top of page
  • Spotify
  • LinkedIn
  • Instagram
Suche

Psychologische Sicherheit in der Security Awareness

  • Autorenbild: JW
    JW
  • vor 9 Stunden
  • 3 Min. Lesezeit

Eine effektive Massnahme, die kostenlos ist


Die Gruppe steht um einen Tisch herum. Alle schauen neugierig auf das Spielfeld. Es ist riesig und nimmt sogar zwei Tische ein. Darauf sind 64 Felder, mehrere Würfel und Spielfiguren zu sehen. Die Spielleiterin erklärt kurz das Prinzip, dann schnappt sich ein Spieler schon den ersten Würfel. Zwei andere tun es ihm gleich. Die Spielerin rechts von der Spielmasterin darf beginnen. Sie landet auf einem Aktionsfeld und muss eine Frage beantworten, die sie nicht weiss. Sie darf den „Publikumsjoker“ verwenden, und die Gruppe hilft ihr.


Hier entsteht psychologische Sicherheit. Innerhalb kurzer Zeit wächst die Gruppe zu einem Team zusammen. Natürlich wird jemand gewinnen. Aber irgendwie kommen alle gemeinsam ans Ziel und helfen sich gegenseitig, wenn eine Frage zu schwierig ist.


Was ist psychologische Sicherheit?

Der Begriff stammt aus der Organisationspsychologie. Geprägt hat ihn die Harvard-Professorin Amy Edmondson in den 1990er-Jahren. Sie beschreibt psychologische Sicherheit als die gemeinsame Überzeugung in einem Team, dass niemand blossgestellt, bestraft oder ausgelacht wird, wenn er eine Frage stellt, einen Fehler zugibt oder eine Sorge anspricht.


Das Konzept wurde spätestens 2015 bekannt, als Google in seiner internen Studie „Project Aristotle” herausfand, dass psychologische Sicherheit der wichtigste Faktor für leistungsstarke Teams ist. Er ist wichtiger als Talent, Erfahrung oder Ressourcen.

Übertragen auf die Informationssicherheit heisst das: In einem Umfeld mit hoher psychologischer Sicherheit melden Menschen verdächtige E-Mails, ungewöhnliche Vorfälle und eigene Fehler sofort statt sie aus Angst zu verschweigen.


Warum das für Awareness so entscheidend ist

Stellt euch zwei Szenarien vor. Im ersten klickt jemand auf einen Link in einer Phishing-Mail, merkt den Fehler und schweigt aus Angst vor Konsequenzen. Der Angreifer hat Stunden oder Tage Zeit, bevor irgendjemand reagiert. Im zweiten Szenario meldet dieselbe Person den Vorfall innerhalb von Minuten. Eure IT kann sofort handeln, Passwörter zurücksetzen, den Schaden begrenzen.


Der Unterschied zwischen beiden Szenarien ist nicht das technische Wissen. Es ist das Gefühl, melden zu dürfen, ohne dafür abgestraft zu werden.


Wie psychologische Sicherheit in der Awareness konkret aussieht

Psychologische Sicherheit entsteht durch euer tägliches Verhalten und ist kostenlos! Ein paar Beispiele:


Positives Feedback beim Melden. Wenn jemand eine verdächtige E-Mail meldet, bedankt euch, auch wenn sich die Mail als harmlos herausstellt. Ein «Danke, dass ihr aufmerksam wart» ist wertvoller als jedes Schulungsvideo. Wenn Personen sich blöd fühlen, wenn sie etwas melden, oder bei schlechten Meldungen abgestraft werden, hören sie schnell auf etwas der IT zu schicken.


Es gibt keinen Pranger für Fehler. Wer auf eine Phishing-Simulation hereinfällt, gehört nicht an den Pranger. Behandelt solche Momente als Lernchance.


Vorbild von oben. Wenn Führungskräfte offen zugeben, dass auch sie schon fast auf eine Falle hereingefallen wären, signalisiert das: Fehler sind menschlich und dürfen besprochen werden.


Schnelle, freundliche Reaktion. Wer meldet und tagelang keine Rückmeldung erhält, meldet beim nächsten Mal nicht mehr. Reagiert zeitnah und wertschätzend.


Spielerische Formate nutzen. In einem Awareness-Spiel sind Fehler folgenlos: Falsche Antworten werden mit einem Lachen quittiert und „Ich hätte den Link auch angeklickt” fällt viel leichter als im Ernstfall.


Fragen sind ausdrücklich erwünscht. „Was genau ist eine Zwei-Faktor-Authentisierung?” ist eine willkommene Frage und kein Anlass für ein Augenrollen.


Stellt euch die Frage: „Was lernen wir daraus?” statt: „Wer war schuld?” Besprecht Vorfälle gemeinsam nach, ohne Schuldige zu suchen. Wertet dabei auch Beinahe-Vorfälle („Fast hätte ich …”) als wertvolle Meldungen.


Lasst ehrliches Feedback zu Regeln zu. Wer offen sagt: „Diese Vorgabe halte ich nicht ein, weil sie mich blockiert”, hilft euch, denn nur so erfahrt ihr, wo eure Prozesse in der Praxis scheitern. Sucht nach besseren Lösungen, statt nur an die Regel zu erinnern.


Kollegiale Unterstützung fördern. Psychologische Sicherheit besteht auch zwischen den Mitarbeitenden, wenn beispielsweise jemand eine verdächtige E-Mail mit dem Kommentar „Schau mal, ist das echt?” weiterleitet, ohne Angst zu haben, als naiv zu gelten. Oder wenn ein neuer Mitarbeiter schon in der ersten Woche nachfragt, wie etwas sicher gemacht wird.


Awareness, die nichts kostet

Das Schöne an der psychologischen Sicherheit: Sie ist kostenlos! Ihr braucht dafür keine neue Software und keine teure Kampagne. Ihr braucht die Bereitschaft, anders auf Meldungen und Fehler zu reagieren mit Dank, mit Neugier statt Schuldzuweisung.


Damit ist sie eine der wirkungsvollsten und gleichzeitig günstigsten Massnahmen überhaupt. Eine Sicherheitskultur, in der Menschen gerne und früh melden, fängt mehr Vorfälle ab als jede einzelne technische Lösung.


Fazit

Menschen melden nur dort, wo sie sich sicher fühlen. Wenn ihr in eurer Organisation eine Sache priorisieren wollt, dann diese: Macht das Melden, Feedback und Fehler machen sicher. Verzichtet auf Schuldzuweisungen, oder polizistenartige Reaktionen. So entsteht eine Awareness, die nicht auf Angst, sondern auf Vertrauen baut.



P.s. Das eingangs erwähnte Spiel existiert wirklich, hier mehr dazu!



Quellen:


Leaders of teams, you need to know about “The Google Aristotle Project". The Google Aristotle Projects is a longitudinal study wherein Google analysed 180 teams. They discovered the 5 key elements… | Kylie Denton. (o. J.). LinkedIn. Abgerufen 29. Mai 2026, von https://www.linkedin.com/posts/kyliedenton5_leaders-of-teams-you-need-to-know-about-activity-7135530998905151488-pChv

 
 
 

Kommentare

bottom of page