Sensibilisierung für Cybersicherheit ist ein Veränderungsprozess. In den vorherigen Artikeln dieser Serie haben wir bereits beleuchtet, warum Veränderungsmanagement der Schlüssel zu einer starken Sicherheitskultur ist und welche Prinzipien das berühmte Pinguin-Prinzip von John Kotter für die Umsetzung bietet.
Doch Kotters Modell ist nicht das einzige Werkzeug, das Unternehmen helfen kann, das Bewusstsein für Cybersicherheit nachhaltig zu verankern. Es gibt verschiedene Change-Management-Ansätze, die je nach Unternehmensstruktur und Zielsetzung wertvolle Impulse liefern können. In diesem Artikel stellen wir einige der bekanntesten Modelle vor und zeigen, wie ihre Prinzipien auf die Förderung von Cybersicherheitsbewusstsein angewendet werden können.
Kotters 8-Stufen-Modell: Strukturierter Wandel für nachhaltige Sicherheit
John Kotter entwickelte sein 8-Stufen-Modell, um Organisationen dabei zu helfen, Veränderungen effektiv zu gestalten. Es geht davon aus, dass Veränderung kein einmaliges Ereignis, sondern ein langfristiger Prozess ist.
Wie Kotters Modell für Cybersicherheits-Awareness genutzt werden kann
Dringlichkeit erzeugen
Mitarbeitende müssen die Relevanz von Cybersicherheit erkennen. Dies gelingt durch reale Fallstudien, Cyberangriffs-Szenarien oder Phishing-Simulationen.
Führungskoalition aufbauen
Bewusstsein und das richtige Verhalten in Sachen Cybersicherheit kann nur erfolgreich sein, wenn Führungskräfte, IT-Abteilungen und Sicherheitsteams zusammenarbeiten.
Vision und Strategie entwickeln
Cybersicherheit sollte als zentraler Unternehmenswert definiert werden, nicht als IT-Nebenaufgabe.
Vision kommunizieren
Sicherheitsschulungen, interne Kampagnen und klare Botschaften helfen, die Bedeutung von Awareness verständlich zu vermitteln.
Hindernisse aus dem Weg räumen
Um sicherheitsbewusstes Verhalten zu erleichtern, sollten technische und organisatorische Hürden minimiert werden, z. B. durch benutzerfreundliche Authentifizierungsmethoden.
Kurzfristige Erfolge sichtbar machen
Mitarbeitende sind motivierter, aufmerksam zu sein und sich an Regeln und Sicherheitsmaßnahmen zu halten, wenn sie erkennen, dass ihre Verhalten einen Unterschied macht. Zum Beispiel die Verhinderung eines Cyberangriffes durch Erkennen und frühzeitige Meldung einer Phishingmail.
Veränderungen festigen
Kontinuierliche Information, Schulungen und Sicherheitsmaßnahmen stellen sicher, dass Awareness nicht nur eine kurzfristige Initiative bleibt.
Neue Kultur verankern
Cybersicherheit sollte zur Selbstverständlichkeit werden – das gelingt durch Vorbilder in der Führungsebene und die Verankerung von Sicherheitswerten im Unternehmensalltag.
Das Vorgehen ist besonders geeignet für Unternehmen, die eine langfristige Strategie zur Sicherheitskultur entwickeln und systematisch umsetzen möchten.
ADKAR-Modell: Individuelle Verhaltensänderungen gezielt fördern
Das ADKAR-Modell von Prosci konzentriert sich auf die individuellen Phasen, die Menschen durchlaufen, wenn sie ihr Verhalten ändern. Es eignet sich besonders für Unternehmen, die das Sicherheitsbewusstsein auf Mitarbeiterebene gezielt beeinflussen möchten.
Wie ADKAR für Cybersicherheits-Awareness genutzt werden kann:
Awareness (Bewusstsein schaffen)
Mitarbeitende müssen zunächst verstehen, dass Cybersicherheitsrisiken real sind. Kampagnen, Storytelling und reale Vorfälle helfen dabei.
Desire (Verlangen nach Veränderung wecken)
Sicherheit sollte als Vorteil für Mitarbeitende kommuniziert werden – beispielsweise als Schutz persönlicher Daten oder als Möglichkeit, sich gegen Cyberkriminalität zu wappnen.
Knowledge (Wissen bereitstellen)
Durch verständliche und praxisnahe Schulungen lernen Mitarbeitende, wie sie sich sicher verhalten können.
Ability (Fähigkeit zur Umsetzung entwickeln)
Durch Training und praktische Übungen (z. B. simulierte Phishing-Angriffe) können Mitarbeitende lernen, ihre Sicherheitskompetenz im Alltag anzuwenden.
Reinforcement (Verhalten festigen)
Wiederholung und Bestätigung sind entscheidend, damit sich neue Verhaltensweisen langfristig etablieren. Regelmäßige Erinnerungen und spielerische Lernformate (wie das Cybersicherheits-Bingo) können helfen, Awareness dauerhaft zu verankern.
Das Vorgehen ist besonders geeignet für Unternehmen, die das individuelle Verhalten ihrer Mitarbeitenden gezielt verändern möchten.
Lewins 3-Phasen-Modell: Veränderung durch Aufbrechen alter Muster
Das 3-Phasen-Modell von Kurt Lewin beschreibt Veränderung als einen Prozess in drei Schritten:
Auftauen (Unfreeze)
Bestehende Gewohnheiten und Denkmuster hinterfragen
Verändern (Change)
Neue Verhaltensweisen einführen
Einfrieren (Refreeze)
Die neue Sicherheitskultur nachhaltig verankern
(Das Grundlagenmodell von Lewin wurde nachfolgend von einigen Wissenschaftler:innen erweitert.)
Wie Lewins Modell für Cybersicherheits-Awareness genutzt werden kann:
Auftauen
Mitarbeitende müssen zunächst erkennen, dass alte Sicherheitsgewohnheiten (z. B. das Verwenden unsicherer Passwörter) problematisch sind. Dies kann durch Sicherheitskampagnen oder Beispiele realer Angriffe verdeutlicht werden.
Verändern
Mitarbeitende erhalten Schulungen und praktische Anleitungen, wie sie sicherer arbeiten können – etwa durch die Einführung sicherer Passwörter oder Multi-Faktor-Authentifizierung.
Einfrieren
Um das neue Verhalten dauerhaft zu verankern, sollten Unternehmen langfristige Maßnahmen einführen – wie regelmäßige Phishing-Simulationen oder Anreize für sicheres Verhalten.
Das Vorgehen ist besonders geeignet für Unternehmen, die Cybersicherheitsbewusstsein gezielt als drei-phasigen Prozess in ihre Unternehmenskultur integrieren möchten.
Das 70:20:10-Lernmodell: Lernen durch Erfahrung und Austausch
Das 70:20:10-Modell beschreibt, wie Menschen am besten lernen:
70 % durch praktische Erfahrung
20 % durch Austausch mit anderen
10 % durch formale Schulungen
Wie das 70:20:10-Modell für Cybersicherheits-Awareness genutzt werden kann:
70 % Praxis: Mitarbeitende sollten regelmäßig mit realistischen Szenarien konfrontiert werden – z. B. durch simulierte Angriffe oder interaktive Trainings.
20 % Austausch: Sicherheitsbotschafter oder Mentoren können als Ansprechpersonen im Unternehmen etabliert werden, um den internen Wissenstransfer zu fördern.
10 % Schulungen: Online-Kurse, Webinare oder Präsenzveranstaltungen können als Basis für formales Lernen dienen.
Das Vorgehen ist interessant für Unternehmen, die Cybersicherheits-Awareness stärker am Arbeitsalltag ausrichten möchten.
Veränderungsmanagement als Schlüssel für eine nachhaltige Sicherheitskultur
Jedes dieser Change-Management-Modelle bietet wertvolle Ansätze, um Cybersicherheits-Awareness im Unternehmen zu etablieren:
- Kotters Modell eignet sich besonders für strategische, langfristige Veränderungsprozesse.
- ADKAR ist ideal, um individuelle Verhaltensänderungen gezielt zu fördern.
- Lewins Modell hilft dabei, alte Gewohnheiten aufzubrechen und neue Routinen fest zu verankern.
- Das 70:20:10-Modell betont die Bedeutung von praxisnahen und interaktiven Lernmethoden.
Die Kombination dieser Ansätze kann Unternehmen dabei helfen, eine nachhaltige Sicherheitskultur zu entwickeln, in der Cybersicherheit nicht nur verstanden, sondern aktiv gelebt wird.
Die wichtigsten Erkenntnisse dieser Blogserie:
✅ Cybersicherheits-Awareness ist ein Veränderungsprozess, kein einmaliges Projekt
✅ Veränderung braucht Struktur. Change-Management-Modelle helfen dabei
✅ Nachhaltige Sicherheitskultur entsteht durch klare Strategien, praktische Anwendung und kontinuierliche Weiterentwicklung
Welche Ansätze nutzen Sie bereits in Ihrem Unternehmen?