Schulungen, die keiner versteht

Ich habe in den letzten Jahren als CISO und Berater für Informationssicherheit diverse Awareness-Programme gesehen. PowerPoint-Trainings, E-Learning-Module, E-Mail-Kampagnen – professionell gemacht, gut gemeint und trotzdem wirkungslos.

Wenn ich dann mit Mitarbeitenden spreche, höre ich immer wieder denselben Satz:

„Ich weiss gar nicht, warum wir das machen müssen, dass ist doch Sache der IT.“

Genau hier liegt das Problem. Awareness-Schulungen sind oft zu technisch, zu abstrakt und zu weit weg vom Alltag. Sie vermitteln Wissen, aber kein Verständnis und sie schaffen erst recht keine Motivation.

Warum 80 % der Awareness-Programme scheitern

Es gibt drei wiederkehrende Gründe, warum Awareness-Massnahmen ihr Ziel verfehlen:

  1. Zu technisch, zu fremd, zu wenig Kontext
    Mitarbeitende sollen Passwörter ändern, Updates installieren oder Phishing-E-Mails erkennen – verstehen aber nicht, warum. Wer den Sinn nicht sieht, macht nur das Nötigste.
  2. Fehlender Bezug zum Alltag
    Viele Schulungen reden über ISO-Controls oder Angriffsarten, die im privaten Umfeld nie vorkommen. Dabei ist der stärkste Hebel immer der persönliche Bezug. Wenn jemand versteht, dass ein ungeschützter Business-Account dieselben Risiken birgt wie sein privates E-Banking ohne MFA, ändert sich das Verhalten nachhaltig.
  3. Monolog statt Dialog
    Klassische Awareness-Trainings sind Frontalunterricht. Doch Menschen lernen durch Austausch, nicht durch Folien. Wenn Diskussionen entstehen z. B. über reale Erfahrungen oder private Sicherheitsfragen, wird aus Schulung Bewusstsein.

Der Unterschied zwischen Wissen und Bewusstsein

Wissen kann man prüfen. Bewusstsein muss man leben. Viele Unternehmen verwechseln Awareness mit Wissensvermittlung:

  • „Hauptsache, jeder hat das E-Learning abgeschlossen.“
  • „Wir haben 95 % Teilnahmequote, also passt es.“

Aber das ist nur eine Kennzahl, kein Ergebnis. Ich frage in solchen Fällen gern:

„Wie oft sprechen Ihre Führungskräfte über Informationssicherheit im Alltag?“

Wenn die Antwort „nie“ lautet, ist das Programm gescheitert, egal wie viele Zertifikate ausgedruckt wurden.

Wie Awareness wirklich wirkt

Nach vielen Diskussionen mit Fachleuten aus dem Awareness-Bereich habe ich folgende Erfolgsprinzipien identifiziert:

  1. Von oben vorleben
    Awareness beginnt nicht im Intranet, sondern in der Geschäftsleitung. Wenn die Geschäftsleitung das Thema ernst nimmt, folgen die Mitarbeitenden. Ich habe Unternehmen gesehen, wo der CEO selbst an Phishing-Schulungen teilgenommen hat. Das verändert die Kultur.
  2. Vom Privaten ins Berufliche denken
    Menschen verstehen Sicherheit, wenn sie persönlich betroffen sind. Das Beispiel mit dem E-Banking ohne MFA wirkt Wunder: „Wenn Sie privat die 2-Faktor-Authentisierung nicht weglassen würden, warum im Unternehmen?“
  3. Interaktion statt Belehrung
    Workshops, Gruppenübungen, realistische Phishing-Simulationen. Awareness muss zum Gespräch werden. Wenn Teilnehmende diskutieren, wie sie privat mit Passwörtern, Backups oder Cloud-Diensten umgehen, entsteht Reflexion.
  4. Weniger Fachjargon, mehr Alltag
    Begriffe wie „Zero Trust“ oder „IDS“ schrecken ab. Stattdessen: konkrete Szenarien, verständliche Sprache, Beispiele aus dem Arbeitsalltag.
  5. Langfristige Begleitung statt Einmalevent
    Awareness ist kein Projekt, sondern eine Reise. Einmal jährlich ein Training reicht nicht. Erfolgreiche Unternehmen schaffen kleine, wiederkehrende Impulse: kurze Videos, monatliche Tipps, interaktive Challenges.

Awareness als Fundament der Sicherheitskultur

Eine Sicherheitskultur entsteht, wenn Menschen verstehen, dass Informationssicherheit kein Selbstzweck ist, sondern Teil ihrer Verantwortung, im Unternehmen und privat.

Wenn ich Awareness-Programme begleite, messe ich Erfolg nicht in abgeschlossenen Kursen, sondern in Gesprächen. Wenn Mitarbeitende plötzlich selbst Fragen stellen wie:

„Können wir MFA auch für dieses System aktivieren?“ dann weiss ich: Es funktioniert.

Awareness ist kein Training. Es ist eine Haltung. Sie beginnt beim Warum, nicht beim Wie. Sie lebt von Austausch, nicht von PowerPoint und sie funktioniert nur, wenn Führungskräfte das Thema als Teil ihrer eigenen Verantwortung verstehen.

Meine Botschaft an alle Entscheidungsträger: Schaffen Sie nicht noch ein Schulungsprogramm an, sondern schaffen Sie ein Bewusstsein.