{"id":6803,"date":"2026-02-02T14:49:14","date_gmt":"2026-02-02T14:49:14","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6803"},"modified":"2026-02-02T14:49:14","modified_gmt":"2026-02-02T14:49:14","slug":"human-risk-management-das-paradoxon-der-sicherheitsschulungen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6803","title":{"rendered":"Human Risk Management: Das Paradoxon der Sicherheitsschulungen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Security Awareness Trainings sollten auf dem Human-Risk-Management-Ansatz basieren. \n

FAMILY STOCK \u2013 shutterstock.com<\/p>\n<\/div>\n

Unternehmen investieren Millionen von Dollar in Firewalls, Endpunktsicherheit oder Verschl\u00fcsselung. Doch eine einzige Person kann eine Katastrophe ausl\u00f6sen. Es reicht, wenn sie eine infizierte Datei herunterl\u00e4dt oder auf einen betr\u00fcgerischen Link klickt.<\/p>\n

Analysen zeigen: Zwischen 70 und 90 Prozent aller Sicherheitsl\u00fccken entstehen, weil Menschen Fehler machen. Sie fallen auf Social Engineering <\/a>herein oder nutzen riskante Dienste ohne Erlaubnis der IT. Zudem versch\u00e4rft sich die Lage, da Angreifer zunehmend k\u00fcnstliche Intelligenz und Deepfakes<\/a> einsetzen.<\/p>\n

Das Problem ist bekannt. Deshalb gaben Organisationen im Jahr 2025 etwa sechs Milliarden Dollar f\u00fcr Security Awareness Trainings (SAT)<\/a> aus. Manche Firmen tun dies freiwillig. Die meisten beugen sich jedoch Vorschriften wie der Datenschutz-Grundverordnung oder dem Health Insurance Portability and Accountability Act. Letzterer verpflichtet etwa alle Besch\u00e4ftigten im Gesundheitswesen rechtlich zu solchen Programmen. Experten erwarten, dass die Ausgaben f\u00fcr diese Ma\u00dfnahmen j\u00e4hrlich um 15 Prozent steigen.<\/p>\n

Warum das klassische Training scheitert<\/h2>\n

Obwohl diese Schulungen zum Standard geh\u00f6ren, bleibt ihr Nutzen fragw\u00fcrdig. Viele Firmen haken das Thema nur ab, um Regeln einzuhalten. Den eigentlichen Mehrwert ignorieren sie dabei. Die Angestellten wiederum spielen das Spiel mit. Sie klicken sich so schnell wie m\u00f6glich durch die Tutorials, damit sie weiterarbeiten k\u00f6nnen. Selbst wer aufpasst, vergisst das Gelernte oft schnell wieder, wenn er es im Alltag nicht aktiv anwendet.<\/p>\n

Manchmal schaden die Kurse sogar. Studien belegen: Wer in den Tests besonders gut abschneidet, wird oft leichtsinnig. Diese Personen wiegen sich in falscher Sicherheit.<\/p>\n

Meiner Meinung nach stecken wir in einem Paradoxon. Trotz hoher Investitionen und strenger Regeln bleibt der Nutzen minimal. Das System ist defekt. Wir brauchen deshalb einen radikalen Kurswechsel: weg von sporadischen Kursen, hin zum Human Risk Management.<\/p>\n

Was bedeutet Human Risk Management?<\/h2>\n

Dieser Ansatz verfolgt eine klare Strategie: Er identifiziert menschliches Verhalten als Risiko und versucht, dieses gezielt zu senken. W\u00e4hrend herk\u00f6mmliche Schulungen nur theoretisches Wissen vermitteln, konzentriert sich das Human Risk Management darauf, wie Menschen tats\u00e4chlich handeln.<\/p>\n

Das System verbindet sich direkt mit E-Mail-Programmen oder Identit\u00e4ts-Management-Systemen. So erkennt es menschliche Schwachstellen sofort. Es nutzt Daten, um riskante Nutzer aufzusp\u00fcren. Danach greift es gezielt ein \u2013 etwa durch kurze Lerneinheiten oder automatisierte Kontrollen. Am Ende \u00fcberwacht das System, ob sich das Verhalten wirklich verbessert.<\/p>\n

Manche glauben, man m\u00fcsse f\u00fcr beides separat bezahlen. Das stimmt nicht. Tats\u00e4chlich sind f\u00fchrende HRM-L\u00f6sungen von Anbietern wie Fable Security, KnowBe4 und Mimecast vollgepackt mit Standard-SAT-Material. Sie bieten sogar spezifische Schulungsunterst\u00fctzung f\u00fcr regulatorische Compliance-Anforderungen.<\/p>\n

Lesetipp: Menschenzentrierte Cybersicherheit gewinnt an Bedeutung<\/a><\/p>\n

Demokratisierung durch k\u00fcnstliche Intelligenz<\/h2>\n

Klingt das nach neuem Marketing-Hype? Vielleicht. Aber diese Methode nutzt k\u00fcnstliche Intelligenz als Partner. Anders als bei vielen Trends sind sich Experten hier einig: KI wird die Bildung grundlegend ver\u00e4ndern.<\/p>\n

KI agiert wie ein pers\u00f6nlicher Tutor. Sie gibt kleine St\u00f6\u00dfe in die richtige Richtung. Klickt jemand auf einen gef\u00e4hrlichen Link, erh\u00e4lt er sofort eine passende Lerneinheit. So verfestigt sich das richtige Verhalten im Moment des Fehlers.<\/p>\n

Zudem lernt das System, wie einzelne Personen am besten begreifen. Die eine Person liest lieber Texte, die andere schaut lieber Videos. Die Werkzeuge k\u00f6nnen sogar Rollenspiele durchf\u00fchren und den Wettbewerb unter Kollegen anspornen. Das demokratisiert Expertenwissen auf eine v\u00f6llig neue Weise.<\/p>\n

F\u00fcr Unternehmen lohnt sich das finanziell. Verantwortliche berichten nicht mehr nur, wie viele Leute ein Video geschaut haben. Sie belegen stattdessen, wie sich die digitale Hygiene im Betrieb verbessert. Wer st\u00e4ndig Fehler macht, bekommt individuelle Hilfe. So l\u00e4sst sich direkt nachweisen, dass das Training die Zahl der echten Sicherheitsvorf\u00e4lle senkt.<\/p>\n

Aristoteles sagte einmal: \u201eWir sind das, was wir wiederholt tun. Vorz\u00fcglichkeit ist also keine Handlung, sondern eine Gewohnheit.\u201c Genau hier setzt das Human Risk Management an. Es ver\u00e4ndert Gewohnheiten. W\u00e4re Aristoteles heute Sicherheitschef, w\u00fcrde er diesen logischen Schritt sicher bef\u00fcrworten. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Security Awareness Trainings sollten auf dem Human-Risk-Management-Ansatz basieren. FAMILY STOCK \u2013 shutterstock.com Unternehmen investieren Millionen von Dollar in Firewalls, Endpunktsicherheit oder Verschl\u00fcsselung. Doch eine einzige Person kann eine Katastrophe ausl\u00f6sen. Es reicht, wenn sie eine infizierte Datei herunterl\u00e4dt oder auf einen betr\u00fcgerischen Link klickt. Analysen zeigen: Zwischen 70 und 90 Prozent aller Sicherheitsl\u00fccken entstehen, weil […]<\/p>\n","protected":false},"author":0,"featured_media":6804,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6803","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6803"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6803"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6803\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6804"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6803"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6803"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6803"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}