Cybersecurity ist inzwischen so selbstverständlich geworden wie Kaffee in der Büroküche – und manchmal ähnlich wirkungslos. Was ursprünglich als Schutzschild gegen Phishing, Social Engineering und Datenlecks gedacht war, ist in vielen Unternehmen zu einer ermüdenden Endlosschleife verkommen: Online-Schulung, Multiple Choice-Test, Haken dran. Und nächste Woche das Gleiche noch einmal. Willkommen in der Ära der Cyberfatigue.
Der neue Unternehmensusus: Immer wieder das Gleiche
Wer in einem größeren Unternehmen arbeitet, kennt das Ritual. Im Posteingang blinkt regelmäßig die Einladung zu einer verpflichtenden Cybersecurity-Schulung. Themen wie Passwortsicherheit, E-Mail-Verschlüsselung oder „Wie erkenne ich Phishing?„ werden wieder und wieder durchgekaut. Der Mitarbeiter klickt sich stoisch durch. Ergebnis: bestanden – aber auch begriffen?
Viele Unternehmen verwechseln Wiederholung mit Wirksamkeit. Längst gilt: Was regelmäßig trainiert wird, bleibt im Gedächtnis. Doch das stimmt nur, solange das Gehirn nicht auf Durchzug schaltet. Psychologen sprechen hier von Lernüberdruss: Wenn dieselben Inhalte ohne Variation dargeboten werden, verlieren sie jegliche Relevanz für den Lernenden. Das Training wird zum Selbstzweck – und nicht mehr zum Mittel der Verbesserung.
Genau das passiert aktuell vielerorts im Rahmen von ISO-27001- und NIS2-Anforderungen. Unternehmen müssen Awareness-Trainings nachweisen, also werden sie gemacht – Stichwort „Compliance-Theater„. Die Intention ist richtig, die Umsetzung jedoch oft geisttötend.
Routine statt Risiko: Warum Cyberfatigue gefährlich ist
Cyberfatigue ist kein modisches Buzzword, sondern ein reales Sicherheitsproblem. Wer Sicherheitsmaßnahmen nur noch als monotonen Pflichtakt erlebt, wird unaufmerksam. E-Mails werden nicht mehr kritisch gelesen, Passwörter kaum kreativ gewählt, Sicherheitswarnungen ignoriert. Ausgerechnet die, die am häufigsten geschult werden, entwickeln eine Art immunisierende Gleichgültigkeit – nach dem Motto: „Ich weiß das alles schon.„
Damit öffnet sich eine gefährliche Lücke zwischen formaler Schulung und tatsächlichem Verhalten. Die Kurve der Aufmerksamkeit fällt rapide, sobald das Training zur Gewohnheit wird. Das ist paradox: Je mehr ein Unternehmen schult, desto müder werden die Mitarbeiter für das Thema, das sie eigentlich ernst nehmen sollen.
Hier beginnt die eigentliche Aufgabe von HR-Abteilungen und IT-Sicherheitsverantwortlichen: Wie kann man das Bewusstsein für Cyberrisiken frisch, relevant und emotional halten?
Vom Abarbeiten zum Erleben: Was wirklich hilft
Lernen ist kein linearer Prozess. Ein trockener E-Learning-Kurs mit PowerPoint-Folien erhöht höchstens die Klickstatistik, aber kaum das Verständnis. Nachhaltiges Lernen entsteht durch Erleben, durch Kontext, durch Bedeutung. Unternehmen müssen also vom stoischen Abarbeiten weg – hin zu Lernformen, die den Mitarbeitenden aktiv einbeziehen.
Drei Ansätze, die den Unterschied machen können:
- Microlearning: Kurze, thematisch fokussierte Lerneinheiten statt einstündiger Module. Ein Zwei-Minuten-Clip zu einem echten Phishing-Beispiel bleibt besser hängen als zehn Folien Allgemeinwissen. Zahlreiche Studien, etwa von Harvard Business Review, zeigen: Häufige kleine Impulse fördern nachhaltiges Lernen besser als seltene Mammuttrainings.
- Storytelling: Reale Geschichten wirken stärker als abstrakte Regeln. Eine Fallstudie aus dem eigenen Unternehmen („Wie eine Kollegin fast Opfer eines CEO-Frauds wurde„) schafft unmittelbare Relevanz. Das macht Risiken greifbar – und Menschen achtsam.
- Kontextualisierung: Sicherheit darf nicht isoliert gedacht werden. Wer weiß, dass ein Klick auf einen falschen Link potenziell Millionen kosten kann, verhält sich anders. Wenn Mitarbeitende die Konsequenz verstehen, nicht nur die Regel, entsteht intrinsische Awareness.
Gamification: Mehr als bunte Abzeichen
Ein Buzzword, das oft in diesem Kontext fällt, ist Gamification – also der Einsatz spielerischer Elemente im Lernprozess. Aber ist das nur Marketingkosmetik oder eine echte Methode gegen Cyberfatigue?
Richtig eingesetzt, kann Gamification viel bewirken. Kleine Wettbewerbe („Wer erkennt am meisten Phishing-Mails in einer Woche?„), Punktesysteme oder Sicherheits-Challenges sprechen unser Belohnungssystem an. Wir lernen lieber, wenn es Spaß macht – das gilt auch im beruflichen Umfeld. Plattformen wie Cybsafe oder KnowBe4 setzen bereits erfolgreich auf solche Konzepte.
Und ja – aus Sicht der Compliance ist das völlig legitim. ISO 27001 und NIS2 schreiben kein bestimmtes Lernformat vor, sondern nur die Wirksamkeit und Nachweisbarkeit der Maßnahmen. Wenn also ein Gamification-Ansatz nachweislich die Klickrate auf Phishing-Tests senkt, ist das sogar ein Pluspunkt bei der Auditierung. Entscheidend ist der Effekt, nicht die Form.
Subtile Awareness: Sicherheit, die beiläufig wirkt
Awareness muss nicht immer laut sein. Manchmal ist sie am wirksamsten, wenn sie unaufdringlich geschieht – Mitarbeitende also gar nicht merken, dass sie lernen. Beispiele:
- Alltagsintegration: Kleine Sicherheitshinweise im Intranet-Login oder auf dem Bildschirm beim Neustart („Schon mal ein ungewöhnliches Login bemerkt?„) wirken unterschwellig und kontinuierlich.
- Phishing-Simulationen: Nicht angekündigte, realistische Testmails fördern Aufmerksamkeit im echten Arbeitskontext. Wer in einem Moment der Routine stolpert, lernt nachhaltig daraus.
- Mentale Anker: Ein humorvoller Comic, ein prägnanter Slogan oder ein kurzer Wissens-Snack im Teamchat sorgen regelmäßig für Mikro-Impulse – ohne didaktische Schwere.
Wirklich erfolgreiche Awareness-Kampagnen kombinieren diese Elemente – sie leben von Vielfalt. Denn das Gehirn merkt sich vor allem das, was überrascht.
Zwischen Pflicht und Pragmatismus: Wie Organisationen umdenken müssen
Organisationen müssen verstehen, dass Sicherheit eine Kulturfrage ist, keine Prüfungsfrage. Ein Unternehmen, das Cybersecurity als Checkbox-Disziplin behandelt, trainiert Konformität, nicht Bewusstsein. Erst wenn Lernen als integraler Teil des Alltags verstanden wird, entstehen Strukturen, die wirklich tragen.
Das bedeutet auch: Führungskräfte müssen Vorbilder sein. Wenn der CEO auf die nächste Phishing-Test-Mail hereinfällt, ist das keine Peinlichkeit – sondern ein Lernmoment für alle. Transparenz schafft Vertrauen, Vertrauen schafft Wachsamkeit.
Fazit: Weniger Routine, mehr Relevanz
Cyberfatigue ist eine stille Gefahr – nicht wegen fehlender Schulungen, sondern wegen zu vieler wirkungsloser. Sicherheit wird zur Gewohnheit, bis niemand mehr wirklich hinsieht. Doch genau darin liegt die Schwachstelle. Unternehmen sollten ihre Schulungsstrategien aufrütteln, emotionalisieren und individualisieren. Denn nur wer sich geistig gefordert fühlt, bleibt wachsam.
Am Ende gilt: Awareness ist keine Disziplin, die man abhaken kann. Sie ist ein Zustand – einer, der gepflegt, aber nicht überstrapaziert werden darf.
Und vielleicht braucht es statt der nächsten Pflichtschulung einfach ein gutes Gespräch über den letzten Fast-Klick auf eine Phishing-Mail – bei einer guten Tasse Kaffee.
Guten Morgen, gut beschrieben – aber nicht nur DAS PROBLEM bei der cyber-securitie!
Gleiches gilt für Sicherheitshinweise für die Teilnahme am Strassenverkehr! Wieviele laufen und fahren auf dem Rad mit den Augen aufs Handy gerichtet?! oder beim Umgang mit Geld? Wieviele überschulden sich, weil sie der Werbung nicht widerstehen -und zugreifen… ähnlich wie anklicken…
Vielleicht sollten man mal wieder EDV aus den Netzwerken physisch trennen – keine Verbindung zum Internet – eine Papiergebundene und Menschliche, Handische Schnittstelle?
Es arbeiten zu viele am eigentlich „offenem Herzen“ wie ein Chirug. – ohne das nötige Verständnis.
Oder anders ausgedrückt: der Mensch wird immer mehr zum schwächsten Glied in der Kette!
Oder ganz drastsich: Der Mitarbeitende wird das Risiko schlechthin!
Und ganz perspektivisch betrachtet: Menschen werden die Nutztiere für irgendwelche Maschinen, die ganz wenige Menschen besitzen~~~
Liebe Grüße Wolfgang Hubrach
Stimmt, das Problem gibt es nicht nur bei der Cybersecurity. Der Hinweis mit Papier ist durchaus spannend. Die Handlungsanweisungen nach Cyberangriffen werden tatsächlich ausgedruckt, weil man davon ausgehen muss, dass das Computernetz entweder infiltriert oder komplett unbrauchbar gemacht wurde.