2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Die verwundbaren ersten Monate

Warum die ersten Monate eines Arbeitsverhältnisses eine verwundbare Phase sind, über die gesamte Breite des Sicherheitsbewusstseins, und was die Wissenschaft über den Zeitpunkt und die Form der ersten Schulung sagt.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Kurzfassung

  1. Sicherheitsbewusstsein umfasst weit mehr als E-Mail und Phishing. Ein wissenschaftlich validierter Fragebogen (der HAIS-Q) unterscheidet sieben Bereiche, von der Verwaltung von Passwörtern und dem Umgang mit Informationen bis zur Meldung von Vorfällen, und gerade neue Mitarbeitende müssen sich in all diesen Bereichen zugleich zurechtfinden (Parsons et al., 2014).
  2. Die ersten Monate sind nachweislich eine Anpassungsphase. Zu wissen, was von einem erwartet wird, Vertrauen in das eigene Handeln und Vertrautheit mit der Organisation bauen sich erst über Wochen bis Monate auf (Bauer und Erdogan, 2011). Diese Unvertrautheit macht Neueinsteiger verwundbar, weil sie noch nicht wissen, was normal ist, wem sie vertrauen können und an wen sie sich wenden können.
  3. Wissen allein verändert das Verhalten kaum. Es sind vor allem die Form und der Zeitpunkt der Schulung, die den Ausschlag geben (Prümmer, van Steen und van den Berg, 2024; Murre und Dros, 2015). Zugleich gibt es auffallend wenig belastbare Belege aus Untersuchungen, die neue Mitarbeitende über längere Zeit verfolgt haben, und es kursieren feststehende Zahlen ohne überprüfbare Quelle.

Phishing ist ein großes und hartnäckiges Risiko, und es ist berechtigt, dass ihm viel Aufmerksamkeit zukommt. In einem früheren Bericht dieser Reihe, Das Aufmerksamkeitsproblem, haben wir gezeigt, was die Wissenschaft über Phishing-Simulationen und den dazu passenden Ansatz sagt. Sicherheitsbewusstsein ist jedoch breiter als E-Mail allein, und nirgends bündelt sich diese Breite so sehr wie in der ersten Zeit nach dem Eintritt.

Neue Mitarbeitende richten in kurzer Zeit Konten und Geräte ein, lernen, welche Daten sensibel sind, nutzen zum ersten Mal die Systeme der Organisation und müssen unterdessen einschätzen, welche Nachrichten und Anfragen normal sind. All das geschieht, während diese Person die Menschen, die Prozesse und die Art und Weise, wie man etwas meldet, noch nicht kennt. Der Abstand zwischen dem Eintrittsdatum und dem Moment, in dem sich jemand wirklich heimisch fühlt, bildet eine Phase, in der das Risiko höher liegt als danach. Dieser Bericht stellt zusammen, was die wissenschaftliche Forschung über diese Phase zeigt und welche Lehren sich daraus für den Zeitpunkt und die Form der ersten Schulung ergeben.

Methodik

Art
Literaturstudie auf Basis wissenschaftlicher Forschung (durch Fachkollegen begutachtet) und maßgeblicher Leitlinien.
Quellen
Ein wissenschaftlich validierter Fragebogen zum Sicherheitsbewusstsein, Übersichtsstudien zur Einarbeitung neuer Mitarbeitender und zu Schulungen, die Vergessenskurve von Ebbinghaus sowie Zahlen von ENISA, Eurostat und dem CBS.
Stand
Juni 2026.

01 · RAHMENBewusstsein ist breiter als Phishing

Wer an Sicherheitsbewusstsein denkt, denkt schnell an das Erkennen einer verdächtigen E-Mail. Das ist verständlich, denn Phishing ist ein reales und häufiges Risiko. Es ist jedoch nur ein Bestandteil eines größeren Ganzen. Mitarbeitende treffen täglich viele kleine Entscheidungen, die mit Sicherheit zu tun haben, und diese reichen über das Postfach hinaus.

Das am häufigsten verwendete wissenschaftlich validierte Messinstrument in diesem Bereich, der Human Aspects of Information Security Questionnaire (HAIS-Q), ordnet dieses größere Ganze sieben Bereichen zu: die Verwaltung von Passwörtern, die Nutzung von E-Mail, die Nutzung des Internets, die Nutzung sozialer Medien, mobiles Arbeiten, der Umgang mit Informationen und die Meldung von Vorfällen (Parsons et al., 2014). Phishing fällt in den Bereich der E-Mail-Nutzung und ist damit einer von sieben, nicht die Summe. Der Wert dieses Rahmens liegt darin, dass er Bewusstsein über die gesamte Breite messbar macht, und das funktioniert nachweislich: Wer im HAIS-Q höher abschneidet, schneidet auch in einem experimentellen Phishing-Test besser ab (Parsons et al., 2017).

Die sieben Aufmerksamkeitsbereiche des Sicherheitsbewusstseins

Bewusstsein über die volle Breite

Passwörter
Starke Passwörter, keine Wiederverwendung, sicheres Teilen.
E-Mail-Nutzung
Umgang mit Links und Anhängen, Beurteilung von Absendern.
Internetnutzung
Sicheres Herunterladen und vertrauenswürdige Websites.
Soziale Medien
Was man teilt und was das über die Arbeit verrät.
Mobiles Arbeiten
Geräte, öffentliche Netzwerke, Arbeiten unterwegs.
Umgang mit Informationen
Klassifizieren, Speichern und Teilen von Daten.
Vorfälle melden
Etwas Verdächtiges oder einen Fehler rechtzeitig weitergeben.

Abbildung 1 Die sieben Aufmerksamkeitsbereiche des Sicherheitsbewusstseins nach dem HAIS-Q. Nach Parsons et al. (2014).

02 · BEFUNDDie ersten Monate sind eine Anpassungsphase

Dass der Beginn eines Beschäftigungsverhältnisses besonders ist, ist in der Organisationspsychologie gut belegt. Forschung dazu, wie neue Mitarbeitende eingearbeitet werden und sich zurechtfinden, zeigt, dass Aspekte wie zu wissen, was von einem erwartet wird, Vertrauen in das eigene Handeln und von Kollegen akzeptiert zu werden nicht sofort vorhanden sind, sondern sich über die ersten Monate des Beschäftigungsverhältnisses aufbauen (Bauer und Erdogan, 2011). Eine umfangreiche Übersichtsstudie, die viele Untersuchungen zusammenfasst, bestätigt dieses Bild und betont, dass gerade die frühen Erfahrungen ausschlaggebend dafür sind, wie gut sich jemand letztlich anpasst (Bauer et al., 2025).

Für die Sicherheit ist vor allem diese anfängliche Phase der Unvertrautheit relevant. Mitarbeitende, die noch nicht wissen, was in der Organisation üblich ist, fehlt der Anhaltspunkt, um zu bemerken, dass etwas von dem abweicht, was normal sein sollte. Derselbe Mechanismus spielt bei der Einhaltung von Sicherheitsrichtlinien eine Rolle: Mitarbeitende, die besser eingearbeitet sind und sich stärker mit der Organisation verbunden fühlen, halten sich nachweislich besser an die Regeln (Ifinedo, 2014). Die ersten Monate sind mit anderen Worten nicht nur eine Lernphase für die Funktion selbst, sondern auch für das sichere Handeln darin.

Die kritische Phase nimmt ab, je mehr jemand eingearbeitet ist

Anpassung gegenüber Risiko über die ersten zwölf Monate

Sicherheitsrisiko Anpassung Monat 0 erste Monate Monat 12

Abbildung 2 Stilisierte Darstellung eines in der Literatur wiederkehrenden Musters: Die Einarbeitung neuer Mitarbeitender, etwa zu wissen, was von einem erwartet wird, und Selbstvertrauen, nimmt über die ersten Monate zu, während das Sicherheitsrisiko in dieser Anfangsphase gerade am höchsten ist und danach abnimmt. Nach Bauer et al. (2007) und Bauer und Erdogan (2011).

03 · ERKLÄRUNGWarum Unvertrautheit ein Risiko ist

Die Unvertrautheit der ersten Monate ist genau das, was ein Angreifer ausnutzen kann. Wer die übliche Arbeitsweise noch nicht kennt, kann schwerer beurteilen, ob eine Anfrage stimmig ist. Neue Mitarbeitende wissen oft noch nicht, wer befugt ist, eine Zahlung freizugeben, wie Anmeldedaten geteilt werden sollen oder wie eine Nachricht der Leitung normalerweise aussieht. Zählt man dazu, dass Neueinsteiger gerne einen guten Eindruck machen möchten und deshalb schnell und hilfsbereit reagieren, wird deutlich, warum Täuschung in dieser Zeit mehr Aussicht auf Erfolg hat.

Dabei geht es um mehr als nur E-Mail. Täuschung kann ebenso gut per Telefon, über eine Nachricht oder persönlich erfolgen und betrifft mehrere der sieben Aufmerksamkeitsbereiche zugleich. Das unsichere Teilen eines Passworts bei der ersten Anmeldung betrifft die Verwaltung von Zugängen, die Fehleinschätzung einer Anfrage nach Daten betrifft den Umgang mit Informationen, und nicht zu wissen, wo man etwas Verdächtiges meldet, betrifft die Meldung von Vorfällen. Forschung zur Widerstandsfähigkeit gegen soziale Manipulation zeigt, dass ein höheres Sicherheitsbewusstsein mit einer größeren Wahrscheinlichkeit zusammenhängt, dass jemand einem solchen Versuch widersteht (Grassegger und Nedbal, 2021). Für jemanden, der gerade erst eingetreten ist, befindet sich dieses Bewusstsein über die volle Breite noch im Aufbau.

Neuen Mitarbeitenden fehlt nicht so sehr das Wissen, dass etwas gefährlich sein kann, sondern der Anhaltspunkt, um zu erkennen, dass eine Anfrage von dem abweicht, was normal ist.

Auf Basis der Forschung zur Einarbeitung neuer Mitarbeitender und zum Sicherheitsbewusstsein

04 · ERKLÄRUNGWissen genügt nicht, gerade nicht zu Beginn

Es liegt nahe, diese Verwundbarkeit zu bekämpfen, indem man so früh wie möglich so viel Wissen wie möglich vermittelt. Die Wissenschaft relativiert das. Eine Übersichtsstudie, die die Ergebnisse vieler Untersuchungen zusammenfasst, zeigt, dass die Wirkung von Schulungen auf Wissen und Einstellung groß ist, dass aber die durchschnittliche Wirkung auf das tatsächliche Verhalten gering bleibt (Prümmer, van Steen und van den Berg, 2024). Dieser Unterschied ist kein Zufall. Ein bekanntes Modell für Verhaltensänderung, das Behaviour Change Wheel, beschreibt, dass sich Verhalten erst dann ändert, wenn Wissen und Fähigkeit, Motivation und die Gelegenheit, das Richtige zu tun, zusammenkommen (Michie, van Stralen und West, 2011).

Gerade diese letzte Voraussetzung, die Gelegenheit, fehlt bei neuen Mitarbeitenden. Jemand kann wissen, dass ein Passwort niemals telefonisch erfragt werden sollte, aber ohne Kenntnis der üblichen Prozesse ist es schwer einzuschätzen, ob eine konkrete Anfrage verdächtig ist. Ein Onboarding, das nur Wissen vermittelt, erfüllt also nur eine der drei Voraussetzungen. Passive Aufklärung, bei der lediglich Informationen verbreitet werden, verändert das Verhalten denn auch kaum (Bada, Sasse und Nurse, 2015), während aktive, wiederholte und auf den Kontext abgestimmte Formen sehr wohl Wirkung zeigen (Prümmer, van Steen und van den Berg, 2024).

Hinzu kommt der Faktor Zeit. Wissen, das auf einmal vermittelt wird, verblasst schnell: Die Vergessenskurve, 1885 von dem deutschen Psychologen Hermann Ebbinghaus beschrieben und in wiederholten Untersuchungen bestätigt (Murre und Dros, 2015), zeigt, dass ein großer Teil neu gelernten Stoffs schon innerhalb von Tagen bis Wochen ohne Wiederholung verblasst. Eine einzige Schulung am ersten Arbeitstag genügt daher nicht, so gut gemeint sie auch sein mag. Was die Literatur nahelegt, ist eine Schulung, die früh beginnt, kurz und wiederholt ist und die nicht nur Wissen vermittelt, sondern auch hilft, die Arbeitsweise der Organisation kennenzulernen und zu wissen, wo man etwas melden kann.

05 · FAZITFrüh, breit und auf Verhalten ausgerichtet

Die Onboarding-Phase lässt sich gut erklären. Die ersten Monate sind eine Anpassungsphase, in der Mitarbeitende die Organisation noch nicht kennen, und diese Unvertrautheit ist über die volle Breite des Sicherheitsbewusstseins eine Verwundbarkeit, die Angreifer ausnutzen können. Die Literatur verweist nicht auf mehr Wissensvermittlung allein, sondern auf eine Schulung, die früh beginnt, die über die volle Breite geht statt nur über Phishing und die auf Verhalten ausgerichtet ist, indem sie kurz, wiederholt und im Kontext der Arbeit erfolgt. Ebenso wichtig ist, dass eine Organisation Neueinsteigern die Gelegenheit gibt, sicher zu handeln, indem sie die Arbeitsweise, die Befugnisse und die Art und Weise, wie man etwas meldet, von Anfang an deutlich macht.

Zugleich ist Bescheidenheit angebracht. Die Begründung für diese Phase stammt größtenteils aus verwandter Forschung, zur Einarbeitung neuer Mitarbeitender, zu Verhalten und zum Verblassen von Wissen, und weit weniger aus Studien, die das Cyberrisiko gerade der ersten Wochen unmittelbar und über längere Zeit gemessen haben. Die feststehenden Zahlen, die hierzu in Fachpublikationen kursieren, lassen sich kaum auf überprüfbare Forschung zurückführen. Hier liegt eine deutliche Lücke, die geschlossen werden könnte, indem man neue Mitarbeitende ab ihrem ersten Arbeitstag über längere Zeit mit anonymisierten Verhaltensdaten verfolgt.

Einschränkungen

  • Dieser Bericht ist eine Literaturstudie, die bestehende Forschung zusammenfasst, und enthält keine neue eigene Forschung.
  • Die Begründung für diese Anfangsphase ist größtenteils indirekt: Sie stützt sich auf Forschung zur Einarbeitung neuer Mitarbeitender, zu Verhalten und zum Verblassen von Wissen und weniger auf Messungen des Cyberrisikos gerade in den ersten Wochen.
  • Ein Fragebogen wie der HAIS-Q misst Bewusstsein, und das ist etwas anderes als eine Zählung tatsächlicher Vorfälle.
  • Die angeführten Studien wurden in unterschiedlichen Organisationen und Ländern durchgeführt, weshalb die Effekte je nach Umgebung variieren können.

Quellen

  1. Bada, M., Sasse, A. M., und Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  2. Bauer, T. N., und Erdogan, B. (2011). Organizational socialization: The effective onboarding of new employees. In APA Handbook of Industrial and Organizational Psychology. researchgate.net/publication/285000696
  3. Bauer, T. N., Erdogan, B., Ellis, A. M., et al. (2025). New Horizons for Newcomer Organizational Socialization: A Review, Meta-Analysis, and Future Research Directions. Journal of Management. doi 10.1177/01492063241277168
  4. Ebbinghaus, H. (1885). Über das Gedächtnis: Untersuchungen zur experimentellen Psychologie. Die ursprüngliche Untersuchung zur Vergessenskurve, gut ein Jahrhundert später repliziert von Murre und Dros (2015).
  5. Grassegger, T., und Nedbal, D. (2021). The Role of Employees' Information Security Awareness on the Intention to Resist Social Engineering. Procedia Computer Science, 181, 59-66. doi.org/10.1016/j.procs.2021.01.103
  6. Ifinedo, P. (2014). Information systems security policy compliance: an empirical study of the effects of socialisation, influence, and cognition. Information & Management, 51(1), 69-79. academia.edu/20387560
  7. Michie, S., van Stralen, M. M., und West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
  8. Murre, J. M. J., und Dros, J. (2015). Replication and Analysis of Ebbinghaus' Forgetting Curve. PLOS ONE, 10(7), e0120644. Universität Amsterdam. doi.org/10.1371/journal.pone.0120644
  9. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., und Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165-176. sciencedirect.com/.../S0167404813001235
  10. Parsons, K., Calic, D., Pattinson, M., et al. (2017). The HAIS-Q: Two further validation studies. Computers & Security, 66, 40-51. doi.org/10.1016/j.cose.2017.01.004
  11. Prümmer, J., van Steen, T., und van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  12. ENISA (2024). Reframing Cybersecurity Awareness Raising: exploring the human factor. European Union Agency for Cybersecurity. enisa.europa.eu
  13. Eurostat (2024). ICT security in enterprises (Erhebung 2024, Vorfälle 2023). ec.europa.eu/eurostat
  14. CBS (2023). Bijna 6 op 10 baanwisselaars korter dan twee jaar in dienst. Centraal Bureau voor de Statistiek. cbs.nl
  15. NCSC-NL. Leitfäden zur Reaktion auf Vorfälle und zur Meldung von Vorfällen. ncsc.nl
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel