2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Der Unterschied zwischen Security Awareness und Datenschutzbewusstsein

Die Wissenschaft zerlegt Security Awareness in Wissen, Einstellung und Verhalten und Datenschutzbewusstsein in Wahrnehmen, Verstehen und Anwenden. Genau dieser Unterschied erklärt, warum Sicherheit Verhaltensänderung verlangt und Datenschutz die Anwendung von Wissen, und warum eine einzige Schulungsform für beide Themen zu kurz greift.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Kurz gefasst

  1. Security Awareness und Datenschutzbewusstsein stammen aus unterschiedlichen Forschungstraditionen. Security Awareness wird seit zwanzig Jahren als Dreiklang aus Wissen, Einstellung und Verhalten gemessen (Kruger und Kearney, 2006; Parsons u.a., 2014), während Datenschutzbewusstsein eher als Situationsbewusstsein beschrieben wird: erkennen, dass eine Situation die Anwendung von Regeln verlangt, und diese Regeln anschließend richtig anwenden (Correia und Compeau, 2017).
  2. Bei der Sicherheit ist die Lücke zwischen Wissen und Handeln gut belegt: Schulung erhöht vor allem Wissen und Einstellung, während sich das Verhalten weit weniger bewegt. Das liegt daran, dass ein Angreifer gerade die schnelle, automatische Verarbeitung ausnutzt; Wissen hilft in diesem Moment nur, wenn das richtige Verhalten bereits zur Gewohnheit geworden ist (Vishwanath u.a., 2011; Prümmer, van Steen und van den Berg, 2024).
  3. Die These, dass es beim Datenschutzbewusstsein um die Anwendung von Wissen und bei der Security Awareness um Verhaltensänderung geht, wird von der Forschung weitgehend gestützt, allerdings als Unterschied im Schwerpunkt und nicht als absolute Trennung. Auch beim Datenschutz gehen Wissen und Handeln auseinander (das Datenschutzparadoxon), und ein großer Teil der gemeldeten Datenpannen ist auf Routinefehler zurückzuführen, etwa einen Brief oder eine E-Mail an den falschen Empfänger (DLA Piper, 2026).

In Schulungsprogrammen werden Security Awareness und Datenschutzbewusstsein oft in einem Atemzug genannt. Organisationen kaufen sie zusammen ein, planen sie in derselben jährlichen Runde und gießen sie in dieselbe Form, meist ein E-Learning mit einem Test. Dabei verlangen die beiden Themen etwas grundlegend Verschiedenes von einer Mitarbeiterin oder einem Mitarbeiter. Die These dieser Untersuchung lautet, dass es beim Datenschutz vor allem darum geht, Wissen über Regeln und Verfahren im richtigen Moment anzuwenden, und bei der Sicherheit vor allem darum, das eigene Verhalten zu ändern, bis hinein in die Reflexe.

Dieser Bericht prüft diese These anhand der wissenschaftlichen Forschung. Er knüpft an zwei frühere Berichte dieser Reihe an: Das Aufmerksamkeitsproblem, darüber, was Phishing-Simulationen leisten und was nicht, und Die verwundbaren ersten Monate, über den Zeitpunkt der ersten Schulung. Jene Berichte handelten von der Sicherheit; dieser stellt Sicherheit und Datenschutz nebeneinander.

Über diesen Bericht

Art
Literaturstudie auf der Grundlage begutachteter wissenschaftlicher Forschung (Peer-Review) und Veröffentlichungen maßgeblicher Institutionen.
Hauptfrage
Verlangen Security Awareness und Datenschutzbewusstsein einen unterschiedlichen Ansatz, bei dem Datenschutzbewusstsein vor allem auf die Anwendung von Wissen und Security Awareness vor allem auf die Änderung von Verhalten hinausläuft?
Teilfragen
  1. Wie definiert die Literatur beide Begriffe, und aus welchen Bestandteilen bestehen sie?
  2. Inwieweit schlägt sich Wissen bei der Sicherheit in sicherem Verhalten nieder?
  3. Besteht beim Datenschutz dieselbe Lücke zwischen Wissen und Handeln, und gilt sie auch für Beschäftigte, die Daten anderer verarbeiten?
  4. Unterscheidet sich die Art der Situation, in der sich beide Formen des Bewusstseins bewähren müssen?
  5. Was bedeutet das für die Gestaltung eines Schulungsprogramms?
Quellen
Messinstrumente für Security Awareness (das KAB-Modell, der HAIS-Q), Übersichtsstudien und eine Meta-Analyse zu Security-Schulungen, die Forschung zum Datenschutzparadoxon, konzeptionelle Arbeiten zum Datenschutzbewusstsein sowie Zahlen europäischer Datenschutzbehörden und der ENISA.
Stand
Juni 2026.

01 · RAHMENZwei Begriffe aus verschiedenen Traditionen

Wer die wissenschaftliche Literatur zu den beiden Formen des Bewusstseins nebeneinanderlegt, bemerkt sofort einen Unterschied in der Herkunft. Die Forschung zur Security Awareness wurzelt in der Frage, wie eine Organisation dafür sorgt, dass Beschäftigte die Sicherheitsrichtlinien einhalten. Die am häufigsten genutzte Grundlage dafür ist das KAB-Modell, das Bewusstsein als Dreiklang aus Wissen (was man weiß), Einstellung (was man denkt) und Verhalten (was man tut) auffasst (Kruger und Kearney, 2006). Das am gründlichsten validierte Messinstrument, der Human Aspects of Information Security Questionnaire (HAIS-Q), ist ausdrücklich auf diesem Modell aufgebaut und misst die drei Ebenen über sieben Themenfelder hinweg, von Passwörtern bis zur Meldung von Vorfällen (Parsons u.a., 2014). Verhalten ist in dieser Tradition also kein Nebenprodukt des Bewusstseins, sondern ein fester Bestandteil der Definition. Auch die einflussreiche Compliance-Studie von Bulgurcu, Cavusoglu und Benbasat (2010) betrachtet Bewusstsein unter dem Gesichtspunkt, ob sich Beschäftigte am Ende richtlinienkonform verhalten.

Die Forschung zum Datenschutzbewusstsein ist jünger und anderer Art. Der breite Überblick von Smith, Dinev und Xu (2011) zeigt, dass sich die Datenschutzforschung seit jeher auf Sorgen, Einstellungen und Abwägungen rund um das Teilen von Daten konzentriert hat und weit weniger auf Verhalten im Arbeitsumfeld. Wo der Begriff ausgearbeitet wird, geschieht das auffallend oft als eine Form von Wissen. Die Online Privacy Literacy Scale (OPLIS) fasst Datenschutzkompetenz ausdrücklich als Wissen auf, sowohl als Faktenwissen über Regeln und Praktiken als auch als Wissen über Vorgehensweisen zum Schutz von Daten (Trepte u.a., 2015). Correia und Compeau (2017) gehen einen Schritt weiter und beschreiben Datenschutzbewusstsein als eine Form von Situationsbewusstsein nach dem Modell von Endsley: eine Situation wahrnehmen, verstehen, was sie bedeutet, und vorhersehen, was geschehen kann. In dieser Lesart ist Datenschutzbewusstsein die Fähigkeit, zu erkennen, dass personenbezogene Daten im Spiel sind, und zu verstehen, welche Norm dabei gilt, woraufhin das Wissen angewendet werden kann.

Zwei Traditionen mit je eigenem Schwerpunkt

Wie die Literatur die beiden Begriffe aufbaut

SECURITY AWARENESS drei Ebenen, nach Kruger und Kearney (2006) Wissen was man weiß Einstellung was man denkt Verhalten was man tut DATENSCHUTZBEWUSSTSEIN Situationsbewusstsein, nach Correia und Compeau (2017) Wahrnehmen hier sind personenbezogene Daten Verstehen welche Norm hier gilt Anwenden Wissen in Handeln umsetzen

Abbildung 1 Wie die Literatur die beiden Begriffe aufbaut. Bei der Security Awareness ist Verhalten ein fester Bestandteil der Definition und in der Praxis das schwächste Glied; beim Datenschutzbewusstsein liegt der Schwerpunkt auf dem Erkennen der Situation und der Anwendung von Wissen. Nach Kruger und Kearney (2006) und Correia und Compeau (2017).

02 · BEFUNDBei der Sicherheit liegt der Engpass nicht beim Wissen

Dass Wissen und Verhalten bei der Sicherheit nicht zusammenfallen, zeigte sich bereits in der ersten Anwendung des KAB-Modells. In der Fallstudie von Kruger und Kearney (2006) bei einem internationalen Bergbauunternehmen erreichten die Beschäftigten 77 Prozent beim Wissen und 76 Prozent bei der Einstellung, aber nur 54 Prozent beim Verhalten. Was die Beschäftigten wussten und dachten, war also mehr als ausreichend, doch was sie in der Praxis taten, blieb weit dahinter zurück. Spätere Validierungsstudien bestätigen dieses Bild. Bei fünfhundert australischen Beschäftigten hing Wissen über Richtlinien und Verfahren stärker mit der Einstellung zusammen als mit dem eigenen Sicherheitsverhalten, woraus die Forschenden schließen, dass Schulung nicht nur erklären sollte, was erwartet wird, sondern auch, warum das wichtig ist (Parsons u.a., 2014).

Die Übersichtsforschung weist in dieselbe Richtung. Eine systematische Übersichtsstudie von 142 Untersuchungen zu Security-Schulungen stellt fest, dass die meisten Studien ihre Wirkung an Wissen oder Absichten statt an tatsächlichem Verhalten messen, dass Effekte in der Regel nach einer einzigen Schulungssitzung ohne Nachmessung erhoben werden und dass sich dauerhafte Verhaltensänderung deshalb nicht mit Sicherheit feststellen lässt, obwohl gerade diese Änderung Wiederholung erfordert, weil Gewohnheiten nur durch Wiederholung entstehen (Prümmer, van Steen und van den Berg, 2024). Die zugehörige Meta-Analyse zeigt, dass Schulung das Wissen und das Bewusstsein der Endnutzerinnen und Endnutzer deutlich verbessert, dass der Effekt auf das Verhalten auf längere Sicht jedoch bescheidener ausfällt (Prümmer, van Steen und van den Berg, 2024). Schon 2015 kamen Bada, Sasse und Nurse zu dem Schluss, dass Information allein das Verhalten nicht ändert: Menschen müssen den Rat auch anwenden können und motiviert sein, das zu tun. Die ENISA zieht daraus dieselbe Lehre und plädiert für eine Verschiebung von der Information hin zu Verhaltensänderung und Kultur (ENISA, 2019).

Für den Teil der These, der die Sicherheit betrifft, ist die Beleglage damit solide: Der Engpass liegt nicht in dem, was Beschäftigte wissen, sondern in dem, was sie unter dem Druck des Augenblicks tun. In Das Aufmerksamkeitsproblem haben wir bereits beschrieben, dass Phishing eher ein Aufmerksamkeits- als ein Wissensproblem ist und dass eine sinkende Klickrate wenig darüber aussagt, was Beschäftigte tatsächlich gelernt haben.

Wissen, Denken und Tun gehen auseinander

Werte je Dimension in der Fallstudie von Kruger und Kearney (2006)

Wissen 77% Einstellung 76% Verhalten 54% 0% 50% 100%

Abbildung 2 Werte auf den drei Dimensionen der Security Awareness in der Fallstudie von Kruger und Kearney (2006): Wissen 77 Prozent, Einstellung 76 Prozent und Verhalten 54 Prozent. Die Lücke zwischen Wissen und Handeln wurde seither in zahlreichen Untersuchungen wiedergefunden.

03 · BEFUNDAuch beim Datenschutz gehen Wissen und Handeln auseinander

Wer die These wörtlich nimmt, würde erwarten, dass Wissen und Handeln beim Datenschutz zusammenfallen. Die Forschung zeigt etwas anderes, und das Phänomen hat sogar einen eigenen Namen: das Datenschutzparadoxon. In dem Experiment, dem es seinen Namen verdankt, gaben die Teilnehmenden erheblich mehr persönliche Informationen preis, als sie vorab angekündigt hatten (Norberg, Horne und Horne, 2007). Pötzsch (2009) beschreibt dieselbe Lücke: Auch wer datenschutzbewusst ist, verhält sich vielfach nicht danach. Übersichtsstudien bestätigen, dass Einstellungen und Sorgen zum Datenschutz nur schwach vorhersagen, was Menschen beim Teilen von Daten tatsächlich tun, und erklären dies unter anderem aus Abwägungen von Bequemlichkeit und Nutzen, aus Unsicherheit und aus dem starken Einfluss des Kontexts auf die Datenschutzpräferenzen (Kokolakis, 2017; Gerber, Gerber und Volkamer, 2018; Acquisti, Brandimarte und Loewenstein, 2015).

Dennoch gibt es einen wichtigen Unterschied zum Arbeitsumfeld. Nahezu all diese Forschung betrifft Menschen, die über ihre eigenen Daten entscheiden, als Verbraucherinnen und Verbraucher, die etwas im Tausch gegen Bequemlichkeit, einen Rabatt oder Kontakt preisgeben. Solove (2021) weist zudem darauf hin, dass sich aus diesem Verhalten wenig über Einstellungen ableiten lässt, weil Menschen in einer konkreten Situation anders abwägen als bei einer allgemeinen Frage. Wer personenbezogene Daten von Kundinnen und Kunden, Patientinnen und Patienten oder Kolleginnen und Kollegen verarbeitet, nimmt eine grundlegend andere Rolle ein: Es geht nicht um die eigenen Daten, der persönliche Tauschvorteil entfällt weitgehend, und die Frage ist nicht, wie viel jemand teilen möchte, sondern ob die Verarbeitung den Regeln der Organisation und dem Gesetz entspricht. Diese Rolle verlangt vor allem Erkennen und Anwenden: zu sehen, dass etwas ein personenbezogenes Datum ist, zu wissen, ob es eine Rechtsgrundlage gibt, ein Auskunftsersuchen einer betroffenen Person zu erkennen und eine Datenpanne rechtzeitig zu melden. Zu dieser Rolle von Beschäftigten ist auffallend wenig geforscht worden, und die Abgrenzung des Begriffs Datenschutzbewusstsein unterscheidet sich zudem von Studie zu Studie (Smith, Dinev und Xu, 2011; Correia und Compeau, 2017).

Eine Nuance verdient hier besondere Betonung. Die Zahlen aus der Praxis zeigen, dass Datenschutzvorfälle keineswegs immer Wissensvorfälle sind. Europaweit erhalten die Aufsichtsbehörden inzwischen im Schnitt 443 gemeldete Datenpannen pro Tag, ein Anstieg um 22 Prozent in einem einzigen Jahr (DLA Piper, 2026). Ein erheblicher Teil davon sind keine ausgeklügelten Cyberangriffe, sondern alltägliche menschliche Fehler: Ein Brief oder eine E-Mail an den falschen Empfänger gehört durchgängig zu den am häufigsten gemeldeten Pannenarten, und menschliches Versagen ist europaweit eine der Hauptursachen von Datenpannen (ENISA, 2019). Ein Brief im falschen Umschlag ist kein Mangel an Wissen über die DSGVO, sondern ein Routinefehler und damit ein klassisches Verhaltensproblem. In der Datenschutzpraxis stehen die Anwendung von Wissen und das Einüben sorgfältiger Routinen also nebeneinander.

Bei der Sicherheit muss eingeübtes Verhalten gegen einen Gegner bestehen, der auf den Autopiloten zielt; beim Datenschutz muss jemand die Situation erkennen und das richtige Wissen darauf anwenden.

Auf Grundlage der ausgewerteten Literatur

04 · ERKLÄRUNGDer Gegner und der entscheidende Moment unterscheiden sich

Das Muster aus den beiden vorigen Kapiteln erklärt sich gut aus der Art der Situation, in der sich beide Formen des Bewusstseins bewähren müssen. Sicherheit dreht sich um den Schutz von Informationen und Systemen vor vorsätzlicher Beeinträchtigung (von Solms und van Niekerk, 2013). Es steht also ein denkender Gegner gegenüber den Beschäftigten, und dieser Gegner bestimmt den Moment, die Form und den Druck. Forschung zu Phishing zeigt, dass die meisten Phishing-Nachrichten über den schnellen, oberflächlichen Weg verarbeitet werden: Menschen entscheiden anhand einfacher Hinweise in der Nachricht, ohne gründliche Abwägung, besonders dann, wenn der Absender mit Dringlichkeit und Autorität spielt (Vishwanath u.a., 2011). In einem solchen Moment besteht keine Gelegenheit, Wissen in Ruhe anzuwenden. Was dann zählt, ist das Verhalten, das sich jemand zu eigen gemacht hat: kurz innehalten, die Anfrage über einen anderen Kanal prüfen und Abweichungen melden. Deshalb ist Security Awareness im Kern eine Verhaltensfrage, und deshalb wirkt Schulung, die kurz ist, wiederholt wird und die Beschäftigten im Arbeitskontext üben lässt, besser als einmalige Wissensvermittlung (Prümmer, van Steen und van den Berg, 2024).

Beim Datenschutz liegt der entscheidende Moment anders. Die Norm kommt nicht von einem Angreifer, sondern vom Gesetz und von den Richtlinien der Organisation, und die Fragen stellen sich meist in der gewöhnlichen Arbeit: Darf ich diese Datei mit dieser Kollegin teilen, wie lange bewahren wir diese Daten auf, ist diese Anfrage ein Auskunftsersuchen, und ist dieser Vorfall eine meldepflichtige Datenpanne? Bei solchen Fragen besteht fast immer die Gelegenheit, nachzudenken, etwas nachzuschlagen oder die Datenschutzbeauftragten hinzuzuziehen. Der Engpass ist hier nicht der Zeitdruck eines Gegners, sondern das Erkennen der Situation: Wer nicht sieht, dass etwas ein personenbezogenes Datum oder eine Datenpanne ist, kommt zur Anwendung von Wissen gar nicht erst. Das fügt sich genau in die Beschreibung von Datenschutzbewusstsein als Situationsbewusstsein (Correia und Compeau, 2017).

Die beiden Bereiche überschneiden sich durchaus. Phishing fischt häufig gerade nach personenbezogenen Daten, sodass ein erfolgreicher Angriff zugleich eine Datenpanne ist, und die Versandfehler in den Meldezahlen der Aufsichtsbehörden sind Routineverhalten, das denselben verhaltensorientierten Ansatz verlangt wie Sicherheitsgewohnheiten. Umgekehrt kommt es bei der Sicherheit sehr wohl auf Wissen an: Wer beim HAIS-Q höher abschneidet, einschließlich der Wissenskomponente, schneidet nachweislich besser in einem experimentellen Phishing-Test ab (Parsons u.a., 2017). Der Unterschied zwischen beiden Bereichen ist also keine scharfe Trennlinie zwischen Wissen und Verhalten; der Unterschied liegt in der Frage, welches der beiden in der entscheidenden Situation den Ausschlag gibt.

05 · FAZITEin Unterschied im Schwerpunkt

Die Antwort auf die Hauptfrage lautet: Die These wird weitgehend gestützt, sofern sie als Unterschied im Schwerpunkt verstanden wird. Security Awareness ist im Kern eine Verhaltensfrage: Wissen ist nötig, aber die Forschung zeigt immer wieder, dass Wissen und Einstellung dem Verhalten weit vorauseilen und dass die entscheidenden Momente so kurz sind und vom Angreifer so bewusst ausgenutzt werden, dass nur eingeübte Gewohnheiten Halt bieten. Datenschutzbewusstsein im Arbeitsumfeld ist dagegen vor allem eine Frage des Erkennens und Anwendens: zu sehen, dass eine Situation unter die Regeln fällt, zu wissen, welche Norm gilt, und danach zu handeln, mit der Zeit und den Hilfsmitteln, die in diesen Situationen meist vorhanden sind.

Für die Gestaltung eines Schulungsprogramms bedeutet das, dass eine einzige Form für beide Themen zu kurz greift. Security-Schulung verlangt kurze, wiederholte, verhaltensorientierte Übung im Arbeitskontext, damit sich Gewohnheiten bilden können. Datenschutzschulung verlangt nachvollziehbare Fallbeispiele, klare Entscheidungsregeln sowie gut auffindbare Nachschlagewerke und Meldewege, damit das Wissen in dem Moment verfügbar ist, in dem die Situation eintritt. Für beide gilt, was die Forschung seit Langem sagt: Das bloße Verteilen von Informationen ändert wenig, denn Beschäftigte müssen den Rat auch anwenden können und wollen (Bada, Sasse und Nurse, 2015; ENISA, 2019).

Zugleich ist Bescheidenheit angebracht. Das Datenschutzparadoxon zeigt, dass Wissen und Handeln auch beim Datenschutz nicht von selbst zusammengehen, und die Meldezahlen zeigen, dass ein erheblicher Teil der Datenschutzvorfälle aus Routinefehlern besteht, die ihrerseits Verhaltensänderung verlangen. Wer die Unterscheidung dieses Berichts nutzt, tut also gut daran, sie als Unterschied in der Betonung zu verstehen und nicht als strikte Einteilung: Ein ausgereiftes Programm schult bei der Sicherheit vor allem das Verhalten und erhält daneben das Wissen, und es schult beim Datenschutz vor allem das Erkennen und Anwenden der Regeln, ohne die sorgfältigen Routinen aus dem Blick zu verlieren.

Einschränkungen

  • Dieser Bericht ist eine Literaturstudie, die bestehende Forschung zusammenfasst und keine eigene neue Forschung enthält.
  • Die Forschung zum Datenschutzparadoxon betrifft nahezu ausschließlich Verbraucherinnen und Verbraucher, die über ihre eigenen Daten entscheiden; die Übertragung auf Beschäftigte, die Daten anderer verarbeiten, ist teils hergeleitet statt direkt gemessen.
  • Viel Forschung zur Security Awareness misst selbstberichtetes Verhalten oder kurzfristige Effekte, was den Blick auf dauerhafte Verhaltensänderung einschränkt.
  • Die Begriffe Security Awareness und Datenschutzbewusstsein werden in der Literatur nicht einheitlich definiert; der Vergleich in diesem Bericht hängt von den gewählten Definitionen ab.
  • Die Meldezahlen zählen gemeldete Datenpannen; nicht jeder Vorfall wird erkannt oder gemeldet, und die Meldepflicht wiegt je nach Art des Vorfalls unterschiedlich.

Quellen

  1. Acquisti, A., Brandimarte, L., und Loewenstein, G. (2015). Privacy and human behavior in the age of information. Science, 347(6221), 509-514. doi.org/10.1126/science.aaa1465
  2. Bada, M., Sasse, A. M., und Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  3. Bulgurcu, B., Cavusoglu, H., und Benbasat, I. (2010). Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly, 34(3), 523-548. aisel.aisnet.org/misq/vol34/iss3/9
  4. Correia, J., und Compeau, D. (2017). Information Privacy Awareness (IPA): A Review of the Use, Definition and Measurement of IPA. Hawaii International Conference on System Sciences (HICSS-50). aisel.aisnet.org/hicss-50
  5. DLA Piper (2026). GDPR Fines and Data Breach Survey: January 2026. dlapiper.com
  6. Gerber, N., Gerber, P., und Volkamer, M. (2018). Explaining the privacy paradox: A systematic review of literature investigating privacy attitude and behavior. Computers & Security, 77, 226-261. doi.org/10.1016/j.cose.2018.04.002
  7. Kokolakis, S. (2017). Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon. Computers & Security, 64, 122-134. doi.org/10.1016/j.cose.2015.07.002
  8. Kruger, H. A., und Kearney, W. D. (2006). A prototype for assessing information security awareness. Computers & Security, 25(4), 289-296. doi.org/10.1016/j.cose.2006.02.008
  9. Norberg, P. A., Horne, D. R., und Horne, D. A. (2007). The Privacy Paradox: Personal Information Disclosure Intentions versus Behaviors. Journal of Consumer Affairs, 41(1), 100-126. doi.org/10.1111/j.1745-6606.2006.00070.x
  10. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., und Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165-176. sciencedirect.com/.../S016740481300179X
  11. Parsons, K., Calic, D., Pattinson, M., Butavicius, M., McCormac, A., und Zwaans, T. (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66, 40-51. doi.org/10.1016/j.cose.2017.01.004
  12. Pötzsch, S. (2009). Privacy Awareness: A Means to Solve the Privacy Paradox? In The Future of Identity in the Information Society, IFIP AICT 298. doi.org/10.1007/978-3-642-03315-5_17
  13. Prümmer, J., van Steen, T., und van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136, 103585. doi.org/10.1016/j.cose.2023.103585
  14. Prümmer, J., van Steen, T., und van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  15. Smith, H. J., Dinev, T., und Xu, H. (2011). Information Privacy Research: An Interdisciplinary Review. MIS Quarterly, 35(4), 989-1015. aisel.aisnet.org/misq/vol35/iss4/11
  16. Solove, D. J. (2021). The Myth of the Privacy Paradox. George Washington Law Review, 89, 1-51. gwlr.org
  17. Trepte, S., Teutsch, D., Masur, P. K., u.a. (2015). Do People Know About Privacy and Data Protection Strategies? Towards the “Online Privacy Literacy Scale” (OPLIS). In Reforming European Data Protection Law. doi.org/10.1007/978-94-017-9385-8_14
  18. Vishwanath, A., Herath, T., Chen, R., Wang, J., und Rao, H. R. (2011). Why do people get phished? Testing individual differences in phishing vulnerability within an integrated, information processing model. Decision Support Systems, 51(3), 576-586. doi.org/10.1016/j.dss.2011.03.002
  19. von Solms, R., und van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102. doi.org/10.1016/j.cose.2013.04.004
  20. ENISA (2019). Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. European Union Agency for Cybersecurity. enisa.europa.eu
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel