🔍 Was beobachte ich?

Beschäftigte arbeiten sich durch eingekaufte Module. Begriffe heißen anders als bei uns: „Information Owner" statt „Datenverantwortliche". Meldewege gibt es nicht: „Vorfall an die Hotline". Empfehlungen widersprechen den eigenen Vorgaben: zwölf Zeichen, wo intern vierzehn gefordert sind oder Nutzung eines Buttons zur Meldung von Phishing wo keiner ausgerollt ist. Am Ende ein Bestätigungsklick.

🎯 Was soll eigentlich erreicht werden?

ISO 27001 Annex A.6.3 verlangt Sicherheitsbewusstsein passend zur Funktion. Eingekaufte Standardinhalte sparen Produktionsaufwand und decken den Pflichtkatalog ab.

⚠️ Warum funktioniert das nicht?

Lernende eignen sich Begriffe und Abläufe an, die im Ernstfall nicht greifen. Wo das eLearning der eigenen Policy widerspricht, raten sie, welche der vermeintlichen Wahrheiten gilt. Wer den Bruch erkennt, lernt: Sicherheitskommunikation ist Theater. So wächst Wissen durch solche Schulungen selten — die Haltung zur Sicherheit kippt fast immer.

💡 Was funktioniert besser?

Gekaufte Inhalte sind Rohmaterial, nicht Endprodukt. Vor dem Rollout: Terminologie und Meldewege anpassen, Konflikte mit eigenen Policies prüfen — ein Sprachmodell kann dabei helfen. Wer das überspringt, kauft Compliance-Abdeckung, keine Awareness.

📚🔍