Angebote ansehen

Von Regeln zu Reflexen: Cybersicherheit ist ein Veränderungsprozess

Von Regeln zu Reflexen: Cybersicherheit ist ein Veränderungsprozess. awareness4you.de

Veränderung ist nie einfach. Vor allem nicht, wenn es auch noch umständlich ist. Und Cybersicherheit ist meist umständlich, weil oft zusätzliche Schritte und Aufmerksamkeit nötig sind. Menschen neigen dazu, an dem festzuhalten, was sie kennen – selbst, wenn sie wissen, dass es unsicher ist.

Meine Erfahrung zeigt: Wer Verhaltensweisen nachhaltig verändern will, muss tiefer ansetzen als reine Informationsvermittlung.

Das trifft auf viele Aspekte im Berufsleben zu, sei es bei der Einführung neuer Software, neuer Arbeitsprozesse oder eben bei Cybersicherheitsmaßnahmen. Ich habe mich während meiner Berufstätigkeit intensiv mit Change Management beschäftigt und denke, dass viele der bewährten Prinzipien zur erfolgreichen Umsetzung von Veränderungen direkt auf die Sicherheitskultur in Unternehmen übertragbar sind.

 

 

Die entscheidende Frage ist:

Wie schaffen wir es, dass Mitarbeitende Cybersicherheit nicht als lästige Pflicht, sondern als selbstverständlichen Teil ihrer Arbeit betrachten?

Meine Antwort darauf lautet: Mit den Prinzipien des Change Managements. Denn wenn es darum geht, Menschen zu überzeugen, ihnen Ängste zu nehmen und sie für eine neue Denkweise zu begeistern, dann ist Change Management der Schlüssel.

 

 

Cybersicherheits-Awareness ist ein Veränderungsprozess – kein IT-Projekt

In der Praxis sehe ich oft, dass Unternehmen Cybersicherheit als technisches Problem behandeln. Es werden neue Passwortregeln eingeführt, ein Security-Training gemacht, vielleicht gibt es sogar eine Phishing-Simulation. Doch nach ein paar Wochen fällt alles wieder zurück in alte Muster.

 

Warum? Weil es keinen echten Wandel gibt.

Hier gibt es im Change Management einige sehr gute Werkzeuge, die anleiten, wie man Menschen in Veränderungsprozesse einbindet, Widerstände abbaut und langfristige Erfolge erzielt. Es reicht nicht, einmal im Jahr eine Sensibilisierungsschulung durchzuführen – genauso wenig, wie man eine neue Unternehmenskultur über Nacht einführen kann.

Ich bin überzeugt: Cybersicherheits-Awareness muss genauso gemanagt werden wie jeder andere Veränderungsprozess im Unternehmen. Denn nur wenn Cybersicherheit in der Einstellung der Mitarbeitenden verankert ist, entsteht eine nachhaltige Sicherheitskultur.

 

Genau darum verbinde ich Cybersicherheit mit Change Management. Und möchte eine kurze Blogserie beginnen, um Ihnen als Geschäftsführer:in zu zeigen, wie Sie nicht nur Regeln aufstellen, sondern Ihre Mitarbeitenden zu aktiven Mitgestaltern einer sicheren Unternehmensumgebung machen. Kurz, wie Sie Ihre Mitarbeitenden zur Fans der Cybersicherheit machen.

 

Change Management – Eine kurze Geschichte der Veränderung

Change Management ist ein Begriff, der aus der Unternehmensberatung stammt und sich mit der gezielten Planung und Steuerung von Veränderungsprozessen in Organisationen beschäftigt. Doch Veränderung war schon immer eine Herausforderung – nicht nur in Unternehmen. Wie gesagt, Menschen neigen dazu, an vertrauten Mustern festzuhalten, auch wenn sie ineffizient oder riskant sind.

Einer der ersten großen theoretischen Ansätze stammt aus den 1940er-Jahren von Kurt Lewin. Sein 3-Phasen-Modell (Auftauen – Verändern – Einfrieren) gilt als Grundpfeiler des modernen Change Managements. Lewin erkannte, dass Organisationen zunächst ihre bestehenden Strukturen und Überzeugungen „auftauen“ müssen, bevor eine nachhaltige Veränderung möglich ist.

In den folgenden Jahrzehnten entwickelten sich weitere Change-Modelle, darunter das ADKAR-Modell (Awareness, Desire, Knowledge, Ability, Reinforcement) von Prosci sowie das 8-Stufen-Modell von John Kotter, das sich heute als eines der bekanntesten und praxisnahesten Konzepte etabliert hat.

 

Ob bei der Einführung neuer IT-Systeme, dem Aufbau einer kundenorientierten Unternehmenskultur oder der Optimierung interner Prozesse – Change Management hat sich als essenzielles Werkzeug für den erfolgreichen Wandel bewiesen. Doch kann es auch für Cybersicherheits-Awareness genutzt werden?

 

 

Warum Cybersicherheit ein Kulturwandel ist

Wenn Geschäftsführende über Cybersicherheit nachdenken, denken sie oft zuerst an technische Maßnahmen und Werkzeuge. Doch laut Studien gehen über 80 % der Cyberangriffe auf menschliche Fehler zurück – sei es durch das Öffnen von Phishing-E-Mails, die Verwendung schwacher Passwörter oder das Ignorieren von Sicherheitsrichtlinien.

Hier zeigt sich eine entscheidende Parallele zum Change Management: Cybersicherheits-Awareness bedeutet nicht, dass Menschen wissen, was sicher ist – sondern dass sie es auch tun. Das reine Vermitteln von Wissen reicht nicht aus, um eine Sicherheitskultur im Unternehmen zu etablieren. Es braucht eine gezielte Strategie, die das Verhalten der Mitarbeitenden langfristig verändert.

 

Ein klassisches Beispiel:

Ein Unternehmen führt eine neue Richtlinie für die sichere Übermittlung sensibler Daten an externe Partner ein. Laut Vorgabe sollen Mitarbeitende vertrauliche Dokumente nur noch über eine verschlüsselte Plattform versenden, um Datenschutzrisiken zu minimieren.

Was passiert? Mitarbeitende empfinden die neue Plattform als umständlich und nutzen stattdessen gewohnte, aber unsichere Wege. Einige schicken sensible Informationen per normaler E-Mail ohne Verschlüsselung, andere nutzen private Cloud-Dienste oder Messaging-Apps, weil es schneller geht und sie weniger technische Hürden haben.

Das Regelwerk existiert – aber das Verhalten der Mitarbeitenden passt sich nicht entsprechend an. Warum? Weil die neue Maßnahme als zusätzlicher Aufwand wahrgenommen wird, anstatt als sinnvolle Sicherheitslösung.

Anmerkung: Nicht selten werden solche Prozesse und Werkzeuge nicht ausreichend oder verständlich kommuniziert. Das beste Werkzeug nützt natürlich nichts, wenn es nicht bekannt ist.

Parallelen zwischen Change Management und Cybersicherheits-Awareness

Warum also eignet sich Change Management als Methode für Cybersicherheits-Awareness? Einige entscheidende Prinzipien lassen sich direkt auf Sicherheitsmaßnahmen übertragen:

  1. Veränderung beginnt mit Bewusstsein und Dringlichkeit

Menschen ändern ihr Verhalten nur, wenn sie eine persönliche Relevanz sehen. In der Cybersicherheit bedeutet das: Mitarbeitende müssen verstehen, welche Risiken sie eingehen, wenn sie unsicher handeln – und welche Folgen das für das Unternehmen und ihre eigene Arbeit haben kann.

  1. Führungskräfte als Vorbilder und Multiplikatoren

In jedem Veränderungsprozess sind Vorbilder entscheidend. Wenn die Geschäftsführung Cybersicherheit nicht ernst nimmt, tun es die Mitarbeitenden auch nicht. Führungskräfte müssen sich selbst an Sicherheitsregeln halten und aktiv kommunizieren, warum Cybersicherheits-Awareness wichtig ist.

  1. Einfache, greifbare Maßnahmen statt abstrakter Regeln

Change Management zeigt, dass Menschen Veränderungen nur akzeptieren, wenn sie diese verstehen und praktisch umsetzen können. Statt allgemeiner Sicherheitsrichtlinien sind konkrete Handlungsanweisungen entscheidend: Wie erkenne ich eine Phishing-Mail? Was tue ich, wenn mein Computer plötzlich verdächtig langsam wird?

  1. Kommunikation ist der Schlüssel zur Veränderung

Regelmäßige, zielgerichtete Kommunikation hält Veränderungsprozesse lebendig. In der Cybersicherheit bedeutet das: Klare Botschaften, einfache Erklärungen und ein Mix aus Schulungen, spielerischen Elementen (z. B. Cybersicherheits-Bingo) und realen Beispielen aus dem Arbeitsalltag.

  1. Erfolge sichtbar machen und Belohnungen einführen

Change-Prozesse funktionieren besonders gut, wenn Menschen belohnt werden. Cybersicherheit kann spielerisch in den Alltag integriert werden – etwa durch Belohnungssysteme für sichere Verhaltensweisen oder kleine Wettbewerbe innerhalb des Unternehmens.


Kann Change Management eine Sicherheitskultur schaffen?

Die entscheidende Frage bleibt: Ist Change Management wirklich ein geeignetes Werkzeug für Cybersicherheits-Awareness?

Einiges spricht dafür:
✅ Bewährte Methoden für die Veränderung von Verhaltensweisen
✅ Langfristige Verankerung einer Sicherheitskultur statt kurzfristiger Schulungen
✅ Fokussiert auf Kommunikation und Einbindung der Mitarbeitenden
✅ Erfolge können messbar gemacht werden (z. B. durch Phishing-Tests und Awareness-Umfragen)

Andererseits…
❌ Change Management ist oft zeitaufwendig – Unternehmen suchen nach schnellen Lösungen
❌ Manche Sicherheitsmaßnahmen erfordern sofortiges Handeln, nicht langfristige Veränderungsprozesse
❌ Mangelnde Ressourcen und Prioritätensetzung im Unternehmen


Egal, ob Sie Verfechter:in von Change Management sind, viele Elemente aus dem Change Management lassen sich hervorragend für eine nachhaltige Cybersicherheits-Strategie nutzen. Unternehmen, die auf eine langfristige Sicherheitskultur setzen, profitieren nicht nur von weniger Cybervorfällen, sondern auch von motivierten und besser informierten Mitarbeitenden.


Warum Geschäftsführende Change Management für Cybersicherheit nutzen sollten

Die Einführung einer starken Cybersicherheits-Awareness ist kein einmaliges IT-Projekt, sondern eine kontinuierliche Veränderung – genau wie Veränderungsprozesse in anderen Bereichen eines Unternehmens. Geschäftsführende, die sich bewusst für einen strukturierten Ansatz entscheiden, schaffen eine Unternehmenskultur, in der Cybersicherheit nicht als Pflicht, sondern als selbstverständlich angesehen wird.

In unserem nächsten Artikel zeigen wir, wie das berühmte Pinguin-Prinzip von John Kotter spielerisch erklärt, warum Veränderung so schwierig ist – und wie es dennoch gelingen kann

Unsere Blogartikel:

Mit awareness4you machen Sie Ihre Mitarbeitenden zu echten Fans der Cybersicherheit.

Facebook Instagram Linkedin Tiktok

Kontakt

  • Voltastr. 71
  • 60486 Frankfurt am Main
info@awareness4you.de
+49 174 6670 817

Schnellstart

Newsletter

Melden Sie sich für unseren Newsletter an, um wichtige Tipps zum Thema Cybersicherheit und mehr zu erhalten!

© 2024 awareness4you | Erstellt von Lazylabor Webdesign

Anmeldung zum Newsletter:
"Fans der Cyber-Sicherheit"
Mit awareness4you machen Sie Ihre Mitarbeitenden zu echten Fans der Cybersicherheit. Erhalten Sie Tipps und Hinweise rund um das Thema Sensibilisierung für mehr Cybersicherheit.
Newsletter abonnieren