{"id":5822,"date":"2025-11-17T04:00:00","date_gmt":"2025-11-17T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5822"},"modified":"2025-11-17T04:00:00","modified_gmt":"2025-11-17T04:00:00","slug":"empathie-trifft-it-sicherheit-der-weg-zu-gelebter-compliance","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5822","title":{"rendered":"Empathie trifft IT-Sicherheit: Der Weg zu gelebter Compliance"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
CISOs sollten Sicherheitsrichtlinien mit Blick auf die Belegschaft gestalten.\n

earthphotostock \u2013 shutterstock.com<\/p>\n<\/div>\n

In vielen Unternehmen sto\u00dfen IT-Sicherheitsrichtlinien auf Widerstand, da Mitarbeitende sie als hinderlich oder praxisfern empfinden. Dies erschwert die Umsetzung, untergr\u00e4bt die Wirksamkeit und belastet die Zusammenarbeit zwischen der Sicherheitsabteilung und den Fachbereichen. Statt als Partner wird Cybersecurity oft als Bremser wahrgenommen \u2013 ein fatales Sicherheitsrisiko. F\u00fcr CISOs (Chief Security Information Officer) bedeutet das, dass neben technisch korrekten Richtlinien vor allem die Akzeptanz im Alltag entscheidend ist. Ein neuer Ansatz mit empathischem Policy-Engineering und strategischer Sicherheitskommunikation f\u00f6rdert eine nachhaltige Sicherheitskultur.<\/p>\n

IT-Sicherheit: Arbeitsdruck und soziale Einflussfaktoren<\/strong><\/h2>\n

In vielen IT-Abteilungen herrscht die Ansicht, dass Anwender wenig motiviert sind, Sicherheitsvorgaben einzuhalten. Unternehmen setzen auf Sanktionen und Schulungen, um regelkonformes Verhalten zu erzwingen. Ein zwei-t\u00e4giges Experiment, das untersucht, wie sich Sicherheitsdesigns auf richtlinienkonformes Nutzerverhalten auswirken, zeigte jedoch: Hatten Teilnehmende anf\u00e4nglich noch eine positive Einstellung gegen\u00fcber Sicherheitsrichtlinien, wurden diese unter steigendem Arbeitsdruck zunehmend als hinderlich empfunden, was vermehrt zu Regelverst\u00f6\u00dfen f\u00fchrte. Stress und situative Faktoren hatten einen sp\u00fcrbaren Einfluss auf das sicherheitsrelevante Verhalten der Teilnehmenden.<\/p>\n

Sicheres Verhalten entsteht also nicht allein durch Wissensvermittlung, sondern h\u00e4ngt stark von der individuelle Risikoeinsch\u00e4tzung und den konkreten Alltagssituationen ab. Nutzer handeln nicht immer so, wie es die Richtlinien vorsehen. Oft nicht aus Unwillen, sondern weil andere Faktoren \u00fcberwiegen oder als wichtiger eingesch\u00e4tzt werden. Ambitionierte Ziele, Zeitdruck und das Bed\u00fcrfnis nach reibungsloser Zusammenarbeit stehen h\u00e4ufig im Widerspruch zu abstrakten Sicherheitsvorgaben<\/a>. Diese Interessenkonflikte f\u00fchren schnell zu Spannungen zwischen Security, IT und den anderen Fachbereichen. Das gef\u00e4hrdet letztlich die Sicherheitskultur.<\/p>\n

Sicherheitsverantwortliche k\u00f6nnen an drei Punkten ansetzen, um dem entgegenzuwirken.<\/p>\n

1. Die Anwender verstehen<\/strong><\/h2>\n

CISOs sollten sich zun\u00e4chst die Frage stellen, warum sich Nutzer nicht sicher verhalten. Eine Vielzahl von Faktoren spielen hier eine Rolle: Beispielsweise sind sich Anwender der Bedrohung nicht bewusst, sehen den Nutzen von sicherem Verhalten nicht oder empfinden Sicherheitsma\u00dfnahmen als hinderlich f\u00fcr ihre Arbeit. Eventuell besteht auch ein Interessenkonflikt mit den Zielen der Nutzer oder sie stehen unter Zeitdruck. Oft fehlen schlicht die Mittel \u2013 beispielsweise, wenn Vorschriften einen sicheren Datenaustausch mit Zulieferern und Kunden fordern, aber den Mitarbeitenden keine Plattform f\u00fcr einen solchen Datenaustausch zur Verf\u00fcgung gestellt wird \u2013 oder auch Vorbilder im Umfeld.<\/p>\n

Vor der Implementierung von Sicherheitsma\u00dfnahmen ist es wichtig, widerspr\u00fcchliche Ziele und Priorit\u00e4ten der verschiedenen Interessensgruppen (IT-Abteilung, technische Abteilungen, Management, Verwaltung, Mitarbeitende in der Produktion) zu identifizieren und auszugleichen. Dies ist beispielsweise im Rahmen einer Stakeholder-Analyse m\u00f6glich \u2013 einer Methode aus der Wirtschaftsinformatik, um die Pr\u00e4ferenzen aller beteiligten Stakeholder zu erheben. Je mehr Sicherheitsverantwortliche \u00fcber die Arbeitswirklichkeit und die Ziele der verschiedenen Bereiche wissen, desto besser gelingt es ihnen, Sicherheitsma\u00dfnahmen dazu passend zu gestalten \u2013 was zu mehr Akzeptanz und am Ende einer erfolgreichen Umsetzung f\u00fchrt.<\/p>\n

2. Sicherheitsrichtlinien mit Blick auf den Anwender gestalten<\/strong><\/h2>\n

Unsicheres Verhalten wird h\u00e4ufig den Nutzern angelastet, dabei liegt das Problem oft in der Ma\u00dfnahme selbst. In der IT-Sicherheitsforschung liegt der Fokus h\u00e4ufig auf dem individuellen Verhalten der Nutzer \u2013 beispielsweise auf der Frage, ob sicheres Verhalten von Pers\u00f6nlichkeitsmerkmalen abh\u00e4ngt. Vernachl\u00e4ssigt wird dabei die Frage, wie gut Sicherheitsma\u00dfnahmen \u00fcberhaupt zur Arbeitsrealit\u00e4t passen \u2013 sprich, wie wahrscheinlich es ist, dass sie im Alltag akzeptiert werden.<\/p>\n

F\u00fcr jede Bedrohung gibt es meist mehrere verf\u00fcgbare Sicherheitsma\u00dfnahmen. Doch Unterschiede in Aufwand, Akzeptanz, Kompatibilit\u00e4t oder Komplexit\u00e4t werden in der Praxis oft nicht ber\u00fccksichtigt. Stattdessen treffen Sicherheits- oder IT-Abteilungen Entscheidungen h\u00e4ufig ausschlie\u00dflich auf Grundlage technischer Aspekte.<\/p>\n

Um wirksame IT-Sicherheitsrichtlinien zu etablieren, m\u00fcssen diese nicht nur technisch korrekt sein \u2013 sie m\u00fcssen auch aus Mitarbeitersicht sinnvoll und praktikabel sein. Der Schl\u00fcssel dazu liegt im empathischen Policy Engineering<\/strong>: Sicherheitsvorgaben sollten so gestaltet sein, dass sie verst\u00e4ndlich sind, akzeptiert werden und mit den allt\u00e4glichen Arbeitszielen vereinbar sind. Das gelingt am besten, wenn Mitarbeitende fr\u00fchzeitig in die Entwicklung eingebunden werden \u2013 inklusive ihrer Zielkonflikte und praktischen Herausforderungen.<\/p>\n

Ein anschlie\u00dfender Pilotversuch hilft dabei, potenzielle Stolpersteine und Hindernisse fr\u00fchzeitig zu erkennen und die Ma\u00dfnahmen entsprechend nach zu justieren. Es hat sich bew\u00e4hrt, dabei mit den \u201cEarly Adopters\u201d zu starten \u2013 also der Gruppe an Anwendern, die Neuerungen gegen\u00fcber aufgeschlossen ist und im Anschluss konstruktives Feedback geben kann. Dieses sollte vor dem gro\u00dfen Roll-out ber\u00fccksichtig werden. So kann eine Sicherheitskultur entstehen, die wirkt \u2013 und im Alltag tats\u00e4chlich gelebt wird.<\/p>\n

3. Sinnvoll kommunizieren: Der RESPECT-Ansatz<\/strong><\/h2>\n

Aktuell werden Sicherheitsma\u00dfnahmen und -richtlinien h\u00e4ufig in einer Art und Weise kommuniziert, die Anwender nicht in ihrer Arbeitsrealit\u00e4t abholen, weil sie gar nicht darauf abzielen, dass Mitarbeitende sich damit besch\u00e4ftigen und motiviert werden: Etwa \u00fcber Anweisungen, Standard-Online-Trainings oder zu verspielte Formate wie Comics, die Mitarbeitende nicht ernst nehmen. Besser funktioniert das mit dem RESPECT-Ansatz: Er setzt auf Kommunikation auf Augenh\u00f6he, statt auf Verbote und Strafen.<\/p>\n

Der entscheidende Unterschied: Mitarbeitende werden als kompetente, verantwortungsvolle Erwachsene behandelt. Im Zentrum steht ein empathischer Blick auf ihre Bed\u00fcrfnisse und Arbeitsrealit\u00e4ten \u2013 ohne die Sicherheitsziele aus den Augen zu verlieren.<\/p>\n

Es gibt mehrere Techniken, um die Kommunikation von Sicherheitsrichtlinien erfolgreich zu gestalten und Konflikte zu vermeiden:<\/p>\n

Taktische Empathie<\/strong>: <\/em>Diese schafft Anerkennung, st\u00e4rkt Vertrauen und sorgt so daf\u00fcr, dass sich Mitarbeitende geh\u00f6rt f\u00fchlen und bereit sind, sicherheitsrelevante Informationen anzunehmen.<\/p>\n

\u201eHelp me to help you\u201c<\/strong> <\/em>anstelle von \u201eNein\u201c:<\/em> Statt Sicherheitsvorgeben durchzusetzen, k\u00f6nnen CISOs mit gezielten \u201eWie\u201c-Fragen Anwender dazu anregen, \u00fcber die vorgeschlagenen L\u00f6sungen nachzudenken. Wenn Anwender \u00c4nderungsw\u00fcnsche zu den Sicherheitsvorgaben haben, sollte die Security nicht einfach nur \u2018Nein\u2019 sagen. Eine R\u00fcckfrage dazu, was die Mitarbeitenden selbst vorschlagen, um sowohl die Sicherheitsvorgaben einzuhalten als auch effizientes Arbeiten zu erm\u00f6glichen, ist sinnvoll. So entsteht ein Dialog und es ist leichter, einen f\u00fcr alle Beteiligten tragbaren Kompromiss zu finden.<\/p>\n

Praxiserfahrung statt grauer Theorie:<\/strong> Ein Trainingskonzept, das auf direkte Erfahrung setzt, konfrontiert Teilnehmende mit realistischen Szenarien \u2013 etwa Cyberangriffe wie Phishing, Ransomware<\/a> oder USB-Angriffe. Sie erleben hautnah in einer realit\u00e4tsnahen Umgebung, die typische Arbeitspl\u00e4tze in kleinen und mittleren Unternehmen abbildet, wie Cyberangriffe ablaufen. So entsteht ein tiefes, nachhaltiges Verst\u00e4ndnis f\u00fcr IT-Sicherheit. Statt Belehrungen stehen der Mensch und das Erleben im Mittelpunkt.<\/p>\n

Fazit: CISOs als Gestalter wirksamer Sicherheitskultur<\/strong><\/h2>\n

Der geringe Erfolg vieler Sicherheitsma\u00dfnahmen liegt nicht allein an den Nutzenden \u2013 oft sind es unrealistische Vorgaben, fehlende Einbindung und unzureichende Kommunikation. F\u00fcr Sicherheitschefs bedeutet das: Statt auf Erziehung und Sanktionen zu setzen, braucht es einen strategischen Paradigmenwechsel. Sie sollten zu einer Art Emphatic Policy Architekt werden, dessen Sicherheitsstrategie nicht nur technisch funktioniert, sondern auch menschlich \u00fcberzeugt. Er gestaltet Rahmenbedingungen, in denen sich sichere Entscheidungen selbstverst\u00e4ndlich in den Arbeitsalltag einf\u00fcgen. Daf\u00fcr braucht es ein gutes Gesp\u00fcr f\u00fcr Zielkonflikte, Kommunikation auf Augenh\u00f6he \u2013 und die F\u00e4higkeit, Sicherheit als gemeinsamen Wert im Unternehmen zu verankern. (jm)<\/p>\n

Lesetipp: So erf\u00fcllen Sie Ihre Compliance-Anforderungen<\/a><\/p>\n

<\/a>\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

CISOs sollten Sicherheitsrichtlinien mit Blick auf die Belegschaft gestalten. earthphotostock \u2013 shutterstock.com In vielen Unternehmen sto\u00dfen IT-Sicherheitsrichtlinien auf Widerstand, da Mitarbeitende sie als hinderlich oder praxisfern empfinden. Dies erschwert die Umsetzung, untergr\u00e4bt die Wirksamkeit und belastet die Zusammenarbeit zwischen der Sicherheitsabteilung und den Fachbereichen. Statt als Partner wird Cybersecurity oft als Bremser wahrgenommen \u2013 ein […]<\/p>\n","protected":false},"author":0,"featured_media":4135,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5822","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5822"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5822"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5822\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4135"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5822"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5822"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5822"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}