Richtlinien fĂźr alle â Richtlinien fĂźr keinen
đ Was beobachte ich?
Jährlich landen bei allen Beschäftigten dieselben Richtlinien im Posteingang. Die Entwicklerin liest die Sicherheitsrichtlinie fßr physische Aktenräume. Der Buchhalter liest die Patch-Management-Policy. Manche Systeme erzwingen Mindestlesezeiten, damit niemand ßberspringt. Das Ergebnis: ein grßnes Häkchen, kein Wissenszuwachs.
đŻ Was soll eigentlich erreicht werden?
ISO 27001 Annex A.6.3 fordert Sicherheitsbewusstsein fßr Beschäftigte mit relevantem Informationszugang. Der Nachweis ist einfach: Bestätigungsquote 100 %, Auditor zufrieden.
â ď¸ Warum funktioniert das nicht?
Bei Texten muss sich einer MĂźhe geben â der Autor oder die Lesenden. Wer keine BerĂźhrungspunkte mit dem Inhalt hat, klickt weg â unabhängig von erzwungenen Mindestlesezeiten. Die messen Anwesenheit, nicht Verstehen. Awareness-Forschung zeigt konsistent: Verhaltensänderung entsteht durch Relevanz und Kontext, nicht durch Vollständigkeit.
đĄ Was funktioniert besser?
Rollenspezifische Zusammenfassungen mit dem, was fĂźr diese Rolle wirklich zählt. Im Zeitalter von KI ist das kein Hexenwerk: Ein Modell destilliert aus dreiĂig Seiten Policy drei handlungsrelevante Kernaussagen fĂźr eine konkrete Rolle. Wer sich als Autor MĂźhe gibt, erzeugt echte Awareness â statt Compliance-Theater.
đđ
- Bada, Sasse & Nurse: Cyber Security Awareness Campaigns â Why do they fail to change behaviour? https://arxiv.org/pdf/1901.02672
- Moving Beyond “Check-the-Box” Compliance (NIH/PMC) https://pmc.ncbi.nlm.nih.gov/articles/PMC8201414/
- NIST SP 800-50: Building an IT Security Awareness and Training Program https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-50.pdf
- Palo Alto Networks: Security Theater â Don’t Hang your Hat on Compliance https://www.paloaltonetworks.com/blog/cloud-security/compliance-security-theater/