Richtlinien für alle – Richtlinien für keinen

🔍 Was beobachte ich?

Jährlich landen bei allen Beschäftigten dieselben Richtlinien im Posteingang. Die Entwicklerin liest die Sicherheitsrichtlinie für physische Aktenräume. Der Buchhalter liest die Patch-Management-Policy. Manche Systeme erzwingen Mindestlesezeiten, damit niemand überspringt. Das Ergebnis: ein grünes Häkchen, kein Wissenszuwachs.

🎯 Was soll eigentlich erreicht werden?

ISO 27001 Annex A.6.3 fordert Sicherheitsbewusstsein für Beschäftigte mit relevantem Informationszugang. Der Nachweis ist einfach: Bestätigungsquote 100 %, Auditor zufrieden.

⚠️ Warum funktioniert das nicht?

Bei Texten muss sich einer Mühe geben – der Autor oder die Lesenden. Wer keine Berührungspunkte mit dem Inhalt hat, klickt weg – unabhängig von erzwungenen Mindestlesezeiten. Die messen Anwesenheit, nicht Verstehen. Awareness-Forschung zeigt konsistent: Verhaltensänderung entsteht durch Relevanz und Kontext, nicht durch Vollständigkeit.

💡 Was funktioniert besser?

Rollenspezifische Zusammenfassungen mit dem, was für diese Rolle wirklich zählt. Im Zeitalter von KI ist das kein Hexenwerk: Ein Modell destilliert aus dreißig Seiten Policy drei handlungsrelevante Kernaussagen für eine konkrete Rolle. Wer sich als Autor Mühe gibt, erzeugt echte Awareness – statt Compliance-Theater.

📚🔍

• Bada, Sasse & Nurse: Cyber Security Awareness Campaigns – Why do they fail to change behaviour? https://arxiv.org/pdf/1901.02672
• Moving Beyond “Check-the-Box” Compliance (NIH/PMC) https://pmc.ncbi.nlm.nih.gov/articles/PMC8201414/
• NIST SP 800-50: Building an IT Security Awareness and Training Program https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-50.pdf
• Palo Alto Networks: Security Theater – Don’t Hang your Hat on Compliance https://www.paloaltonetworks.com/blog/cloud-security/compliance-security-theater/