Wenn Mitarbeitende die Risiken nicht verstehen, dann handeln sie auf der Basis falscher Einschätzungen. Das ist nicht automatisch unsicher, aber kann zu unsicherem Verhalten führen – wie etwa auf einen Link klicken, mit dem Schadsoftware nachgeladen wird.

Wenn Mitarbeitende die Risiken unterschätzen, dann sehen sie schon die Gefahr, denken aber, dass die Auswirkungen nicht so schlimm sind – etwa, dass die nachgeladene Hacker-Software schon keinen Schaden anrichten wird. Wenn Mitarbeitende Angst vor Fehlern haben, dann werden sie in unklaren, unverständlichen oder bedrohlichen Situationen eher gar nicht handeln – und wenn doch, werden sie niemanden darüber informieren. Gerade dann ist aber ein schnelles, zielgerichtetes Handeln bei drohenden oder bereits in Aktion befindlichen Hacker-Angriffen nicht mehr möglich.

Unvorbereitete und schlecht ausgebildete Mitarbeitende können daher in der Tat das größte Risiko in Bezug auf Informationssicherheit sein; allerdings ist es recht leicht möglich, aus dem größten Risiko eine gut funktionierende Gefahrenabwehr zu machen. Die Investitionen in Security-Awareness-Kampagnen und geeignete Schulungsmaßnahmen sind gering im Vergleich zu technischen Maßnahmen und zahlen sich in der Regel schnell aus. Wichtig ist dabei, dass Sie die Aufmerksamkeit und Kompetenz der Mitarbeitenden nachhaltig auf einem hohen Niveau halten – kontinuierliche Kommunikation "von oben" und eine positive Fehlerkultur sind dabei essenziell!