Wir sprechen beim Thema IT-Sicherheit oft über Technik. Über Firewalls, Verschlüsselung, Netzwerksicherheit. Und das ist wichtig. Ohne eine solide technische Basis geht es nicht.
Aber wenn man ehrlich ist, wissen alle Beteiligten: Der entscheidende Moment passiert selten in der IT. Er passiert am Büro-Arbeitsplatz. Im Posteingang. Zwischen zwei Meetings. Wenn eine E-Mail plausibel klingt, dringend wirkt und jemand klickt.
In der IT-Sicherheit gibt es dafür einen etablierten Begriff: die Human Firewall. Gemeint ist damit nichts anderes als der Mensch als Schutzfaktor. Nicht als Risiko, sondern als Teil der Verteidigung.
Aufmerksamkeit ist Teil der To-Do-Liste
Viele Unternehmen setzen bei Security Awareness noch auf klassische Schulungen. Ein Termin im Kalender, ein paar Folien, ein kurzer Test und danach gilt das Thema als erledigt.
Nur: Verhalten ändert sich so selten nachhaltig. Aufmerksamkeit entsteht nicht durch einmalige Informationen, sondern durch Wiederholung im richtigen Moment.
Deshalb halten wir es für sinnvoll, Lernen näher an an den Arbeitsalltag zu bringen. Wenn Mitarbeitende erleben, wie eine Phishing-Mail tatsächlich aussehen kann, wenn sie selbst entscheiden müssen, ob sie klicken oder melden, dann entsteht ein ganz anderes Bewusstsein. Genau dort setzen Simulationen wie PEARL an. Nicht mit erhobenem Zeigefinger, sondern als geschützter Trainingsraum.
Nicht raten, sondern verstehen
Eine weitere Frage, die uns häufig begegnet: „Wo stehen wir eigentlich bei Thema Awareness und IT-Sicherheit?“
Viele Organisationen investieren Zeit und Budget in Schulungen, aber wissen am Ende nicht genau, ob das Sicherheitsbewusstsein tatsächlich gestiegen ist. Man verlässt sich auf das Gefühl, dass „schon alles passen wird“.
Aus unserer Sicht ist das zu wenig. Mit strukturierten Befragungen und Analysen – etwa über ECHO – lässt sich sichtbar machen, wo Unsicherheiten bestehen, wo Prozesse unklar sind oder wo Teams bereits sehr gut aufgestellt sind. Das Ziel ist nicht Kontrolle, sondern Orientierung. Wer weiß, wo er steht, kann gezielt handeln.
Sicherheit ist Kultur, nicht Kampagne
Eine funktionierende Human Firewall entsteht nicht über Nacht. Sie wächst, wenn Menschen verstehen, warum ihr Verhalten relevant ist. Wenn sie wissen, wie sie im Zweifel reagieren sollen. Und wenn sie die Sicherheit haben, Fehler melden zu dürfen, ohne Konsequenzen fürchten zu müssen.
Technik bleibt unverzichtbar. Aber sie ist nur eine Seite der Medaille. Die andere Seite sind Menschen, die aufmerksam handeln. Nicht aus Angst, sondern aus Verständnis.
Am Ende ist IT-Sicherheit kein reines IT-Thema! Es ist ein Organisationsthema. Und manchmal beginnt es ganz unspektakulär: mit einem bewussten Blick in den Posteingang. Vielleicht nach dem ersten Kaffee am Morgen.