2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Die Sichtbarkeitsfalle

Warum Sichtbarkeit, also Plakate, Mailings und Intranet-Kampagnen, nicht dasselbe ist wie ein Awareness-Programm, und warum mehr vom Gleichen die Aufmerksamkeit gerade untergräbt.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Kurz gefasst

  1. Sichtbarkeit ist kein Programm. Plakate, Mailings und Intranet-Kampagnen sind Sensibilisierungsmaßnahmen, also eine Schicht eines Programms. Ein Programm ist ein fortlaufender, gesteuerter Zyklus, der auf Verhalten und Kultur einwirkt, und keine Ansammlung einzelner Botschaften (NIST SP 800-50r1).
  2. Kommunizieren verändert oft kein Verhalten. Informationen zu verbreiten erhöht vor allem das Wissen. Ob das auch in Verhalten umgesetzt wird, hängt von der Motivation und von der Gelegenheit ab, das Richtige zu tun. Kampagnen, die nur informieren, verändern wenig (Bada, Sasse und Nurse, 2015; Michie, van Stralen und West, 2011).
  3. Zu viel des Gleichen wirkt kontraproduktiv. Durch Gewöhnung sinkt die Aufmerksamkeit bereits nach der zweiten Exposition, und durch Botschaftsmüdigkeit beginnen Menschen, die Botschaft zu ignorieren oder sich ihr sogar zu widersetzen. Aufmerksamkeit und Mitwirkung sind ein endlicher Vorrat, den man klug einsetzen muss (Anderson u. a., 2015; So, Kim und Cohen, 2017; Beautement, Sasse und Wonham, 2008).

Viele Organisationen haben das Gefühl, dass ihre Awareness in Ordnung ist. Es hängen Plakate an der Kaffeemaschine, jeden Monat geht ein Mailing hinaus, und im Intranet steht eine Kampagne mit praktischen Hinweisen. Die dahinterliegende Überlegung ist naheliegend. Es wird schließlich viel über sicheres Verhalten kommuniziert, und daraus folgt schnell der Gedanke, dass es ein Awareness-Programm gibt. Diese Gleichsetzung von Sichtbarkeit mit einem Programm ist verständlich, aber sie stimmt nicht.

Dieser Bericht untersucht zwei Fragen, die darunter liegen. Die erste ist, ob eine Kommunikationskampagne etwas wesentlich anderes ist als ein Verhaltensprogramm. Die zweite ist, wann Kommunizieren seine Wirkung verliert, also an welchem Punkt mehr Botschaften nicht mehr helfen und sogar kontraproduktiv werden. Er stellt zusammen, was die wissenschaftliche Forschung dazu zeigt, und welcher Ansatz daraus folgt.

Bei beiden Fragen ist es wichtig, zuerst klarzustellen, was wir in diesem Bericht unter einem Programm verstehen. Ein Programm ist keine Reihe einzelner Botschaften, sondern ein fortlaufendes und gesteuertes Ganzes, das auf Verhalten ausgerichtet ist. Es legt vorab fest, welches Verhalten es erreichen will, wählt dazu passende Mittel, darunter Training, Übung und Kommunikation, misst anschließend, ob sich dieses Verhalten auch tatsächlich verändert, und steuert auf Grundlage dieser Messung nach. Es ist mit anderen Worten ein Zyklus, der sich selbst erhält und auf ein Ziel ausgerichtet ist. Eine Kampagne steht dem gegenüber als eine einzelne oder wiederkehrende Botschaft für sich, und diese kann ein wertvoller Bestandteil eines Programms sein, ohne jemals mit ihm zusammenzufallen.

Methodik

Art
Literaturstudie auf Basis von peer-reviewter Forschung und maßgeblichen Standards.
Quellen
Neurowissenschaftliche und Feldstudien, Kommunikationswissenschaft, Verhaltenswissenschaft und die NIST-Richtlinie für Lernprogramme.
Stichtag
Juni 2026.

01 · BefundSichtbarkeit ist eine Schicht, kein Programm

Der Unterschied zwischen Kommunizieren und einem Programm ist kein Wortspiel, sondern steht in der Richtlinie, die das Fachgebiet hierfür heranzieht. Die amerikanische Standardisierungsorganisation NIST unterscheidet in ihrer überarbeiteten Richtlinie drei Ebenen des Lernens: Sensibilisierung, Training und Bildung (NIST SP 800-50r1, 2024). Sensibilisierung richtet die Aufmerksamkeit der Menschen auf ein Thema, Training vermittelt ihnen eine Fertigkeit, mit der sie eine Aufgabe ausführen können, und Bildung ist die vertiefte, oft auf die Laufbahn ausgerichtete Form. Plakate, Mailings und Intranet-Kampagnen fallen nahezu allesamt unter die erste Ebene. Sie verlangen Aufmerksamkeit, aber sie vermitteln keine Fertigkeit und sie steuern für sich genommen kein Verhalten.

Wichtiger noch ist, was die Richtlinie unter einem Programm versteht. Die Überarbeitung aus dem Jahr 2024 beschreibt ein Lernprogramm nicht als eine Reihe von Botschaften, sondern als einen gesteuerten Zyklus mit einem Lebenslauf: Man legt Ziele fest, man stimmt die Inhalte auf Rollen und Zielgruppen ab, man misst die Wirkung, und man steuert nach. Sensibilisierungskampagnen sind innerhalb dieses Zyklus einer der Bausteine, neben rollenbezogenem Training, Übungen und gezielten Interventionen. Eine Kampagne mit einem Programm gleichzusetzen ist daher ein Kategorienfehler, denn man verwechselt eine Schicht mit dem Ganzen.

Die Verhaltenswissenschaft trifft dieselbe Unterscheidung auf einem anderen Weg. Das vielgenutzte Behaviour Change Wheel, das wir auch in Das Teilnahmeparadox verwenden, unterscheidet neun Arten von Interventionen, mit denen man Verhalten beeinflussen kann, und Aufklärung ist davon nur eine (Michie, van Stralen und West, 2011). Kommunizieren berührt vor allem das Wissen der Menschen. Es lässt die übrigen Stellschrauben, an denen Verhalten hängt, etwa die Motivation und die praktische Gelegenheit, weitgehend unangetastet. Wer nur kommuniziert, bedient also einen Hebel und lässt die übrigen acht ungenutzt.

Kommunikation ist die Sensibilisierungsebene

Die drei Ebenen des Lernens nach NIST SP 800-50r1

Sensibilisierung Plakate · Mailings · Intranet-Kampagnen Training rollenbezogen · Fertigkeiten Bildung mehr Tiefe breitere Reichweite

Abbildung 1 Kommunikation gehört zur breiten untersten Ebene, die die Aufmerksamkeit auf ein Thema richtet. Ein Programm umfasst alle drei Ebenen innerhalb eines gesteuerten Zyklus. Nach NIST SP 800-50r1 (2024).

02 · BefundKommunizieren verändert oft kein Verhalten

Dass Kampagnen das Verhalten längst nicht immer verändern, ist keine neue Erkenntnis. In einer vielzitierten Studie analysierten Bada, Sasse und Nurse, warum Sensibilisierungskampagnen so oft daran scheitern, das Verhalten zu verändern (Bada, Sasse und Nurse, 2015). Ihre Schlussfolgerung war eindeutig. Wissen und Bewusstsein sind eine notwendige Voraussetzung, aber für sich genommen nicht ausreichend. Um Verhalten zu verändern, müssen Menschen den Rat verstehen und anwenden können, und sie müssen darüber hinaus bereit sein, das zu tun. Diese Bereitschaft erfordert eine Veränderung der Haltung und Absicht, und die entsteht nicht von selbst dadurch, dass man mehr Informationen verbreitet.

Dies ist die bekannte Kluft zwischen Wissen und Tun. Menschen wissen, dass sie ein starkes Passwort verwenden sollen, dass sie nicht einfach auf einen Link klicken sollen, und dass sie Daten ordentlich ablegen sollen, aber das Verhalten folgt dem Wissen nicht automatisch. Das Behaviour Change Wheel erklärt, warum das so ist. Sicheres Verhalten entsteht erst dann, wenn das Wissen und die Fertigkeit, die Motivation und die Gelegenheit, das Richtige zu tun, zusammenkommen (Michie, van Stralen und West, 2011). Eine Kampagne, die ausschließlich Informationen vermittelt, füllt höchstens das erste Feld. Die Motivation und die Gelegenheit bleiben dann unberührt, und gerade dort geht es mit dem Verhalten oft schief.

Verhalten zu verändern erfordert mehr, als Informationen über Risiken und gewünschtes Verhalten zu geben. Menschen müssen diesen Rat anwenden können, und sie müssen dazu auch bereit sein.

Nach Bada, Sasse und Nurse (2015)

03 · ErklärungWann Kommunizieren kontraproduktiv wird

Die zweite Frage ist, wann Kommunizieren nicht nur wenig einbringt, sondern geradezu kontraproduktiv wird. Die Forschung weist auf zwei Mechanismen hin, die zusammen erklären, warum mehr des Gleichen die Aufmerksamkeit untergräbt: Gewöhnung und Botschaftsmüdigkeit.

Der erste Mechanismus ist Gewöhnung, und der sitzt tiefer als eine Frage der Motivation. In einer Reihe von Hirnstudien bildeten Anderson und Kollegen mit funktioneller MRT (fMRT) ab, wie das Gehirn auf wiederholte Sicherheitswarnungen reagiert (Anderson u. a., 2015). Die Aktivität in den visuellen Verarbeitungsbereichen sank bereits nach der zweiten Exposition stark ab und ging bei jeder weiteren Wiederholung noch weiter zurück. Eine Folgestudie in der Praxis bestätigte dieses Bild. In einem dreiwöchigen Feldexperiment nahm das Ausmaß, in dem Menschen Warnungen befolgten, deutlich ab, je häufiger diese vorbeikamen (Vance u. a., 2018). Die Botschaft, die stets dieselbe Form hat, wird sogar im Gehirn immer weniger registriert. Auffällig ist, dass Warnungen, die jedes Mal die Form veränderten, diesem Effekt viel besser widerstanden. Variation hält die Aufmerksamkeit fest, während die Wiederholung von genau dem Gleichen die Aufmerksamkeit gerade erlahmen lässt.

Die Aufmerksamkeit erlahmt bei Wiederholung des Gleichen

Reaktion auf eine Warnung nach Anzahl der Expositionen

hoch niedrig Aufmerksamkeit / Reaktion 1. 2. 3. 4. 5. Exposition wechselnde Form gleiche Form

Abbildung 2 Eine konzeptionelle Darstellung. Bei Wiederholung genau derselben Botschaft sinkt die Reaktion bereits nach der zweiten Exposition stark. Eine Botschaft, die jedes Mal die Form verändert, hält die Aufmerksamkeit besser fest. Nach Anderson u. a. (2015) und Vance u. a. (2018).

Der zweite Mechanismus ist Botschaftsmüdigkeit, ein Begriff aus der Kommunikationswissenschaft. So, Kim und Cohen erfassten, wie Menschen reagieren, wenn sie über lange Zeit Botschaften zum selben Thema ausgesetzt sind (So, Kim und Cohen, 2017). Es geht dann um einen Zustand der Erschöpfung, der durch Übermaß, Wiederholung und Eintönigkeit entsteht und der dazu führt, dass Menschen die Botschaft zu ignorieren beginnen. In Folgeforschung zeigte sich, dass Botschaftsmüdigkeit die Überzeugungskraft auf zwei Wegen untergräbt: durch aktiven Widerstand, bei dem Menschen sich gegen die Botschaft wehren, und durch passives Abschalten, bei dem sie einfach nicht mehr aufpassen (Kim und So, 2018). Das Beunruhigende ist, dass Übermaß nicht nur die Wirkung aufhebt, sondern die gewünschte Handlung sogar unwahrscheinlicher machen kann, als wenn gar nichts kommuniziert worden wäre. Vergleichbare Effekte wurden bei der Aufklärung über Klima und Gesundheit beschrieben, wo zu viel der gleichen Botschaft die Bereitschaft zum Mitmachen gerade verringerte.

Im Sicherheitskontext hat dies einen eigenen Namen erhalten. Forscher von NIST stießen in Interviews auf das, was sie Sicherheitsmüdigkeit nennen, eine Ermüdung und Unwilligkeit, sich noch mit Sicherheit zu befassen (Stanton u. a., 2016). Menschen fühlten sich mit Warnungen im Stil von achte auf dies und achte auf das bombardiert und reagierten darauf mit Resignation, einem Gefühl des Kontrollverlusts, dem Verharmlosen von Risiken und dem Ausweichen vor Entscheidungen. Die Forscher empfehlen daher, die Anzahl der Sicherheitsentscheidungen, die man von Menschen verlangt, so gering wie möglich zu halten.

Diese Mechanismen laufen in einem nüchternen ökonomischen Gedanken zusammen, dem Compliance-Budget. Beautement, Sasse und Wonham zeigten, dass Menschen Sicherheitsregeln nur bis zu einem gewissen Grad befolgen, wonach die Bereitschaft abnimmt (Beautement, Sasse und Wonham, 2008). Es gibt, mit anderen Worten, eine endliche Menge an Aufmerksamkeit und Mitwirkung, und oberhalb dieser Grenze wird jede zusätzliche Anforderung eher schädlich als nützlich. Jedes Plakat und jedes Mailing kostet etwas von diesem Budget. Wer weiter sendet, ohne diese Kosten zu zählen, verbraucht seinen Vorrat und behält nichts übrig für den Moment, in dem es wirklich darauf ankommt.

Mehr zu kommunizieren hilft, bis es kontraproduktiv wird

Wirkung auf das Verhalten nach Menge der Kommunikation

Wirkung auf das Verhalten Menge der Kommunikation Optimum Sichtbarkeit lohnt sich Gewöhnung · Müdigkeit · Widerstand

Abbildung 3 Eine konzeptionelle Darstellung. Bis zu einem bestimmten Punkt vergrößert Kommunizieren die Wirkung auf das Verhalten. Jenseits dieses Punktes gewinnen Gewöhnung, Botschaftsmüdigkeit und Widerstand die Oberhand, und die Wirkung sinkt wieder. Nach So, Kim und Cohen (2017), Stanton u. a. (2016) und Beautement, Sasse und Wonham (2008).

04 · AnsatzVon der Kampagne zum Programm

Wenn Kommunizieren ein Hebel ist und kein Programm, und wenn mehr des Gleichen ab einem bestimmten Punkt kontraproduktiv wird, dann folgt daraus eine andere Arbeitsweise. Der Kern besteht darin, die Kommunikation als einen Bestandteil eines Programms zu behandeln, das auf Verhalten einwirkt, und nicht als das Programm selbst.

  1. Behandeln Sie Kommunikation als einen Hebel innerhalb eines gesteuerten Zyklus.Geben Sie dem Programm einen Lebenslauf statt einer Agenda mit einzelnen Botschaften: Ziele festlegen, die Inhalte auf Rollen und Zielgruppen abstimmen, die Wirkung messen und nachsteuern (NIST SP 800-50r1, 2024). Eine Kampagne ist dann ein Instrument innerhalb dieses Zyklus, und nicht dessen Abschluss.
  2. Gestalten Sie für Verhalten statt für Sichtbarkeit.Fragen Sie bei jeder Intervention, welchen Bestandteil von Verhalten Sie beeinflussen. Eine Botschaft berührt höchstens das Wissen, während Verhalten auch Motivation und Gelegenheit erfordert (Michie, van Stralen und West, 2011). Sorgen Sie also dafür, dass das sichere Verhalten nicht nur bekannt, sondern auch attraktiv und einfach umzusetzen ist.
  3. Wechseln Sie die Form ab, um Gewöhnung entgegenzuwirken.Wiederholen Sie nicht endlos dasselbe Plakat oder Mailing, denn genau das lässt die Aufmerksamkeit erlahmen. Variieren Sie Form, Kanal und Blickwinkel, sodass die Botschaft jedes Mal aufs Neue bemerkt wird (Anderson u. a., 2015; Vance u. a., 2018).
  4. Respektieren Sie das Aufmerksamkeits- und Compliance-Budget.Setzen Sie auf weniger, aber gezieltere und gut getimte Botschaften, und begrenzen Sie die Anzahl der Entscheidungen, die Sie von Menschen verlangen (Stanton u. a., 2016; Beautement, Sasse und Wonham, 2008). Jede unnötige Botschaft kostet einen Teil eines Vorrats, den Sie besser für den Moment aufheben, in dem es darauf ankommt.
  5. Messen Sie Verhalten und Wirkung statt der Anzahl der Botschaften.Zählen Sie nicht, wie viele Plakate hingen oder wie viele Mailings hinausgingen, sondern schauen Sie darauf, was Menschen tatsächlich tun, etwa das Melden verdächtiger Nachrichten. Dass sich eine solche Fertigkeit, das Erkennen von Phishing, nicht von selbst allein durch Exposition verbessert, haben wir in Das Aufmerksamkeitsproblem ausgearbeitet. Nach der NIS2-Richtlinie ist die Sorge für widerstandsfähiges Verhalten zudem Verantwortung der Leitungsorgane, und diese Führung mitzunehmen ist eine eigene Aufgabe, wie wir in Das Rückhalt-Problem gezeigt haben. Diese Verantwortung lässt sich mit Verhaltenszahlen besser belegen als mit einer Zählung von Maßnahmen.

Und die Kampagne selbst?

Kommunikation ist nicht sinnlos, im Gegenteil. Sichtbarkeit ist nötig, um ein Thema auf die Tagesordnung zu setzen, um den Ton anzugeben und um Menschen daran zu erinnern, dass sicheres Verhalten zählt. Die Kritik in diesem Bericht gilt einer Arbeitsweise, nämlich der Kampagne, die als das gesamte Programm betrachtet wird, die endlos dasselbe wiederholt, und die an der Anzahl der Botschaften gemessen wird statt an dem Verhalten, das daraus folgt. Wenn man Kommunikation anders einsetzt, also als einen bewussten Hebel innerhalb eines Programms, das auf Verhalten ausgelegt ist, bleibt sie ein wertvolles und unverzichtbares Instrument.

05 · FazitSichtbarkeit ist ein Anfang, kein Programm

Eine Kommunikationskampagne ist etwas wesentlich anderes als ein Verhaltensprogramm. Sichtbarkeit richtet die Aufmerksamkeit, aber sie vermittelt keine Fertigkeit und sie steuert für sich genommen kein Verhalten. Ein Programm verbindet diese Sichtbarkeit mit Training, mit Aufmerksamkeit für Motivation und Gelegenheit, mit Messung und mit Nachsteuerung, und es tut dies als ein gesteuerter Zyklus statt als eine Reihe einzelner Botschaften. Wer die beiden gleichsetzt, verwechselt eine Schicht mit dem Ganzen.

Und Kommunizieren verliert seine Wirkung, sobald die Wiederholung die Aufmerksamkeit erlahmen lässt und die Müdigkeit die Oberhand gewinnt. Durch Gewöhnung sinkt die Reaktion bereits nach der zweiten Exposition, durch Botschaftsmüdigkeit kann Wiederholung sogar kontraproduktiv wirken, und das Aufmerksamkeits- und Compliance-Budget ist nun einmal endlich. Die richtige Frage ist daher nicht, ob viel kommuniziert wurde, sondern ob sich das Verhalten und die Kultur dauerhaft verändert haben. Sichtbarkeit ist dabei ein Anfang, und kein Programm.

Einschränkungen

  • Dieser Bericht ist eine Literaturstudie, die bestehende wissenschaftliche Forschung zusammenfasst, und enthält keine neue eigene Forschung.
  • Ein Teil der Belege zur Gewöhnung wurde an Sicherheitswarnungen auf einem Bildschirm gemessen. Die Übertragung auf Plakate, Mailings und Intranet-Kampagnen beruht auf dem zugrunde liegenden Mechanismus und nicht auf einer direkten Messung in diesen Kanälen.
  • Die Forschung zur Botschaftsmüdigkeit stammt größtenteils aus der Aufklärung über Gesundheit und Klima. Die Mechanismen sind breit bestätigt, aber die genauen Grenzwerte können je nach Kontext und Publikum variieren.

Quellen

  1. Anderson, B. B., Kirwan, C. B., Jenkins, J. L., Eargle, D., Howard, S., und Vance, A. (2015). How Polymorphic Warnings Reduce Habituation in the Brain: Insights from an fMRI Study. Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15), 2883–2892. doi.org/10.1145/2702123.2702322
  2. Bada, M., Sasse, A. M., und Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  3. Beautement, A., Sasse, M. A., und Wonham, M. (2008). The Compliance Budget: Managing Security Behaviour in Organisations. Proceedings of the 2008 New Security Paradigms Workshop (NSPW '08), 47–58. doi.org/10.1145/1595676.1595684
  4. Kim, S., und So, J. (2018). How Message Fatigue toward Health Messages Leads to Ineffective Persuasive Outcomes: Examining the Mediating Roles of Reactance and Inattention. Journal of Health Communication, 23(1), 109–116. doi.org/10.1080/10810730.2017.1414900
  5. Michie, S., van Stralen, M. M., und West, R. (2011). The behaviour change wheel: A new method for characterising and designing behaviour change interventions. Implementation Science, 6, 42. doi.org/10.1186/1748-5908-6-42
  6. National Institute of Standards and Technology (2024). Building a Cybersecurity and Privacy Learning Program. NIST Special Publication 800-50r1. doi.org/10.6028/NIST.SP.800-50r1
  7. So, J., Kim, S., und Cohen, H. (2017). Message fatigue: Conceptual definition, operationalization, and correlates. Communication Monographs, 84(1), 5–29. doi.org/10.1080/03637751.2016.1250429
  8. Stanton, B., Theofanos, M. F., Prettyman, S. S., und Furman, S. (2016). Security Fatigue. IT Professional, 18(5), 26–32. doi.org/10.1109/MITP.2016.84
  9. Vance, A., Jenkins, J. L., Anderson, B. B., Bjornn, D. K., und Kirwan, C. B. (2018). Tuning Out Security Warnings: A Longitudinal Examination of Habituation Through fMRI, Eye Tracking, and Field Experiments. MIS Quarterly, 42(2), 355–380. doi.org/10.25300/MISQ/2018/14124
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel