbstbestimmungstheorie, die Reaktanztheorie sowie Forschung zu Security Fatigue und Neutralisierung.
Stichtag
Juni 2026.

01 · BefundDie Teilnahme steigt, das Ergebnis bewegt sich nicht mit

Eine Verpflichtung ist ein wirksames Mittel, um die Zahlen in Ordnung zu bringen. Wer das jährliche E-Learning verpflichtend macht und mit einer Erinnerung sowie einer Abschlussfrist verknüpft, sieht die Abschlussquote fast immer in Richtung hundert Prozent klettern. Unangenehm ist allein, dass diese Abschlussquote etwas anderes misst als das, wofür das Programm gedacht ist. Der Abschluss zeigt, dass das Training stattgefunden hat, nicht aber, dass sich das Verhalten der Mitarbeitenden verändert hat. Es ist ein Maß für Aktivität, während das Programm ein Ergebnis anstrebt.

Diese Unterscheidung ist kein Wortspiel, denn sie wird von den Zahlen bestätigt. Die Meta-Analyse von 69 Studien der Universität Leiden zeigt, dass Training einen großen Effekt auf das Wissen und die Einstellung der Mitarbeitenden hat, dass der durchschnittliche Effekt auf das tatsächliche Verhalten jedoch klein ist (Prümmer, van Steen und van den Berg, 2024). Eine Person kann das Modul also vollständig durchlaufen, das Quiz bestehen und nachweislich mehr wissen, ohne dass sich ihr Verhalten im entscheidenden Moment ändert. Der Abschluss ist real, die Verhaltensänderung bleibt aus. Genau in diese Lücke fällt die Organisation, die hundert Prozent Abschluss meldet und daraus ableitet, dass das Programm wirkt.

Diese Kluft zwischen Wissen und Tun ist keine Eigenart der Security Awareness, sondern eine bekannte Tatsache aus der Verhaltenswissenschaft. Das Behaviour Change Wheel macht deutlich, dass Wissen eine Voraussetzung für Verhalten ist, für sich allein aber nicht ausreicht. Neben dem Können braucht es ebenso die Motivation, das Richtige zu tun, und die Gelegenheit dazu (Michie, van Stralen und West, 2011). Eine Verpflichtung berührt vor allem die erste Voraussetzung, die Vermittlung von Wissen, und lässt die Motivation und die Gelegenheit weitgehend unberührt. Damit ist zugleich erklärt, warum die Teilnahme steigen kann, während das Ergebnis stehen bleibt.

Großer Effekt auf das Wissen, kleiner Effekt auf das Verhalten

Effektstärke (Cohens d) von Security-Awareness-Training

Figur 1 Ein großer Effekt auf Wissen und Einstellung gegenüber einem kleinen durchschnittlichen Effekt auf das Verhalten. Die Abschlussquote nähert sich der linken Säule an, während das Programm die rechte Säule anstrebt. Quelle: Prümmer, van Steen und van den Berg (2024). Cohens d ist ein standardisiertes Maß für die Stärke eines Effekts, wobei etwa 0,2 klein, 0,5 mittel und 0,8 groß ist.

02 · BefundWarum Freiwilligkeit kein Ausweg ist

Die naheliegende Reaktion auf das Gesagte besteht darin, den Zwang aufzugeben und auf Freiwilligkeit zu setzen, in der Annahme, dass, wer aus eigenem Antrieb teilnimmt, auch motivierter lernt. Das Problem ist, dass diese Überlegung an einer einfachen Tatsache scheitert: Ohne Verpflichtung nimmt fast niemand teil. In großangelegter Feldforschung zeigte sich, dass freiwilliges, nicht verpflichtendes Training zu wenige Mitarbeitende erreichte, um einen messbaren Effekt erzielen zu können (Lain, Kostiainen und Čapkun, 2022). Was niemand tut, kann auch niemandes Verhalten verändern.

Damit erscheint der Gegensatz zwischen Müssen und Wollen in einem anderen Licht. Es ist ein Scheingegensatz. Freiwilligkeit erreicht zu wenige Menschen, um etwas verschieben zu können, und eine Verpflichtung liefert gerade die Reichweite, die nötig ist, um überhaupt an einer Verhaltensänderung arbeiten zu können. Die Verpflichtung ist in diesem Sinne kein Übel, das es zu vermeiden gilt, sondern eine Grundlage, die man braucht. Das eigentliche Problem liegt nicht in der Frage, ob man etwas verpflichtend macht, sondern in der stillschweigenden Annahme, die oft dahintersteckt, nämlich dass die Verpflichtung die Arbeit erledigt. Sobald die Teilnahme erzwungen ist, betrachtet die Organisation die Aufgabe als erfüllt, während die eigentliche Arbeit dann erst beginnt.

Die richtige Frage lautet also nicht, ob das Training verpflichtend sein muss, sondern was eine Verpflichtung mit der Motivation der Mitarbeitenden macht und unter welchen Bedingungen sich die erzwungene Teilnahme in verändertes Verhalten übersetzt.

03 · ErklärungWas eine Verpflichtung mit der Motivation macht

Um zu verstehen, warum das eine verpflichtende Training nachwirkt und das andere nicht, ist die Selbstbestimmungstheorie (self-determination theory) von Deci und Ryan ein nützlicher Rahmen (Ryan und Deci, 2000). Diese Theorie unterscheidet Motivation nicht einfach in viel oder wenig, sondern in Arten. Auf der einen Seite steht Verhalten, das vollständig von außen erzwungen wird, etwa weil sonst eine Sanktion folgt. Auf der anderen Seite steht Verhalten, das die Mitarbeitenden als ihre eigene Entscheidung erleben, weil es zu dem passt, was ihnen wichtig ist. Dazwischen liegt ein allmählicher Übergang, den die Theorie Internalisierung nennt: der Prozess, in dem etwas, das anfangs auferlegt wurde, sich langsam zur eigenen Sache der Mitarbeitenden entwickelt.

Die Theorie benennt drei psychologische Bedürfnisse, die diese Internalisierung speisen. Das erste ist Autonomie, das Gefühl, aus eigenem Willen zu handeln, statt dass es einem aufgedrängt wird. Das zweite ist Kompetenz, das Gefühl, etwas zu können und dass die eigene Anstrengung zu etwas führt. Das dritte ist Verbundenheit, das Gefühl, Teil eines größeren Ganzen zu sein, in dem das Verhalten Bedeutung hat. Forschung zur Befolgung von Sicherheitsrichtlinien bestätigt, dass diese drei Bedürfnisse die Absicht zur Befolgung positiv beeinflussen und dass Mitarbeitende die Richtlinien am dauerhaftesten befolgen, wenn sie diese als ihre eigene Entscheidung erleben (Alzahrani und Johnson, 2019).

Hier wird auch sichtbar, warum Zwang ein zweischneidiges Schwert ist. Eine Verpflichtung kann die Autonomie der Mitarbeitenden gerade untergraben, und dann tritt der Mechanismus auf, der in der Psychologie Reaktanz heißt: eine als Einschränkung erlebte Beschneidung der eigenen Freiheit ruft Widerstand hervor, und dieser Widerstand richtet sich gegen genau das Verhalten, das auferlegt wurde (Wall, Palvia und Lowry, 2013). Die Person schließt das Modul zwar ab, denn das muss sein, doch die Art der Motivation, die dahintersteht, bleibt vollständig extern. Sobald der Druck wegfällt, fällt auch das Verhalten zurück. Das ist der Kern des Paradoxons: Die Verpflichtung erkauft die Teilnahme, doch die Art der Motivation, die sie hervorruft, entscheidet darüber, ob nach dem Abspann noch etwas übrig bleibt.

Das Motivationskontinuum: vom Auferlegten zur eigenen Entscheidung

Nach der Selbstbestimmungstheorie (Ryan und Deci, 2000)

Figur 2 Das Kontinuum der Motivation, von vollständig auferlegtem Verhalten bis zu Verhalten, das die Mitarbeitenden als eigene Entscheidung erleben. Eine Verpflichtung platziert die Mitarbeitenden auf der linken Seite, und nur eine Gestaltung, die die drei psychologischen Bedürfnisse unterstützt, bewegt sie nach rechts. Nach Ryan und Deci (2000).

04 · ErklärungDie Nebenwirkungen eines rein kontrollierenden Ansatzes

Wird eine Verpflichtung rein als Kontrollmittel eingerichtet, also als eine Liste abzuhakender Module mit einer Sanktion am Ende, treten Nebenwirkungen auf, die das Programm untergraben. Die erste ist die Security Fatigue. Forschende des US-Normungsinstituts NIST beschrieben, wie Mitarbeitende, überladen mit Sicherheitsanforderungen, ein Gefühl von Resignation und Kontrollverlust entwickeln, sodass sie Entscheidungen vermeiden und Empfehlungen ignorieren (Stanton, Theofanos, Prettyman und Furman, 2016). Eine Verpflichtung, die Jahr für Jahr dasselbe von allen verlangt, nährt genau diese Erschöpfung statt der Wachsamkeit.

Die zweite Nebenwirkung ist subtiler und heißt Neutralisierung. Das ist das Phänomen, bei dem jemand einen Verstoß für sich selbst rechtfertigt, bevor er ihn begeht, etwa mit dem Gedanken, dass es dieses eine Mal nicht schaden kann oder dass die Regel ohnehin nicht für diese Situation gedacht ist (Sykes und Matza, 1957). In der Informationssicherheit hat sich die Neutralisierung als wichtiger Prädiktor für den bewussten Verstoß gegen Sicherheitsrichtlinien erwiesen (Moody, Siponen und Pahnila, 2018). Der Zusammenhang mit Zwang und Erschöpfung ist unmittelbar, denn Forschung zeigt, dass die Wahrscheinlichkeit eines solchen Wegerklärens zunimmt, je höher der mit Sicherheit verbundene Stress und die Erschöpfung steigen (D'Arcy und Teh, 2019). Ein Programm, das vor allem auf Druck und Wiederholung setzt, erzeugt also nicht nur Erschöpfung, sondern liefert den Mitarbeitenden auch den mentalen Spielraum, die Regeln am Ende doch zu umgehen.

Hier ist allerdings eine wichtige Nuance angebracht, denn die Belegung zu Zwang und Sanktionen ist gemischt und nicht eindeutig. Ein Teil der Forschung findet, dass eine wahrgenommene Strafandrohung die Befolgungsabsicht gerade erhöht, während ein anderer Teil keinen oder sogar einen gegenteiligen Zusammenhang feststellt. Eine maßgebliche Analyse der Abschreckungsliteratur kommt denn auch zu dem Schluss, dass die Ergebnisse einander widersprechen und stark vom Kontext abhängen (D'Arcy und Herath, 2011). Die richtige Schlussfolgerung lautet daher nicht, dass Zwang immer das Gegenteil bewirkt, sondern dass die Motivation, die Zwang hervorruft, fragil ist und dass eine rein kontrollierende Einrichtung Nebenwirkungen hat, die die angestrebte Verhaltensänderung untergraben.

Ein häufig zu hörender Gedanke verdient hier eine eigene Anmerkung. Die Vorstellung, dass Mitarbeitende sich nach dem Abschluss ihres verpflichtenden Moduls für geimpft halten und dadurch gerade weniger wachsam werden, ist reizvoll und nicht unplausibel, doch es fehlt ihr bislang eine solide Begründung in der Sicherheitsforschung. Sie stützt sich auf das breitere psychologische Phänomen des Moral Licensing, das in diesem spezifischen Kontext noch nicht eindeutig nachgewiesen ist. Wir führen es daher als Hypothese und nicht als Befund auf, und die gut belegten Mechanismen der Security Fatigue und der Neutralisierung tragen die Argumentation an diesem Punkt hinreichend.

05 · AnsatzEine Verpflichtung so gestalten, dass aus Teilnahme Verhalten wird

Wenn die Verpflichtung die Grundlage liefert und die Gestaltung den Unterschied macht, dann liegt die Aufgabe bei dieser Gestaltung. Die Forschung weist auf eine Reihe von Entscheidungen hin, die helfen, die erzwungene Teilnahme in eine Motivation umschlagen zu lassen, die die Mitarbeitenden als eigene Entscheidung erleben.

  1. Erklären Sie das Warum, nicht nur das Was.Eine Verpflichtung, die lediglich vorschreibt, was zu tun ist, unterstützt die Autonomie nicht. Eine Erläuterung, die deutlich macht, warum das Verhalten von Bedeutung ist, gerade für diese Mitarbeitenden und diese Organisation, hilft dabei, die externe Regel zu einer eigenen Überzeugung zu internalisieren (Ryan und Deci, 2000).
  2. Geben Sie Wahlmöglichkeiten, wo es geht.Die Verpflichtung betrifft das Ob der Teilnahme, lässt aber Spielraum beim Wie und beim Wann. Ein gewisses Mitspracherecht über den Zeitpunkt, das Tempo oder die Reihenfolge stellt einen Teil der Autonomie wieder her, ohne die Reichweite zu gefährden.
  3. Machen Sie es je nach Rolle relevant.Ein einziges verpflichtendes Modul für die gesamte Organisation übersieht, dass sich die Risiken und der Kontext je nach Funktion unterscheiden. Inhalte, die an die tägliche Arbeit anknüpfen, stärken sowohl das Gefühl der Kompetenz als auch die wahrgenommene Relevanz und damit die Motivation, das Gelernte anzuwenden.
  4. Bauen Sie Kompetenz auf, nicht allein Wissen.Kurze, wiederholte und auf die Praxis abgestimmte Übung wirkt besser als ein langes jährliches Modul, weil sie das Gefühl vermittelt, etwas zu können, und den Stoff lebendig hält, ohne die Mitarbeitenden zu erschöpfen.
  5. Steuern Sie über Verhalten, nicht über den Abschluss.Solange die Organisation die Abschlussquote als Maßstab nimmt, optimiert sie für das falsche Ergebnis. Maßstäbe, die sich dem tatsächlichen Verhalten annähern, etwa das Melden verdächtiger Nachrichten oder der korrekte Umgang mit Daten, behalten im Blick, was das Programm wirklich anstrebt.

Der rote Faden hinter diesen Entscheidungen ist, dass die Verpflichtung dazu dient, Menschen hereinzuholen, und die Gestaltung dazu, sie zu bewegen. Ein Programm, das allein auf der Verpflichtung beruht, lässt die Motivation extern und damit flüchtig. Ein Programm, das die drei psychologischen Bedürfnisse unterstützt, gibt der erzwungenen Teilnahme eine Chance, zu Verhalten heranzuwachsen, das auch dann standhält, wenn niemand mehr hinsieht.

06 · FazitDie Verpflichtung bestimmt die Teilnahme, die Gestaltung bestimmt die Veränderung

Das Teilnahmeparadox lässt sich kurz zusammenfassen. Eine Verpflichtung erhöht zuverlässig die Teilnahme, doch Teilnahme ist nicht das Ziel. Das Ziel ist verändertes Verhalten, und das ergibt sich nicht von selbst aus dem Abschluss eines Moduls. Freiwilligkeit ist kein Ausweg, denn sie erreicht zu wenige Menschen, um etwas verändern zu können. Die Verpflichtung bestimmt damit, wer im Saal sitzt, während die Gestaltung des Trainings bestimmt, ob sich etwas verändert.

Der Gegensatz zwischen Müssen und Wollen ist also falsch. Es geht nicht um Müssen oder Wollen, sondern um Müssen und Wollen, verbunden durch den Prozess der Internalisierung. Eine Verpflichtung, die die Autonomie, die Kompetenz und die Verbundenheit der Mitarbeitenden unterstützt, nutzt den Zwang als Ausgangspunkt und nicht als Endpunkt und gibt der auferlegten Teilnahme eine Chance, zur eigenen Entscheidung zu werden. Eine Verpflichtung, die nur kontrolliert, erzeugt Anwesenheit mit Erschöpfung und Wegerklären als Nebenwirkung. Der Erfolg liegt nicht in einer höheren Abschlussquote, sondern in der Frage, ob sich dieser Abschluss in Verhalten übersetzt, und das ist keine Frage strengerer Verpflichtung, sondern besserer Gestaltung.

Einschränkungen

  • Dieser Bericht ist eine Literaturstudie, die bestehende wissenschaftliche Forschung zusammenfasst, und enthält keine eigene neue Forschung.
  • Die angeführten Studien wurden in unterschiedlichen Organisationen und Kontexten durchgeführt, weshalb die Effekte je nach Umgebung variieren können.
  • Die Belegung zur Wirkung von Zwang und Sanktionen ist gemischt, und dieser Bericht fasst diese Streuung zusammen, statt sie aufzulösen.
  • Der sogenannte Impfeffekt ist in diesem Bericht als Hypothese und nicht als Befund aufgenommen, weil eine direkte Begründung in der Sicherheitsforschung bislang fehlt.

Quellen

  1. Alzahrani, A., und Johnson, C. (2019). AHP-based Security Decision Making: How Intention and Intrinsic Motivation Affect Policy Compliance. International Journal of Advanced Computer Science and Applications, 10(6). dx.doi.org/10.14569/IJACSA.2019.0100601
  2. D'Arcy, J., und Herath, T. (2011). A review and analysis of deterrence theory in the IS security literature: making sense of the disparate findings. European Journal of Information Systems, 20(6), 643–658. doi.org/10.1057/ejis.2011.23
  3. D'Arcy, J., und Teh, P. L. (2019). Predicting employee information security policy compliance on a daily basis: The interplay of security-related stress, emotions, and neutralization. Information & Management, 56(7), 103151. doi.org/10.1016/j.im.2019.02.006
  4. Lain, D., Kostiainen, K., und Čapkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. IEEE Symposium on Security and Privacy, 842–859. arxiv.org/abs/2112.07498
  5. Michie, S., van Stralen, M. M., und West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  6. Moody, G. D., Siponen, M., und Pahnila, S. (2018). Toward a unified model of information security policy compliance. MIS Quarterly, 42(1), 285–311. doi.org/10.25300/MISQ/2018/13853
  7. Prümmer, J., van Steen, T., und van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  8. Ryan, R. M., und Deci, E. L. (2000). Self-determination theory and the facilitation of intrinsic motivation, social development, and well-being. American Psychologist, 55(1), 68–78. doi.org/10.1037/0003-066X.55.1.68
  9. Stanton, B., Theofanos, M. F., Prettyman, S. S., und Furman, S. (2016). Security Fatigue. IT Professional, 18(5), 26–32. doi.org/10.1109/MITP.2016.84
  10. Sykes, G. M., und Matza, D. (1957). Techniques of Neutralization: A Theory of Delinquency. American Sociological Review, 22(6), 664–670. doi.org/10.2307/2089195
  11. Wall, J. D., Palvia, P., und Lowry, P. B. (2013). Control-Related Motivations and Information Security Policy Compliance: The Role of Autonomy and Efficacy. Journal of Information Privacy & Security, 9(4), 52–79. doi.org/10.1080/15536548.2013.10845690
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel