Die wahre Sicherheit eines Unternehmens zeigt sich nicht auf dem Papier, sondern im Alltag. Policies, die in PDFs dokumentiert sind, nützen wenig, wenn sie in der Praxis ignoriert oder umgangen werden. Was zählt, ist die gelebte Sicherheitskultur – und die entsteht nicht vorrangig durch Training und Kontrolle, sondern durch Gestaltung. Genau hier setzt unser Paper »How can Design Thinking benefit Cybersecurity?« an. Die zentrale Botschaft: Statt Mitarbeitende vornehmlich im Sinne von »blame and train« zu schulen, sollten wir Sicherheit so gestalten, dass sie sich möglichst natürlich in den Arbeitsalltag integriert.

Sicherheit beginnt mit Design – nicht mit Training

Das Paper verknüpft Don Normans Designprinzipien mit dem Alltag in der Cybersicherheit. Die zentrale These: Menschen handeln meistens nicht unsicher, weil sie es so wollen, sondern weil Prozesse sie dazu verleiten. Ein Beispiel: Ein Programm zur Maschinensteuerung verlangt bei jedem Neustart ein kompliziertes 16-stelliges Passwort. Was passiert? Das Passwort landet auf einem Zettel neben der Anlage – für alle sichtbar. Das Problem ist weniger ein fehlendes Verantwortungsbewusstsein als ein System, das der realen Nutzungssituation nicht gerecht wird.

Fehler sind nicht das vorrangige Problem – sondern schlechtes Design

Norman unterscheidet zwischen »slips« und »mistakes«: also Fehlreaktionen aus Gewohnheit versus falsche Entscheidungen. Beide lassen sich durch gutes Design reduzieren. Viele Unternehmenssysteme versenden beispielsweise automatisch E-Mails mit direkten Links zu Dokumenten, Genehmigungen oder Aufgaben (»Bitte klicken Sie hier, um den Vorgang abzuschließen«). Diese E-Mails sehen oft generisch aus, enthalten keinen persönlichen Kontext, und die URLs sind lang, kryptisch und verweisen auf interne Systeme mit Subdomains oder Redirects. Genau das sind Merkmale, auf die wir Nutzerinnen und Nutzer aufmerksam machen, um Phishing zu vermeiden.

Ein typischer so genannter »action slip« entsteht dann, wenn Mitarbeitende reflexhaft auf solche Links klicken – zum Beispiel, weil sie regelmäßig ähnliche Systemmails erhalten. Im Ernstfall kann so ein echtes Phishing-Link unbemerkt durchrutschen, weil es von legitimen Systemmails kaum unterscheidbar ist. Gutes Design kann hier vorbeugen: keine direkten Links in Systememails, sondern Hinweise zum sicheren Aufruf über interne Portale. Ohne solche Designprinzipien geraten selbst gut geschulte Mitarbeitende in Situationen, in denen sie zwischen echt und betrügerisch nicht mehr sicher unterscheiden können. Kurz gesagt: zuerst gutes Design gegen Fehler – statt Training vor dem Fehler und noch mehr Training oder Sanktionen nach dem Fehler.

Sicherheitskultur braucht Empathie

Zentrale Prozesse der Cybersicherheit – von Passwortwechseln über Geräteeinstellungen bis zu Updates – sind oft nicht mitgedacht aus Sicht derer, die sie umsetzen müssen. Viele Sicherheitsrichtlinien werden aus Sicht der IT geschrieben, nicht aus Sicht der Nutzenden. Das Ergebnis: realitätsferne Vorgaben, die im Alltag unterlaufen oder bewusst ignoriert werden. Sicherheit wird zur Last, und verliert den nötigen Rückhalt bei den Mitarbeitenden.

Stattdessen braucht es Empathie: Was bedeutet diese Maßnahme für jemanden in der Nachtschicht? Wie passt sie in den Produktionsrhythmus? Welche Risiken entstehen durch Umgehung – und wie ließen sie sich vermeiden? Sicherheitskultur entsteht dort, wo Menschen sich verstanden fühlen – nicht dort, wo sie belehrt werden. Policies sollten Arbeitsprozesse begleiten, nicht sabotieren.

Design Thinking als Werkzeugkasten für echte Veränderung

Wie kann das gelingen? Mit Design Thinking. Das Paper zeigt: Wer Nutzerinnen und Nutzer beobachtet, ihre Frustrationen versteht und ihre Abläufe kennt, kann Sicherheitsmaßnahmen so gestalten, dass sie angenommen werden. Dazu gehören: Identifikation der Stakeholder, iterative Entwicklung von Richtlinien, Nutzerfeedback als Pflichtschritt, Pilotprojekte mit echten Nutzenden und Erfolgsmessung im Alltag. So entsteht eine Sicherheitskultur, die nicht auf Angst vor Fehlern basiert, sondern auf Sinnhaftigkeit.

Fazit: Sicherheit beginnt mit Perspektivwechsel

Cybersicherheit darf nicht ohne die betroffenen Menschen entwickelt werden, sondern muss sich in deren Realität verankern. Wer heute nur auf Policies statt auf geeignete Prozesse setzt, verschenkt Potenzial – und produziert Widerstand. Es ist Zeit für einen Perspektivwechsel: Vom Regelkatalog zur gestalterischen Verantwortung. Denn wie Steve Jobs sagt: »Design is not just what it looks like and feels like. Design is how it works.«

Leselinks:

Christian Schunck

Autorenprofil - Website - LinkedIn



Kategorien: Digitale Transformation, Nachhaltigkeit und Resilienz
Tags: ,