20.06.2025, 19:01
Klassische Datenschutz- und Sicherheitsschulungen sind oft eine Pflichtübung. Einmal im Jahr ein E-Learning, am Ende ein Test, dann wieder vergessen. Ich habe das in vielen Häusern gesehen, und ich behaupte: Davon bleibt im Alltag fast nichts hängen.
Was in meiner Erfahrung wirklich funktioniert, sind kurze, anlassbezogene Hinweise:
Die wichtigste Zutat ist eine Führungskraft, die selbst nicht so tut, als wisse sie alles. Ich habe in einer Sitzung mal offen erzählt, fast auf eine sehr gut gemachte Phishing-Mail hereingefallen zu sein. Danach kamen für Wochen Rückmeldungen aus dem Team: „Schauen Sie mal, diese Mail kam heute, war das ein Versuch?" Das ist gelebte Awareness — alltäglich, nachfragend, ohne Scham.
Was hat bei Ihnen tatsächlich etwas verändert, und woran erkennen Sie das?
Was in meiner Erfahrung wirklich funktioniert, sind kurze, anlassbezogene Hinweise:
- Eine konkrete, anonymisierte Beinahe-Panne aus dem eigenen Haus, kurz im Teammeeting besprochen.
- Ein simulierter Phishing-Versuch mit anschließendem ruhigen Gespräch — kein Pranger, keine Quote, einfach ein „so erkennen Sie es nächstes Mal".
- Eine 10-Minuten-Regel pro Quartal: Genau ein Punkt, den jeder im Team danach besser kann (z. B. „Bei Mailanhängen aus externen Quellen kein Doppelklick, Vorschau verwenden").
Die wichtigste Zutat ist eine Führungskraft, die selbst nicht so tut, als wisse sie alles. Ich habe in einer Sitzung mal offen erzählt, fast auf eine sehr gut gemachte Phishing-Mail hereingefallen zu sein. Danach kamen für Wochen Rückmeldungen aus dem Team: „Schauen Sie mal, diese Mail kam heute, war das ein Versuch?" Das ist gelebte Awareness — alltäglich, nachfragend, ohne Scham.
Was hat bei Ihnen tatsächlich etwas verändert, und woran erkennen Sie das?