Person arbeitet mit Laptop in einer modernen, technologie­getriebenen Büroumgebung.

Sicherheitsfaktor Mensch: Wie ein ganzheitliches Awarenessprogramm die Sicherheitskultur stärkt

Autoren

  • Marc Ragg

    Director Cybersecurity, EY Consulting GmbH | Deutschland

  • Tim Schiffler

    Senior Manager Consulting, EY Consulting | Deutschland

5 Minuten Lesezeit 21 Apr. 2026

Nachhaltige Sicherheitskultur entsteht dort, wo Awarenessmaßnahmen, Trainings und klare Governance ineinandergreifen.

Überblick:

  • Menschliches Verhalten ist ein zentraler Faktor moderner Cybersicherheit.
  • Sicherheitskultur entsteht durch Awareness und praxisnahe Trainings.
  • EY verbindet ISMS, BCM und den Faktor Mensch in einem ganzheitlichen Ansatz.

Cybersicherheit und KI-Sicherheit sind heute keine rein technischen Herausforderungen mehr. Sie sind auch eine Frage von Verhalten, Haltung und täglicher Aufmerksamkeit. Gerade in einer Bedrohungslage, die durch KI-gestützte Angriffe, Social Engineering und digitale Täuschungen geprägt ist, rückt ein Faktor stärker denn je in den Mittelpunkt: der Mensch. Wer ein angemessenes Informations- und Cybersicherheitsniveau nachhaltig etablieren will, muss deshalb Sicherheitskompetenz systematisch aufbauen – durch die Verbindung von Awarenessmaßnahmen und praxisnahen Trainings über die Standardanforderungen hinaus.

Der Mensch als zentrale Verteidigungslinie in einer neuen Bedrohungslage

Angriffe sind heute täuschend authentisch, hoch automatisiert und KI‑gestützt personalisiert. Deepfake‑Stimmen imitieren Führungskräfte, Phishing-E-Mails sehen tatsächlichen Filesharing-Plattformen täuschend ähnlich, Chatbots schreiben fehlerfreie, vertrauenswürdige Mails und Social‑Engineering‑Angriffe werden täglich skalierbarer.

Gerade deshalb ist der Mensch die kritischste und zugleich stärkste Verteidigungslinie.
Mit der richtigen didaktischen Unterstützung können Mitarbeitende

  • Risiken der Informations- und Cybersicherheit intuitiv erkennen,
  • Misstrauen im richtigen Moment entwickeln und
  • sicherheitsbewusste Entscheidungen treffen.

Moderne Awarenessprogramme für Informations- und Cybersicherheit ermöglichen diesen Kompetenzaufbau: verständlich, wiederholbar und alltagsnah.

Ein starkes Fundament: ISMS‑Beratung als Basis – Sicherheitsfaktor Mensch als entscheidende Wirkungsebene

EY unterstützt Organisationen beim Aufbau, der Weiterentwicklung und dem Betrieb ihres Informationssicherheitsmanagementsystems (ISMS) und damit der Etablierung eines angemessenen Informations- und Cybersicherheitsniveaus. Ein ISMS schafft die organisatorische Grundlage – Rollen, Zuständigkeiten, Prozesse und Erwartungen – und stellt dabei die Handlungs- und Entscheidungsfähigkeit im Umgang mit Informations- und Cyberrisiken sicher.

Darauf aufbauend beraten wir gezielt zum Sicherheitsfaktor Mensch:

  • Aufbau einer wirksamen Awarenessstrategie
  • Entwicklung zielgruppenspezifischer Trainings
  • Gestaltung erlebbarer Sicherheitskultur im Alltag

Awarenessmaßnahmen und Training wirken dabei untrennbar zusammen:

  • Awarenessmaßnahmen schaffen Sichtbarkeit, Interesse und Aufmerksamkeit.
  • Trainingsmaßnahmen schaffen Wissen, Verständnis und praktische Handlungssicherheit.

Das Zusammenspiel beider Komponenten erzeugt eine nachhaltige Sensibilisierung – und damit wirkliche Sicherheitskultur.

Ausgezeichnete Praxis: das Sensibilisierungsprogramm der GIZ

Gemeinsam mit der Deutschen Gesellschaft für Internationale Zusammenarbeit (GIZ) entwickelte EY ein globales Programm, das die menschliche Dimension der Informations- und Cybersicherheit konsequent stärkt. Für seinen innovativen, wirkungsorientierten Aufbau wurde es mit dem eLearning Award 2026 in der Kategorie „Learning Journey – Sicherheitskultur“ ausgezeichnet.

Die wichtigsten Erfolgsfaktoren

  • klar strukturierte Learning Journeys für verschiedene Zielgruppen
  • Kombination aus Web-Based Trainings (WBTs), Workshops, Social Learning, Storytelling und Gamification
  • humorvolle Awarenessimpulse (zum Beispiel Murphy’s‑Law‑Videos)
  • mehrsprachige und globale Skalierbarkeit
  • authentische Testimonials aus der Organisation
  • starke Kommunikationskampagnen zur Begleitung
  • jährliche Evaluation und iterative Optimierung

Messbare Resultate

  • über 70 Prozent Teilnahme an Pflichttrainings
  • 93 Prozent Weiterempfehlung
  • 97 Prozent sicherheitsbewusstes Verhalten

Das Projekt zeigt: Sensibilisierung und eine Sicherheitskultur entstehen, wenn Awarenessmaßnahmen und Trainingsinhalte konsequent ineinandergreifen.

Wie Sensibilisierung entsteht: Zusammenspiel von Awarenessmaßnahmen und Training

Awarenessmaßnahmen: Sichtbarkeit, Relevanz und kontinuierliche Impulse

Awarenessmaßnahmen sorgen dafür, dass Informations- und Cybersicherheit im Alltag präsent bleibt – sichtbar, zugänglich und verständlich –, und tragen dazu bei, ein nachhaltiges Informations- und Cybersicherheitsniveau sicherzustellen. Dazu gehören:

  • kurze, visuelle Impulse (Poster, Banner, Motion Graphics)
  • Teams‑Posts, Newsletter, Kampagnenseiten
  • kurze Videostorys und humorvolle Elemente
  • Nudge‑basierte Kommunikation
  • wiederkehrende Kampagnen über das Jahr hinweg

Awareness schafft die emotionale und kognitive Basis, um sich mit Sicherheit auseinanderzusetzen.

Training: Kompetenzaufbau, Anwendung und Verhaltenssicherheit

Trainings gehen einen Schritt weiter: Sie vermitteln Wissen und übersetzen es in konkrete Handlungen.

  • zielgruppenspezifische Inhalte
  • interaktive Module mit Übungen und Reflexionsmomenten
  • realitätsnahe Beispiele aus dem Arbeitsalltag
  • klare, anwendbare Handlungsempfehlungen
  • Möglichkeiten zur Selbstüberprüfung und Vertiefung

So entsteht Kompetenz, um Bedrohungen zu erkennen und souverän zu reagieren.

Die Kombination aus Awarenessmaßnahmen und Training schafft eine nachhaltige Sensibilisierung – und damit Sicherheitskultur.

 

Learning Journey: Information Security Officers (ISOs)

Grafische Übersicht der EY Informationssicherheits‑Lernreise mit neun Modulen.

So unterstützen wir Sie

  • Cybersecurity

    Cybersecurity ist ein immer komplexer werdendes Feld. Unternehmen müssen sich gut vorbereiten. Lesen Sie hier, wie EY Sie dabei unterstützt.

    Mehr erfahren

  • Menschen und Mitarbeiter

    Unternehmen brauchen flexible und kreative Mitarbeiter. Lesen sie hier, wie es Ihnen gelingt, das passende Personal zu finden, zu motivieren und zu halten.

    Mehr erfahren

Learning Journeys strukturieren den Lernweg klar und nachvollziehbar:

  • eindeutige Abfolge von Lernformaten
  • Orientierung darüber, was wann gelernt werden sollte
  • Verbindung von Awareness und Training in einem durchgängigen Lernfluss
  • Einbindung von Social Learning, Videos, Quizformaten und Workshops
  • globale Skalierbarkeit und Mehrsprachigkeit
  • einfache Zugänglichkeit über zentrale Plattformen

Damit werden Informations- und Cybersicherheit nicht als Pflicht, sondern als moderne, aktivierende Lernreise erlebt.
 

Neue Angriffsmuster erfordern moderne Awareness – besonders im Kontext von KI

Mit dem Einsatz von KI verändern sich Informationssicherheits- und Cyberbedrohungen:

  • Deepfakes wirken menschlicher.
  • KI‑Phishing ist personalisiert und stilistisch perfekt.
  • Betrugsversuche lassen sich massenhaft automatisieren.

Moderne Awarenessprogramme müssen daher

  • kritisches Denken fördern,
  • die Medienkompetenz erweitern,
  • KI‑Risiken verständlich integrieren und
  • Inhalte dynamisch aktualisieren.

Nur so können Mitarbeitende in einer KI‑geprägten Umgebung sicher agieren.
 

Mehrwert für Organisationen: Sicherheitskompetenz und Kulturwandel

Effektive Awareness- und Trainingsprogramme

  • erhöhen die Cyberresilienz,
  • reduzieren sicherheitskritische Vorfälle,
  • unterstützen Compliance (zum Beispiel ISO 27001, NIS2, BSI-IT-Grundschutz),
  • stärken die digitale Selbstwirksamkeit und
  • fördern sicherheitsbewusstes Verhalten – auch im privaten Umfeld.

Auch Business-Continuity-Management (BCM) spielt ergänzend eine entscheidende Rolle: Gute Krisenvorbereitung und klare Abläufe erhöhen die Handlungs- und Entscheidungssicherheit und wirken vertrauensbildend – intern wie extern.

Fazit: Sicherheit wächst durch Bewusstsein, Kompetenz und Kultur

Sicherheitskultur entsteht nicht durch technische Maßnahmen allein. Sie entsteht durch Bewusstsein. Durch Kompetenz. Durch Haltung. Durch das Zusammenspiel aus der technischen Grundlage und Awarenessmaßnahmen und Training. Organisationen, die diesen Weg konsequent gehen, stärken ihre Resilienz – und machen den Sicherheitsfaktor Mensch zu einem echten Wettbewerbsvorteil.

Mehr zum Thema

Auswirkungen des AI Act auf generative und agentische KI: Regulatorische Einordnung von KI-Systemen und Geltungsbereich für Unternehmen

Der erste Teil der Whitepaper-Serie erläutert, wie generative und agentische KI nach dem AI Act eingeordnet werden, welche Pflichten für Unternehmen bestehen und wie eine sichere, transparente und rechtskonforme Integration dieser Technologien gelingt.

Auswirkungen des AI Act auf generative und agentische KI: Cybersicherheit als Kernanforderung

Der zweite Teil der Whitepaper-Serie zeigt, wie Unternehmen generative und agentische KI gegen moderne Angriffsformen absichern können. Er erklärt Bedrohungsszenarien, Cybersicherheitsanforderungen des AI Act und konkrete technische wie organisatorische Schutzmaßnahmen.

Warum Internal Investigations mehr als nur Interviews und E-Mails sind

Internal Investigations sind 2026 interdisziplinäre High-End-Forensik: hypothesenbasiert, OSINT-gestützt und mobilgerätefokussiert. Erfahren Sie mehr dazu!

Tim Ahrens

    Ihre individuelle Cybersecurity-Strategie

    |

    Jetzt unverbindliche Anfrage stellen und ein maßgeschneidertes Sicherheitskonzept erhalten.

    Angebot anfordern

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.