Messen, was zählt

Kurz gefasst

1. Die meisten Awareness-Programme berichten, was sich am leichtesten zählen lässt: Teilnahme und Abschluss. Doch der Abschluss misst Aktivität, kein Ergebnis. Ein Awareness-Programm existiert, um die Security- und Datenschutzrisiken zu senken, bei denen das Verhalten der Mitarbeitenden eine Rolle spielt, und dieses Risiko sinkt nicht dadurch, dass jemand ein Modul abschließt oder ein Spiel spielt.
2. Wissen, Einstellung und Verhalten sind drei verschiedene Größen, und man misst sie auch unterschiedlich. Ein Wissenstest misst Wissen, kein Verhalten. Die Forschung macht diese Kluft in Zahlen sichtbar. Training steigert das Wissen rund dreimal so stark wie das Verhalten (Effektstärke d ≈ 1,02 gegenüber d ≈ 0,36). Wer nur Teilnahme oder Wissen misst, verfehlt gerade das, was zählt.
3. Verhalten lässt sich durchaus messen, und zwar in der Breite: nicht mit einem dreistündigen Spiel für dreißig Personen, sondern mit beobachtbaren Signalen wie dem Meldeverhalten bei verdächtigen Nachrichten, aufgeschlüsselt nach Risikogruppe und berichtet in der Sprache der Risiken. Ansprechende Formate wie Spiele und Escape Rooms verdienen darin einen klaren Platz, als Motor für Engagement und Gespräch, nicht als Beleg dafür, dass das Risiko gesunken ist.

Kürzlich sah ich die Vorstellung eines Awareness-Spiels, das eine Organisation mit knapp achttausend Mitarbeitenden selbst entwickelt hatte. Es sah hervorragend aus, und es steckte sichtbar viel Arbeit darin. Gruppen von etwa dreißig Mitarbeitenden spielen es in drei Stunden, und dabei entsteht genau das Gespräch über Security und Datenschutz, das man sich wünscht. Die Spielbretter mit den Fragen hängen zudem an verschiedenen Stellen im Gebäude, sodass man im Vorbeigehen hin und wieder eine löst. Eine schöne Initiative, und das soll sie unbedingt bleiben.

Und doch blieb eine Frage offen. Dreißig Mitarbeitende pro Sitzung sind, bei knapp achttausend, weniger als ein halbes Prozent. Wer auf diese Weise alle erreichen will, ist Jahre beschäftigt, und dasselbe gilt für die physischen Escape Rooms, die Cyber-Trucks und die Roadshows, die überall auftauchen. Hinzu kommt eine zweite Frage. Lässt sich mit einem solchen Spiel auch messen, ob sich das Verhalten ändert? Denn dafür existiert ein Awareness-Programm letztlich: um die Security- und Datenschutzrisiken zu senken, bei denen das Verhalten der Mitarbeitenden eine Rolle spielt.

Die Verhaltenswissenschaft fasst diese Aufgabe in drei Bedingungen zusammen. Um Verhalten zu ändern, braucht es Wissen, Motivation und Gelegenheit zugleich (Michie, van Stralen und West, 2011). Zu oft beginnt ein Programm mit einem E-Learning oder einer Präsentation und endet auch dort. So tut man etwas für das Wissen, aber nichts für die Gelegenheit und die Motivation. Und wenn es Zeit wird zu berichten, geht es nicht einmal mehr um Wissen, sondern um Teilnahme. Dieser Bericht ist eine Literaturstudie zum Messen und Berichten von Security Awareness. Er will die schönen Initiativen nicht stoppen, sondern ihnen einen sinnvollen Platz geben, denn Awareness darf auch Spaß machen. Die Frage ist nur: Was misst man, und was berichtet man, damit man auf das Risiko steuert und nicht auf die Anwesenheit?

01 · BefundWas wir berichten, ist Teilnahme, kein Ergebnis

Das Standardmodell zur Bewertung von Trainings stammt von Kirkpatrick (1959, gebündelt in Kirkpatrick und Kirkpatrick, 2006) und kennt vier Ebenen: die Reaktion der Teilnehmenden, was sie gelernt haben, ob sich ihr Verhalten ändert und welche Ergebnisse das für die Organisation bringt. Diese vier Ebenen bilden eine Leiter. Je höher man kommt, desto mehr sagt eine Messung über die tatsächliche Wirkung aus. Bei Security Awareness bleiben die meisten Programme jedoch auf der untersten Stufe stehen. Eine Überblicksstudie zur Evaluationspraxis zeigt, dass Organisationen vor allem auf niedrigschwellige Kennzahlen nahe Ebene eins setzen, etwa Abschlussquoten und Zufriedenheitswerte, während sie nur selten auf der Ebene von Verhalten oder Ergebnis messen (Jayatilaka u. a., 2021). Studien, die bis zur Verhaltensebene vordringen, wie die von Khan und Kollegen (2023), bilden die Ausnahme, die die Regel bestätigt.

Diese Vorliebe ist nachvollziehbar und damit gefährlich. Eine Lernumgebung liefert die Abschlussquote auf Knopfdruck, während das Messen von Verhalten ein Messdesign, Zeit und Geld kostet. Die Kennzahl, die sich am leichtesten erzeugen lässt, wird so von selbst zur Kennzahl, die man berichtet. Das Problem ist, dass diese Kennzahl Aktivität misst und kein Ergebnis. Eine Abschlussquote von nahezu hundert Prozent fühlt sich wie ein Gewinn an, aber es ist nicht der Gewinn, den man sucht. In Das Teilnahmeparadox haben wir bereits gezeigt, dass eine Pflicht die Teilnahme zuverlässig nach oben treibt, ohne dass sich das Verhalten von selbst mitbewegt. Die Abschlussquote sagt also etwas darüber aus, wie viele Menschen das Training durchlaufen haben, und so gut wie nichts darüber, ob die Organisation sicherer wurde.

Dass Awareness-Programme auf dieser untersten Stufe stehen bleiben, ist zudem kein Einzelfall, sondern ein weit verbreitetes Muster. Die jährliche Branchenerhebung von SANS (2024), die auf mehr als tausend Fachleuten in über siebzig Ländern beruht, zeigt, dass viele Programme in einer Phase von Compliance und Bewusstsein stecken bleiben, in der es um Anwesenheit und Bewusstsein geht, und nicht in eine Phase vorrücken, in der Verhalten und Kultur im Mittelpunkt stehen. So entsteht eine Berichterstattung, die die Geschäftsführung beruhigt, ohne etwas über das tatsächliche Risiko auszusagen.

Inzwischen holt auch die Norm das ein. ISO/IEC 27001 verlangt in Klausel 9.1, die Wirksamkeit der Maßnahmen zu bewerten, und mit der Revision von 2022 wurde Awareness in der zugrunde liegenden ISO/IEC 27002 zudem zu einer eigenständigen Maßnahme (6.3), bei der es um Personal geht, das sich nachweislich gemäß der Richtlinie verhält, und nicht um ein einmaliges Training. In der Auditpraxis stellt das eine härtere Anforderung. Eine Anwesenheitsliste oder eine Abschlussquote gilt nicht länger als ausreichender Nachweis, gerade weil sie nichts über die Wirksamkeit aussagt. Damit verschiebt sich die Untergrenze. Wo man früher mit Anwesenheit und einem abgeschlossenen E-Learning die Maßnahme erfüllte, verlangt die Norm seit dem Übergang zu ISO 27001:2022, dessen Frist für bestehende Zertifikate Ende Oktober 2025 ablief, einen Nachweis, dass sich Verhalten und Wissen wirklich verändert haben. Ein Programm, das auf den unteren zwei Stufen bleibt, liefert diesen Nachweis nicht.

Abbildung 1 Die Evaluationsleiter von Kirkpatrick mit vier Ebenen: Teilnahme (Reaktion), Wissen (Lernen), Verhalten und Risiko (Ergebnis). Je höher man kommt, desto schwieriger wird das Messen und desto mehr sagt es aus. Die meisten Awareness-Programme berichten auf der untersten Stufe. Nach Kirkpatrick und Kirkpatrick (2006).

02 · UnterscheidungWissen, Einstellung und Verhalten sind nicht dasselbe, und man misst sie auch nicht gleich

Wer höher auf der Leiter klettern will, stellt schnell fest, dass Awareness keine einzelne Größe ist, sondern ein Zusammenspiel aus dreien: was jemand weiß, wie jemand darüber denkt und was jemand tatsächlich tut. Die Forschung fasst dies im sogenannten KAB-Modell aus Wissen, Einstellung und Verhalten zusammen, einem Dreiklang, den wir bereits in Der Unterschied zwischen Security Awareness und Datenschutzbewusstsein verwendet haben. Kruger und Kearney (2006) lieferten dafür das erste praktische Bewertungsmodell, mit dem sich Awareness nicht als Gefühl, sondern als messbarer, gewichteter Wert ausdrücken lässt. Die wichtigste Erkenntnis aus diesem Modell ist, dass sich die drei Komponenten unabhängig voneinander bewegen können. Jemand kann die Regeln kennen, sie für sinnvoll halten und sich trotzdem nicht danach verhalten.

Seitdem messen validierte Instrumente diese Größen zuverlässig. Das bekannteste ist der Human Aspects of Information Security Questionnaire, kurz HAIS-Q, den wir auch in Die verwundbaren ersten Monate angeführt haben und der Wissen, Einstellung und selbstberichtetes Verhalten über verschiedene Themen erfasst (Parsons u. a., 2014). In einer zweiten Validierungsrunde zeigten die Forschenden zudem, dass höhere Werte im Fragebogen mit besseren Leistungen in einer echten Phishing-Simulation zusammenhingen, was dem Instrument eine Vorhersagekraft verleiht, die einem selbst ausgedachten Quiz fehlt (Parsons u. a., 2017). Für die Verhaltensseite entwickelten Egelman und Peer (2015) die Security Behavior Intentions Scale, kurz SeBIS, eine validierte Skala, die die Absicht zu sicherem Verhalten entlang von vier Dimensionen misst, vom Aktualisieren von Software bis zum Umgang mit Passwörtern.

Die praktische Lehre ist ebenso einfach wie unbequem. Es gibt erprobte Instrumente, um weiter zu messen als nur die Teilnahme, eine Organisation, die Awareness ernsthaft messen will, muss also nicht bei null anfangen. Ein selbst erstellter Wissenstest am Ende des E-Learnings misst bestenfalls, ob jemand die gerade gezeigte Information noch wiedergeben kann. Er misst keine Einstellung, kein Verhalten, und man vergleicht ihn weder über die Zeit noch zwischen Abteilungen. Der Unterschied zwischen Messen und gutem Messen ist genau der Unterschied zwischen einer solchen Testfrage und einem validierten Instrument.

Abbildung 2 Wissen, Einstellung und Verhalten sind drei Größen mit jeweils eigener Messweise. Wissen und Einstellung misst man mit validierten Fragebögen, Verhalten mit beobachtbaren Signalen. Die Meta-Analyse von Prümmer und Kollegen zeigt, wie weit Wissen und Verhalten auseinanderliegen.

03 · ErklärungWarum das Messen von Wissen nicht genügt

Zwischen Wissen und Tun klafft eine Kluft, die in der Forschung einen eigenen Namen bekam: die knowing-doing gap. Es ist keine zufällige Beobachtung, sondern ein wiederholt nachgewiesenes Phänomen. Workman, Bommer und Straub (2008) und Cox (2012) gaben der Kluft eine theoretische Struktur und zeigten, dass Menschen, die die Bedrohung kennen und die Schutzmaßnahme verstehen, diese Maßnahme dennoch oft unterlassen. Neuere Arbeiten bestätigen dieses Bild. Zwilling und Kollegen (2020) fanden in vier Ländern ausreichendes Wissen über die Bedrohung, aber kaum schützendes Verhalten, und Lee und Chua (2023) zeigten, dass Wissen das Verhalten nicht direkt vorhersagt, sondern erst über zwischengeschaltete Faktoren. Die Botschaft für alle, die messen wollen, ist hart. Ein Wissenstest misst Wissen, und Wissen sagt das Verhalten nicht von selbst voraus.

Wie groß diese Kluft ist, zeigt sich am deutlichsten in einer Meta-Analyse von neunundsechzig Untersuchungen zur Wirkung von Cybersecurity-Training (Prümmer, van Steen und van den Berg, 2024), die wir auch in unserem Bericht über Phishing-Simulationen angeführt haben. Training steigert das Wissen deutlich, mit einer großen Effektstärke von etwa 1,02, das Verhalten dagegen viel weniger, mit einer schwachen Effektstärke von etwa 0,36. Anders gesagt: Das durchschnittliche Training hebt das Wissen rund dreimal so stark an wie das Verhalten. Wer nur das Wissen misst, berichtet also genau die Größe, die sich am stärksten mitbewegt und am wenigsten über das Risiko aussagt.

Dass es bei der Kluft nicht um einen Mangel an Information geht, zeigt eine groß angelegte Praxismessung schonungslos. In der jährlichen Phishing-Untersuchung von Proofpoint (2024) unternahmen einundsiebzig Prozent der Nutzer eine riskante Handlung, und sechsundneunzig Prozent von ihnen wussten, dass sie riskant war. Mehr Information hätte hier wenig geändert, denn das Wissen war bereits vorhanden. Das erklärt, warum ein Programm, das allein auf Wissen setzt, stecken bleibt. Das Verhaltensmodell COM-B fasst zusammen, warum. Verhalten entsteht erst, wenn Fähigkeit, Motivation und Gelegenheit zusammenkommen (Michie, van Stralen und West, 2011). Ein E-Learning liefert die Fähigkeit, also das Wissen, doch die Motivation und die Gelegenheit müssen aus der Organisation selbst kommen. Wie wir in Das Rückhalt-Problem beschrieben haben, liegt gerade diese Gelegenheit, die Zeit während der Arbeit, das Budget und die Priorität, fast vollständig in den Händen des Managements. Ein Wissenstest misst davon nichts.

04 · BefundVerhalten lässt sich durchaus messen, und zwar in der Breite

Hier laufen die beiden Fragen vom Anfang zusammen, die nach dem Messen und die nach dem Maßstab. Ein dreistündiges Spiel für dreißig Personen ist ein wunderbares Erlebnis, aber kein Messinstrument, und es erreicht nie eine ganze Organisation. Glücklicherweise lässt sich Verhalten durchaus in der Breite messen, mit Signalen, die die Organisation im normalen Arbeitsalltag von selbst abgibt. Das bekannteste Beispiel ist die Phishing-Simulation, sofern man auf die richtige Kennzahl schaut. Die groß angelegte Studie von Lain, Kostiainen und Capkun (2022), durchgeführt unter 14.733 Mitarbeitenden über einen Zeitraum von fünfzehn Monaten, zeigt zwei Dinge. Erstens verschleiert eine niedrige Klickwahrscheinlichkeit pro E-Mail von knapp sechs Prozent, dass fast ein Drittel des Personals über diesen Zeitraum mindestens einmal klickt. Und zweitens verbesserte das Training im Moment des Klickens die Widerstandsfähigkeit nicht, während das gemeinsame Melden verdächtiger Nachrichten sehr wohl ein dauerhaftes und brauchbares Signal lieferte.

Damit verschiebt sich die Aufmerksamkeit von der Klickwahrscheinlichkeit zur Melderate, dem Anteil der Mitarbeitenden, die eine verdächtige Nachricht aktiv melden. Das ist ein besseres Maß, denn Melden geht über bloßes Aufpassen hinaus. Wer meldet, schützt nicht nur sich selbst, sondern warnt die gesamte Organisation. Die Klickrate selbst bleibt ein trübes Maß, denn ob jemand klickt, hängt stark von der Aufmerksamkeit in diesem Moment und von den Umständen ab, und nicht allein davon, was jemand kann. In der Untersuchung von Proofpoint (2024) lag die durchschnittliche Melderate bei rund neunzehn Prozent gegenüber einer Fehlerquote in der Simulation von gut neun Prozent, also einem Widerstandsfaktor von etwa zwei. Eine solche Kennzahl gehört zu den oberen Stufen der Leiter, denn sie misst, was Menschen tun, und nicht, ob sie anwesend waren. Die Phishing-Simulation ist zudem nicht das einzige Verhaltenssignal. Auch die Zahl der gemeldeten Vorfälle und die Zahl der unsicheren Handlungen, die in Systemen sichtbar werden, etwa eine auslösende Data-Loss-Prevention-Regel, sagen etwas darüber aus, was Menschen wirklich tun. Ein begutachteter Rahmen zum Messen von Awareness unterstreicht, dass gerade Verhaltensmaße, anders als Teilnahmezahlen, mit tatsächlicher Risikoreduktion zusammenhängen (Chaudhary, Gkioulos und Katsikas, 2022), und auch ENISA (2021) zählt das Messen von Verhalten ausdrücklich zum Kern einer Awareness-Strategie.

Und damit erhalten die schönen Initiativen ihren sinnvollen Platz. Die Forschung zu Gamification und Serious Games ist auffallend einhellig. Ansprechende Formate steigern zuverlässig das Engagement, die Motivation und das Wissen auf kurze Sicht, doch über bleibende Verhaltensänderung ist noch wenig nachgewiesen. Gwenhure und Rahayu (2024) finden vor allem Kurzzeiteffekte, Ng und Hasan (2025) zeigen, dass viele Spiele gerade die Mitarbeitenden erreichen, die ohnehin schon kompetent sind, was das Versprechen der Reichweite untergräbt, und Chen und Kollegen (2023) belegen am deutlichsten, dass Vergnügen und Eintauchen die Awareness erhöhen, sich aber nicht von selbst in Verhaltensabsicht übersetzen. Übertragen auf das COM-B-Modell liefern ein Spiel, ein Escape Room oder ein Cyber-Truck vor allem Motivation und einen Teil des Wissens, und das ist wertvoll. Sie liefern keine Gelegenheit, keinen Maßstab und keine Verhaltensmessung. Man misst ein solches Format also an dem, was es tatsächlich leistet: an Reichweite, Erleben und der Qualität des Gesprächs, und nicht so, als müsste eine Intervention für dreißig Personen das Risiko von achttausend senken. Dass dies kein Luxusproblem ist, zeigt dieselbe SANS-Untersuchung (2024), in der Mangel an Zeit und Personal das am häufigsten genannte Hindernis bildet und die reifsten Programme schnell mehr als vier Vollzeitstellen erfordern. Gerade deshalb setzt man seine Zeit und Menschen nur einmal ein, und die skalierbare Verhaltensmessung darf nicht dem schönsten, aber kleinsten Eingriff weichen.

Abbildung 3 Messformen verortet nach Reichweite (horizontal) und dem Grad, in dem sie Verhalten messbar machen (vertikal). Spiele und Escape Rooms punkten hoch beim Erleben, aber niedrig bei Reichweite und Verhaltensmessung; ein E-Learning und ein validierter Fragebogen erreichen alle, messen aber vor allem Wissen und Einstellung; die Klickrate einer Phishing-Simulation misst auch Aufmerksamkeit und Umstände, nicht reines Verhalten, während die Melderate und Signale aus den täglichen Arbeitsdaten, etwa Vorfallmeldungen und Data Loss Prevention, das sauberste, skalierbare Verhaltenssignal liefern.

05 · VorgehenSo misst und berichtet man

Die vorangegangenen Befunde übersetzen sich in einen Mess- und Berichtsansatz, der auf das Risiko steuert, ohne die ansprechenden Formate über Bord zu werfen. Fünf Schritte.

1. Klettern Sie die Evaluationsleiter hinauf und bleiben Sie nicht auf Stufe eins.Messen Sie bewusst auf allen vier Ebenen nach Kirkpatrick: Teilnahme, Wissen, Verhalten und letztlich Risiko. Teilnahme bleibt als Prozessmaß nützlich, denn ohne Reichweite ändert sich nichts, aber machen Sie sie nie zum Ergebnis, das Sie berichten. Fragen Sie sich bei jeder Kennzahl zuerst: Misst dies Aktivität oder Ergebnis? Seit ISO 27001:2022 erwartet die Norm das übrigens ebenfalls, nämlich einen Nachweis der Wirksamkeit und nicht nur der Teilnahme.
2. Messen Sie Wissen und Einstellung mit einem validierten Instrument.Nutzen Sie ein erprobtes Messinstrument wie den HAIS-Q und kein selbst ausgedachtes Quiz am Ende des E-Learnings (Parsons u. a., 2017; Kruger und Kearney, 2006). Dann bedeuten Ihre Werte etwas, Sie vergleichen sie über die Zeit und zwischen Abteilungen, und Sie sehen Bewegung statt einer Momentaufnahme.
3. Messen Sie Verhalten mit beobachtbaren Signalen, nicht allein mit Selbstauskunft.Das brauchbarste Maß ist das Meldeverhalten bei verdächtigen Nachrichten, nicht die nackte Klickwahrscheinlichkeit (Lain u. a., 2022; Proofpoint, 2024). Eine steigende Melderate zeigt, dass Menschen nicht nur aufpassen, sondern auch in Aktion treten, und genau dafür existiert das Programm.
4. Berichten Sie in der Sprache der Risiken, und nach Risikogruppe.Schlüsseln Sie die Zahlen nach Abteilung und Rolle auf und koppeln Sie sie an das Restrisiko, das die Geschäftsführung gemäß ihrer Sorgfaltspflicht abwägen können muss (siehe Das Rückhalt-Problem). Eine organisationsweite Abschlussquote von nahezu hundert Prozent verbirgt gerade die eine Abteilung, in der das tatsächliche Risiko liegt.
5. Geben Sie den ansprechenden Formaten ihren eigenen Platz.Ein Spiel, ein Escape Room oder ein Cyber-Truck ist ein starker Motor für Engagement, Gespräch und Kultur. Messen Sie dieses Format dann auch an dem, was es einbringt, nämlich Reichweite, Erleben und die Qualität des Gesprächs. Halten Sie Engagement und Verhaltensänderung auseinander, und rechnen Sie eine Intervention für dreißig Personen nicht am Risiko von achttausend ab. So bleibt es ansprechend, und die Geschichte bleibt stimmig.

Abbildung 4 Die Mess- und Berichtsroute in fünf Schritten: von der Evaluationsleiter, über ein validiertes Instrument und ein echtes Verhaltensmaß, hin zu einer Berichterstattung in der Sprache der Risiken, mit den ansprechenden Formaten an ihrem eigenen Platz.

06 · FazitMessen, was zählt

In unserem Bericht über Phishing-Simulationen kamen wir zu dem Schluss, dass das Problem nicht bei den Mitarbeitenden liegt, und in Das Rückhalt-Problem, dass es meist auch nicht beim E-Learning liegt. Dieser Bericht fügt eine dritte Erkenntnis hinzu. Das Problem steckt oft in dem, was wir messen und berichten. Ein Awareness-Programm existiert, um die Security- und Datenschutzrisiken zu senken, bei denen das Verhalten der Mitarbeitenden eine Rolle spielt, doch solange wir Teilnahme berichten, steuern wir auf Anwesenheit. Und was man berichtet, bestimmt, was die Organisation wertschätzt. Berichten Sie Teilnahme, bekommen Sie Teilnahme; berichten Sie Verhalten und Risiko, bekommen Sie Steuerung.

Glücklicherweise geht es besser, ohne dass es langweiliger wird. Man misst Verhalten in der Breite mit Signalen, die die Organisation selbst abgibt, man misst Wissen und Einstellung mit Instrumenten, die ihren Wert bewiesen haben, und man berichtet in der Sprache der Risiken, genau der Sprache, in der eine Geschäftsführung zu Hause ist. Und das wunderbare Spiel für jene dreißig Mitarbeitenden? Das verdient einen Platz und behält ihn auch. Nicht als Beleg dafür, dass das Risiko gesunken ist, sondern als das, was es wirklich ist: ein ansteckender Motor für Engagement und das gute Gespräch. Awareness darf Spaß machen. Sie muss nur auch messbar sein.

Quellen

1. Chaudhary, S., Gkioulos, V., en Katsikas, S. (2022). Developing metrics to assess the effectiveness of cybersecurity awareness program. Journal of Cybersecurity, 8(1), tyac006. doi.org/10.1093/cybsec/tyac006
2. Chen, H., Zhang, Y., Zhang, S., en Lyu, T. (2023). Exploring the role of gamified information security education systems on information security awareness and protection behavioral intention. Education and Information Technologies, 28(12), 15915–15948. doi.org/10.1007/s10639-023-11771-z
3. Cox, J. (2012). Information systems user security: A structured model of the knowing–doing gap. Computers in Human Behavior, 28(5), 1849–1858. doi.org/10.1016/j.chb.2012.05.003
4. Egelman, S., en Peer, E. (2015). Scaling the Security Wall: Developing a Security Behavior Intentions Scale (SeBIS). Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15), 2873–2882. doi.org/10.1145/2702123.2702249
5. ENISA (2021). Raising Awareness of Cybersecurity: A Key Element of National Cybersecurity Strategies. European Union Agency for Cybersecurity. enisa.europa.eu/publications/raising-awareness-of-cybersecurity
6. Gwenhure, A. K., en Rahayu, F. S. (2024). Gamification of Cybersecurity Awareness for Non-IT Professionals: A Systematic Literature Review. International Journal of Serious Games, 11(1), 83–99. doi.org/10.17083/ijsg.v11i1.719
7. ISO/IEC (2022). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements (clausule 9.1). Genève: International Organization for Standardization. iso.org/standard/27001
8. ISO/IEC (2022). ISO/IEC 27002:2022 — Information security, cybersecurity and privacy protection — Information security controls (beheersmaatregel 6.3). Genève: International Organization for Standardization. iso.org/standard/75652
9. Jayatilaka, A., Beu, N., Baetu, I., Zahedi, M., Babar, M. A., Hartley, L., en Lewinsmith, W. (2021). Evaluation of Security Training and Awareness Programs: Review of Current Practices and Guideline. arXiv:2112.06356. arxiv.org/abs/2112.06356
10. Khan, N. F., Ikram, N., Murtaza, H., en Javed, M. (2023). Evaluating protection motivation based cybersecurity awareness training on Kirkpatrick's Model. Computers & Security, 125, 103049. doi.org/10.1016/j.cose.2022.103049
11. Kirkpatrick, D. L., en Kirkpatrick, J. D. (2006). Evaluating Training Programs: The Four Levels (3e druk). San Francisco: Berrett-Koehler. (1e druk 1994; oorspronkelijke artikelserie 1959–1960.)
12. KnowBe4 (2024). 2024 Phishing by Industry Benchmarking Report. blog.knowbe4.com/knowbe4-2024-phishing-by-industry-benchmarking-report
13. Kruger, H. A., en Kearney, W. D. (2006). A prototype for assessing information security awareness. Computers & Security, 25(4), 289–296. doi.org/10.1016/j.cose.2006.02.008
14. Lain, D., Kostiainen, K., en Capkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. 2022 IEEE Symposium on Security and Privacy (SP), 842–859. doi.org/10.1109/SP46214.2022.9833766
15. Lee, C. S., en Chua, Y. T. (2023). The Role of Cybersecurity Knowledge and Awareness in Cybersecurity Intention and Behavior in the United States. Crime & Delinquency, 70(9), 2250–2277. doi.org/10.1177/00111287231180093
16. Michie, S., van Stralen, M. M., en West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
17. Ng, C. Y., en Hasan, M. K. B. (2025). Cybersecurity serious games development: A systematic review. Computers & Security, 150, 104307. doi.org/10.1016/j.cose.2024.104307
18. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., en Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165–176. doi.org/10.1016/j.cose.2013.12.003
19. Parsons, K., Calic, D., Pattinson, M., Butavicius, M., McCormac, A., en Zwaans, T. (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66, 40–51. doi.org/10.1016/j.cose.2017.01.004
20. Proofpoint (2024). 2024 State of the Phish. proofpoint.com/us/resources/threat-reports/state-of-phish
21. Prümmer, J., van Steen, T., en van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
22. SANS Institute (2024). 2024 Security Awareness Report: Embedding a Strong Security Culture. sans.org/security-awareness-training/resources/reports/sar
23. Uchendu, B., Nurse, J. R. C., Bada, M., en Furnell, S. (2021). Developing a cyber security culture: Current practices and future needs. Computers & Security, 109, 102387. doi.org/10.1016/j.cose.2021.102387
24. Workman, M., Bommer, W. H., en Straub, D. (2008). Security lapses and the omission of information security measures: A threat control model and empirical test. Computers in Human Behavior, 24(6), 2799–2816. doi.org/10.1016/j.chb.2008.04.005
25. Zwilling, M., Klien, G., Lesjak, D., Wiechetek, Ł., Cetin, F., en Basim, H. N. (2020). Cyber Security Awareness, Knowledge and Behavior: A Comparative Study. Journal of Computer Information Systems, 62(1), 82–97. doi.org/10.1080/08874417.2020.1712269