---
title: "Richtlinien für alle – Richtlinien für keinen"
date: 2026-05-06T07:35:00+02:00
draft: false
image: "2026-05-06_Richtlinien-fuer-alle.jpg"
tags: ["Anti-Pattern", "ISMS", "Security Awareness", "Compliance"]
keywords: ["ISO 27001 Annex A.6.3", "rollenspezifische Awareness", "Compliance-Theater", "Check-the-Box-Compliance", "Verhaltensänderung", "NIST SP 800-50"]
description: "Wer alle Richtlinien für alle zur Pflichtlektüre macht, erzeugt Compliance-Nachweise – aber keine Awareness."
---

## 🔍 Was beobachte ich?

Jährlich landen bei allen Beschäftigten dieselben Richtlinien im Posteingang. Die Entwicklerin liest die Sicherheitsrichtlinie für physische Aktenräume. Der Buchhalter liest die Patch-Management-Policy. Manche Systeme erzwingen Mindestlesezeiten, damit niemand überspringt. Das Ergebnis: ein grünes Häkchen, kein Wissenszuwachs.

## 🎯 Was soll eigentlich erreicht werden?

ISO 27001 Annex A.6.3 fordert Sicherheitsbewusstsein für Beschäftigte mit relevantem Informationszugang. Der Nachweis ist einfach: Bestätigungsquote 100 %, Auditor zufrieden.

## ⚠️ Warum funktioniert das nicht?

Bei Texten muss sich einer Mühe geben – der Autor oder die Lesenden. Wer keine Berührungspunkte mit dem Inhalt hat, klickt weg – unabhängig von erzwungenen Mindestlesezeiten. Die messen Anwesenheit, nicht Verstehen. Awareness-Forschung zeigt konsistent: Verhaltensänderung entsteht durch Relevanz und Kontext, nicht durch Vollständigkeit.

## 💡 Was funktioniert besser?

Rollenspezifische Zusammenfassungen mit dem, was für diese Rolle wirklich zählt. Im Zeitalter von KI ist das kein Hexenwerk: Ein Modell destilliert aus dreißig Seiten Policy drei handlungsrelevante Kernaussagen für eine konkrete Rolle. Wer sich als Autor Mühe gibt, erzeugt echte Awareness – statt Compliance-Theater.

## 📚🔍

- Bada, Sasse & Nurse: Cyber Security Awareness Campaigns – Why do they fail to change behaviour? [https://arxiv.org/pdf/1901.02672](https://arxiv.org/pdf/1901.02672)
- Moving Beyond "Check-the-Box" Compliance (NIH/PMC) [https://pmc.ncbi.nlm.nih.gov/articles/PMC8201414/](https://pmc.ncbi.nlm.nih.gov/articles/PMC8201414/)
- NIST SP 800-50: Building an IT Security Awareness and Training Program [https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-50.pdf](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-50.pdf)
- Palo Alto Networks: Security Theater – Don't Hang your Hat on Compliance [https://www.paloaltonetworks.com/blog/cloud-security/compliance-security-theater/](https://www.paloaltonetworks.com/blog/cloud-security/compliance-security-theater/)