Security Awareness Trainings sollten auf dem Human-Risk-Management-Ansatz basieren. Unternehmen investieren Millionen von Dollar in Firewalls, Endpunktsicherheit oder Verschlüsselung. Doch eine einzige Person kann eine Katastrophe auslösen. Es reicht, wenn sie eine infizierte Datei herunterlädt oder auf einen betrügerischen Link klickt.Analysen zeigen: Zwischen 70 und 90 Prozent aller Sicherheitslücken entstehen, weil Menschen Fehler machen. Sie fallen auf Social Engineering herein oder nutzen riskante Dienste ohne Erlaubnis der IT. Zudem verschärft sich die Lage, da Angreifer zunehmend künstliche Intelligenz und Deepfakes einsetzen.Das Problem ist bekannt. Deshalb gaben Organisationen im Jahr 2025 etwa sechs Milliarden Dollar für Security Awareness Trainings (SAT) aus. Manche Firmen tun dies freiwillig. Die meisten beugen sich jedoch Vorschriften wie der Datenschutz-Grundverordnung oder dem Health Insurance Portability and Accountability Act. Letzterer verpflichtet etwa alle Beschäftigten im Gesundheitswesen rechtlich zu solchen Programmen. Experten erwarten, dass die Ausgaben für diese Maßnahmen jährlich um 15 Prozent steigen. Obwohl diese Schulungen zum Standard gehören, bleibt ihr Nutzen fragwürdig. Viele Firmen haken das Thema nur ab, um Regeln einzuhalten. Den eigentlichen Mehrwert ignorieren sie dabei. Die Angestellten wiederum spielen das Spiel mit. Sie klicken sich so schnell wie möglich durch die Tutorials, damit sie weiterarbeiten können. Selbst wer aufpasst, vergisst das Gelernte oft schnell wieder, wenn er es im Alltag nicht aktiv anwendet.Manchmal schaden die Kurse sogar. Studien belegen: Wer in den Tests besonders gut abschneidet, wird oft leichtsinnig. Diese Personen wiegen sich in falscher Sicherheit.Meiner Meinung nach stecken wir in einem Paradoxon. Trotz hoher Investitionen und strenger Regeln bleibt der Nutzen minimal. Das System ist defekt. Wir brauchen deshalb einen radikalen Kurswechsel: weg von sporadischen Kursen, hin zum Human Risk Management.
Was bedeutet Human Risk Management?: Dieser Ansatz verfolgt eine klare Strategie: Er identifiziert menschliches Verhalten als Risiko und versucht, dieses gezielt zu senken. Während herkömmliche Schulungen nur theoretisches Wissen vermitteln, konzentriert sich das Human Risk Management darauf, wie Menschen tatsächlich handeln.Das System verbindet sich direkt mit E-Mail-Programmen oder Identitäts-Management-Systemen. So erkennt es menschliche Schwachstellen sofort. Es nutzt Daten, um riskante Nutzer aufzuspüren. Danach greift es gezielt ein etwa durch kurze Lerneinheiten oder automatisierte Kontrollen. Am Ende überwacht das System, ob sich das Verhalten wirklich verbessert.Manche glauben, man müsse für beides separat bezahlen. Das stimmt nicht. Tatsächlich sind führende HRM-Lösungen von Anbietern wie Fable Security, KnowBe4 und Mimecast vollgepackt mit Standard-SAT-Material. Sie bieten sogar spezifische Schulungsunterstützung für regulatorische Compliance-Anforderungen.Lesetipp: Menschenzentrierte Cybersicherheit gewinnt an Bedeutung
Demokratisierung durch künstliche Intelligenz: Klingt das nach neuem Marketing-Hype? Vielleicht. Aber diese Methode nutzt künstliche Intelligenz als Partner. Anders als bei vielen Trends sind sich Experten hier einig: KI wird die Bildung grundlegend verändern.KI agiert wie ein persönlicher Tutor. Sie gibt kleine Stöße in die richtige Richtung. Klickt jemand auf einen gefährlichen Link, erhält er sofort eine passende Lerneinheit. So verfestigt sich das richtige Verhalten im Moment des Fehlers.Zudem lernt das System, wie einzelne Personen am besten begreifen. Die eine Person liest lieber Texte, die andere schaut lieber Videos. Die Werkzeuge können sogar Rollenspiele durchführen und den Wettbewerb unter Kollegen anspornen. Das demokratisiert Expertenwissen auf eine völlig neue Weise.Für Unternehmen lohnt sich das finanziell. Verantwortliche berichten nicht mehr nur, wie viele Leute ein Video geschaut haben. Sie belegen stattdessen, wie sich die digitale Hygiene im Betrieb verbessert. Wer ständig Fehler macht, bekommt individuelle Hilfe. So lässt sich direkt nachweisen, dass das Training die Zahl der echten Sicherheitsvorfälle senkt.Aristoteles sagte einmal: ‘Wir sind das, was wir wiederholt tun. Vorzüglichkeit ist also keine Handlung, sondern eine Gewohnheit.” Genau hier setzt das Human Risk Management an. Es verändert Gewohnheiten. Wäre Aristoteles heute Sicherheitschef, würde er diesen logischen Schritt sicher befürworten.
First seen on csoonline.com
Jump to article: www.csoonline.com/article/4125591/human-risk-management-das-paradoxon-der-sicherheitsschulungen.html
