Die Gründe für das Scheitern vieler Awareness-Maßnahmen sind vielschichtig – doch ein Muster zieht sich durch nahezu alle: Die Kommunikation ist zu allgemein, zu technisch oder schlicht zu weit von der Lebensrealität der Zielgruppen entfernt. Das Resultat: Mitarbeitende fühlen sich nicht angesprochen, überfordert oder gar abgestoßen – und genau das verhindert die beabsichtigte Wirkung.

Ein zentrales Problem liegt in der Sprache der Cybersicherheit selbst. Viele Inhalte sind hochgradig technisch, gespickt mit Fachbegriffen und Formulierungen, die Laien kaum nachvollziehen können. Cybersicherheit wird so häufig als kryptisch wahrgenommen und bietet den Empfänger:innen wenig handlungsleitende Orientierung (Fulton et al., 2019; Sasse et al., 2023). Dadurch bleibt das Thema für viele abstrakt und fern – ein Problem, das besonders dann sichtbar wird, wenn Mitarbeitende Cybersicherheit erst dann ernst nehmen, wenn sie unmittelbar betroffen sind (Eriksson, 2024).

Hinzu kommt eine weit verbreitete Strategie der Übertreibung: Sicherheitsbotschaften setzen oft auf Angst, Worst-Case-Szenarien und apokalyptische Bedrohungen. Zwar erzeugt dies Aufmerksamkeit, doch zahlreiche Studien zeigen, dass übertriebene Risikodarstellungen eher zur Resignation führen (Florêncio et al., 2014; Menges et al., 2023; Reeder et al., 2017). Wenn Menschen das Gefühl haben, einer übermächtigen Gefahr ausgeliefert zu sein, neigen sie dazu, passiv zu werden – statt sich aktiv zu schützen.

Ein weiteres Hindernis ergibt sich aus der Heterogenität der Zielgruppen. Viele aktuelle Maßnahmen, wie etwa standardisierte Phishing-Trainings oder E-Learnings, folgen einem One-Size-Fits-All-Ansatz. Diese gehen oft an den spezifischen Anforderungen einzelner Abteilungen oder Rollen vorbei (Bada et al., 2015). Dabei zeigen sich gerade zwischen Abteilungen und Berufsgruppen große Unterschiede im Sicherheitsverhalten und im Verständnis für Risiken (Braun et al., 2025). Maßnahmen, die diese Unterschiede ignorieren, bleiben häufig wirkungslos.

Darüber hinaus mangelt es vielen technischen, wissenschaftlichen und sicherheitsverantwortlichen Fachkräften an kommunikativer Kompetenz. Führungskräfte, Risikomanager:innen und IT-Expert:innen sind oft unempfänglich für die Informationsbedarfe abteilungsfremder Stakeholder – oder sich dieser schlicht nicht bewusst (Covello, 2022). Die Folge: Technisches Wissen wird nicht in eine Sprache übersetzt, die die breite Belegschaft verstehen und anwenden kann.

Auch aufseiten der Mitarbeitenden bestehen häufig Wissenslücken. Viele verstehen die Risiken, die mit der Nutzung digitaler Geräte und Dienste verbunden sind, nur unzureichend. Gleiches gilt für empfohlene Schutzmaßnahmen, die oft als wenig wirksam wahrgenommen werden – nicht zuletzt, weil das zugrunde liegende Verständnis fehlt (Crossler & Bélanger, 2014). Dieses Informationsdefizit wird zusätzlich durch widersprüchliche oder technisch überfrachtete Aussagen verstärkt – sei es aus Medien, aus Schulungen oder von IT-Abteilungen (Fulton et al., 2019; Nurse et al., 2011). Verschärft wird das Problem dadurch, dass verschiedene Akteure – etwa Sicherheitsanbieter, interne Fachkräfte oder externe Berater – teils voneinander abweichende Aussagen darüber treffen, welche Sicherheitsstandards tatsächlich gelten sollen.  Dadurch sehen sich Mitarbeitende mit einer Flut an inkonsistenten Informationen konfrontiert, die sie schlichtweg überfordert (Reeder et al., 2017) – mit dem Ergebnis, dass Cybersicherheit als zu komplex und nicht umsetzbar wahrgenommen wird. In der Folge sinkt die Bereitschaft aber auch das Gefühl einen Beitrag zur Cybersicherheit beitragen zu können.

Wenn Cybersicherheitsprävention wirksam sein soll, muss sie kommunikativ neu gedacht werden. Es braucht eine Abkehr vom defizitorientierten Blick auf den Menschen – hin zu einer positiven Kommunikationsstrategie, die das Verhalten der Mitarbeitenden nicht nur durch Informationen steuert, sondern aktiv unterstützt.

Ein erster Schritt liegt darin, Sicherheitskommunikation verständlich, alltagsnah und ressourcenschonend zu gestalten. Mitarbeitende müssen sich weder durch Fachjargon noch durch drohende Sprache abgeschreckt fühlen. Vielmehr sollte Kommunikation ein realistisches Risikobewusstsein schaffen und zugleich konkrete, einfache Handlungsmöglichkeiten aufzeigen (Menges et al., 2023). Sicherheit muss nicht als zusätzliche Belastung erscheinen, sondern als integraler Bestandteil eines modernen Arbeitsumfelds. Im zweiten Schritt geht es um das Thema des geordneten Wissenstransfers innerhalb der Organisation. Unterschiedliche Informationsstände über das „Warum“ und „Wie“ der Cybersicherheitsprävention müssen harmonisiert werden, um für ein Maximum an Klarheit und Akzeptanz der verordneten Maßnahmen zu sorgen.

Entscheidend ist außerdem der zielgruppengerechte Zuschnitt der Maßnahmen. Mitarbeitende unterscheiden sich in Wissen, Erfahrung und digitalem Handlungsspielraum – diese Unterschiede müssen bei der Konzeption berücksichtigt werden.

Genau hier setzt CybIQ an – ein Analyse-Tool, das sowohl den bestehenden Wissensstand als auch die benötigten Kompetenzen auf individueller sowie auf Abteilungsebene erfasst. Es identifiziert nicht nur bestehende Lücken, sondern leitet daraus gezielte, praxisnahe Empfehlungen zur Risikominimierung ab.

Die Methodik von CybIQ orientiert sich an etablierten Frameworks wie dem Human Aspects of Information Security Questionnaire (HAIS-Q) sowie an Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Europäischen Agentur für Cybersicherheit (ENISA). Auf Basis unternehmensspezifischer Bedrohungsszenarien, Compliance-Vorgaben und operativer Anforderungen entwickelt CybIQ passgenaue Fragestellungen zur Erhebung sicherheitsrelevanter Einstellungen und Verhaltensweisen. Die Auswertung liefert eine datengestützte Grundlage zur gezielten Optimierung des Cybersicherheitsniveaus – differenziert nach Zielgruppen, Themenfeldern und organisationalen Einheiten.

Auf dieser Basis entwickeln wir passgenaue Awareness- und Schulungs-Kampagnen, die auf reale Arbeitsprozesse abgestimmt sind. Durch die Integration in den Arbeitsalltag, etwa über Micro-Trainings, Visual Storytelling oder digitale Sicherheits-Check-ins, wird Sicherheit zum kontinuierlich erlebbaren Thema. Gleichzeitig überarbeiten wir in Präventions-Audits bestehende Kommunikationsmaterialien hinsichtlich Verständlichkeit, Ansprache und inhaltlicher Relevanz – abgestimmt auf Abteilungen, Rollenprofile und organisationales Reifegradmodell.

Cybersicherheitsprävention ist keine Frage der Technik allein – sie ist eine kommunikative Herausforderung. Wer Mitarbeitende als Gestalter:innen der Sicherheit begreift, schafft die Grundlage für eine resiliente Organisation. Der Schlüssel liegt in einer Kommunikation, die Risiken verständlich macht, Handlungsspielräume aufzeigt und Sicherheit als gemeinsamen Auftrag vermittelt. Nur so wird aus potenzieller Schwäche echte Stärke. Gerade hier muss bei Führungskräften und Risk Managern aber auch in IT-Abteilungen ein Umdenken stattfinden. Gelingende Cyberresilienz schafft man nicht durch das Abarbeiten von Vorschriften und das Vertrauen in Security-Soft- und Hardware. Erst durch eine echte Befähigung der Mitarbeitenden lässt sich das Wann eines Cyberangriffs nach hinten verschieben und der Schaden im Ernstfall verringern.

Bada, M., Sasse, A. M., & Nurse, J. R. C. (2019). Cyber security awareness campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. https://doi.org/10.48550/arXiv.1901.02672

Braun, Oskar & Hörnemann, Jan & Pohlmann, Norbert & Urban, Tobias & Große-Kampmann, Matteo. (2025). Different Seas, Different Phishes -Large-Scale Analysis of Phishing Simulations Across Different Industries. 10.1145/3708821.3733905.

Covello, V. T. (2022). The critical role of risk, high concern, and crisis communication. In Risk communication (pp. 1–9). https://doi.org/10.1002/9781119081753.ch1

Crossler, R. E., & Bélanger, F. (2014). An extended perspective on individual security behaviors. ACM SIGMIS Database: The DATABASE for Advances in Information Systems, 45(4), 51–71. https://doi.org/10.1145/2691517.2691521

Dechand, S., Naiakshina, A., Danilova, A., & Smith, M. (2019). In encryption we don’t trust: The effect of end-to-end encryption to the masses on user perception. In 2019 IEEE European Symposium on Security and Privacy (EuroS&P) (pp. 401–415). https://doi.org/10.1109/EuroSP.2019.00037

Dodge, C. E., Fisk, N., Burruss, G. W., Moule, R. K., & Jaynes, C. M. (2023). What motivates users to adopt cybersecurity practices? A survey experiment assessing protection motivation theory. Criminology & Public Policy, 22(4), 849–868. https://doi.org/10.1111/1745-9133.12641

Eriksson, M. (2024). A multi-motive risk communication model for “making” crisis preparedness. In Risk and crisis communication in Europe: Towards integrating theory and practice in unstable and turbulent times (2024).

Florêncio, D., Herley, C., & Shostack, A. (2014). FUD: A plea for intolerance. Communications of the ACM, 57(6), 31–33. https://doi.org/10.1145/2602323

Fulton, K. R., Gelles, R., McKay, A., Abdi, Y., Roberts, R., & Mazurek, M. L. (2019). The effect of entertainment media on mental models of computer security. In Fifteenth Symposium on Usable Privacy and Security (SOUPS 2019) (pp. 79–95). USENIX Association. https://www.usenix.org/conference/soups2019/presentation/fulton

Menges, U., Hielscher, J., Kocksch, L., Kluge, A., & Sasse, M. A. (2023). Caring not scaring: An evaluation of a workshop to train apprentices as security champions. In Proceedings of the 2023 European Symposium on Usable Security (EuroUSEC ’23) (pp. 237–252). Association for Computing Machinery. https://doi.org/10.1145/3617072.3617099

Nurse, J. R. C., Creese, S., Goldsmith, M., & Lamberts, K. (2011). Trustworthy and effective communication of cybersecurity risks: A review. In 2011 1st Workshop on Socio-Technical Aspects in Security and Trust (STAST) (pp. 60–68). IEEE. doi.org/10.1109/STAST.2011.6059251

Reeder, R. W., Ion, I., & Consolvo, S. (2017). 152 simple steps to stay safe online: Security advice for non-tech-savvy users. IEEE Security & Privacy, 15(5), 55–64. https://doi.org/10.1109/MSP.2017.3481061

Sasse, M. A., Hielscher, J., Friedauer, J., & Buckmann, A. (2023). Rebooting IT security awareness: How organisations can encourage and sustain secure behaviours. In M. Meier & D. Reinhardt (Eds.), Mensch und Computer 2023 (pp. 265–284). Springer. doi.org/10.1007/978-3-031-25460-4_14