Kantyra Kantyra

← Alle artikelen

Signaleren

Warum meldet kaum jemand einen Vorfall?

Alain Rees · 10-07-2026 · 8 min leestijd

Fragen Sie eine beliebige Gruppe von Mitarbeitenden, ob sie einen Sicherheitsvorfall melden würden, und nahezu alle sagen ja. Werfen Sie anschließend einen Blick in das Vorfallsregister derselben Organisation, und Sie finden eine Handvoll Meldungen pro Jahr. Jeder CISO kennt diese Lücke, und die Versuchung ist groß, sie mit Unwillen oder Gleichgültigkeit zu erklären. Die Forschung weist in eine andere Richtung: Menschen melden nicht, weil das Melden sie etwas kostet und ihnen selten etwas einbringt. Das ist eine gute Nachricht, denn an beiden Seiten dieser Waagschale lässt sich etwas ändern.

Dieser Beitrag gehört zur Phase Erkennen aus dem Modell hinter Kantyra. Vorfälle sind die reichhaltigste Signalquelle, die eine Organisation besitzt, aber nur, wenn sie es bis ins Register schaffen.

Wie groß ist die Lücke zwischen Sagen und Tun?

Van de Weijer, Leukfeldt und Bernasco analysierten Daten von über siebenundneunzigtausend Opfern aus einer landesweiten Bevölkerungsumfrage und stellten fest, dass Cyberkriminalität deutlich seltener gemeldet wird als herkömmliche Kriminalität. In einer Folgestudie unter 529 mittelständischen Unternehmerinnen und Unternehmern wurde der Kontrast schmerzhaft genau. Nahezu alle gaben an, fiktive Cybervorfälle melden zu wollen, doch von den tatsächlichen Cyberdelikten, deren Opfer sie wurden, bekam die Polizei nur gut vierzehn Prozent zu sehen. Die Gründe, die Nicht-Meldende nannten, klingen jeder Sicherheitsverantwortlichen vertraut: die Erwartung, dass ohnehin nichts damit geschieht, und die Vorliebe, es selbst zu lösen. Wer meldete, war zudem häufig mit der Nachbearbeitung unzufrieden.

Diese Zahlen betreffen die Anzeige bei der Polizei, doch das Muster steht nicht für sich allein. Im Gesundheitswesen, wo das Meldeverhalten am gründlichsten untersucht wurde, fand eine systematische Übersichtsarbeit von Hamed und Konstantinidis zu Meldebarrieren bei Pflegekräften genau dieselbe Rangfolge. Der am häufigsten genannte Grund, nicht zu melden, ist die Angst vor negativen Folgen, gefolgt von umständlichen Meldesystemen und einer Kultur der Schuldzuweisung. Wissens- und Technikprobleme kommen erst danach. Die Lücke zwischen Sagen und Tun ist also kein Informationsproblem, sondern ein Abwägungsproblem.

Macht Bestrafung Menschen vorsichtiger oder nur stiller?

Der Reflex, nach einem Vorfall nach dem Schuldigen zu suchen, ist verständlich und verheerend zugleich. Amy Edmondson zeigte in einer inzwischen klassischen Feldstudie unter einundfünfzig Teams, dass die Bereitschaft, Fehler einzugestehen und zu besprechen, davon abhängt, was sie psychologische Sicherheit nennt: die geteilte Überzeugung, dass man in diesem Team etwas zugeben kann, ohne dafür bezahlen zu müssen. Teams mit dieser Sicherheit lernen mehr und schneiden dadurch besser ab. Bestrafung ändert in diesem Licht wenig an dem Verhalten, das zum Vorfall führte, aber viel daran, ob man je wieder davon erfährt.

Die Sicherheitswissenschaft hat darauf eine praktikable Antwort formuliert. James Reason beschrieb, wie eine Meldekultur nur entsteht, wenn vorab klar ist, wo die Grenze zwischen akzeptablem und inakzeptablem Verhalten verläuft, damit ein Meldender weiß, woran er ist. Der Sicherheitswissenschaftler Sidney Dekker, Professor in Australien, entwickelte dies gemeinsam mit Hugh Breakey zu dem, was inzwischen unter dem Begriff just culture zum Standard geworden ist: ein Umgang mit Fehlern, der als gerecht empfunden wird und stärker auf Wiederherstellung und Lernen als auf Vergeltung ausgerichtet ist. Ihr Kernpunkt ist, dass nicht die Sanktion selbst die Meldekultur zerstört, sondern die als ungerecht empfundene Abwicklung. Eine Organisation, die ehrlich und vorhersehbar mit Fehlern umgeht, kann streng sein, wo es sein muss, und behält dennoch die Meldungen.

Was geschieht nach der Meldung, und warum entscheidet das alles?

Die zweite Hälfte der Abwägung ist, was eine Meldung einbringt. Paul Barach und Stephen Small untersuchten Meldesysteme außerhalb des Gesundheitswesens, darunter das Luftfahrtsystem ASRS, und destillierten die Merkmale der Systeme, die funktionieren: Das Melden ist freiwillig und vertraulich, der Meldende genießt Schutz, die Analyse erfolgt unabhängig von der Linie, und es folgt eine rasche, sichtbare Rückmeldung. Sie weisen zudem darauf hin, dass Beinahe-Vorfälle sieben- bis hundertmal häufiger auftreten als tatsächliche Vorfälle und damit die bei Weitem reichhaltigste Lernquelle für denjenigen sind, der sie einzufangen versteht.

Auch hierfür gibt es Belege. Ian Leistikow und Kollegen einer Gesundheitsaufsichtsbehörde beschrieben, wie sich die Aufsicht über die Meldung schwerwiegender Zwischenfälle vom Abrechnen über das Ergebnis hin zur Beurteilung der Qualität des Lernprozesses verschob, den eine Meldung in Gang setzt. Ihre These lautet, dass der Wert einer Meldung nicht in der Meldung selbst liegt, sondern in dem, was die Organisation damit macht. Eine Evaluation desselben Systems durch Forschende der Erasmus-Universität, auf Grundlage von über viertausendvierhundert untersuchten Vorfällen, zeigt, dass es funktioniert: Die Haltung des Personals veränderte sich, die Zahl der Meldungen stieg und die Qualität der Untersuchungen nahm zu. Die Forschenden merken dazu an, dass das Lernen nur dort zustande kommt, wo die Organisation aktiv mit den Meldungen arbeitet.

Und es ist beeinflussbares Verhalten. Eine aktuelle australische Studie unter mehr als fünfhundert Berufstätigen, die sich gezielt auf das Melden von Cybervorfällen richtete, fand, dass die Meldeabsicht von drei Faktoren getragen wird: der Einstellung zum Melden, der Norm, die Kolleginnen, Kollegen und Vorgesetzte ausstrahlen, und dem Gefühl, zu wissen, wie man meldet. Dieser letzte Faktor sagte auch das tatsächliche Meldeverhalten voraus. Eine Folgestudie ergänzte, dass allein schon das Vorhandensein einer erkennbaren Sicherheitsrichtlinie mit häufigerem Melden einhergeht, ebenso wie das Bewusstsein, dass Sicherheit zur eigenen Rolle gehört. Auffällig war zudem, dass niedriger gestellte Mitarbeitende seltener melden, während Vorfälle gerade dort zuerst sichtbar werden.

Was können Sie morgen damit anfangen?

Aus dieser Literatur folgt ein Rezept, das wenig kostet und viel einbringt.

  1. Machen Sie den Meldeweg so einfach, dass niemand darüber nachdenken muss, und machen Sie ihn bekannt. Das Gefühl, zu wissen, wie man meldet, ist der stärkste Prädiktor für tatsächliches Meldeverhalten, und schon eine erkennbare Richtlinie erhöht die Meldewahrscheinlichkeit.
  2. Vereinbaren Sie vorab, wie die Organisation mit Fehlern umgeht, und halten Sie sich daran. Die Grenze zwischen akzeptabel und inakzeptabel muss vor dem Vorfall klar sein und darf nicht im Nachhinein erfunden werden. Das ist der Kern einer gerechten Kultur.
  3. Reagieren Sie auf jede Meldung mit Untersuchung und Rückmeldung, niemals mit Schweigen. Wer nichts zurückhört, meldet kein zweites Mal. Die Systeme, die funktionieren, melden rasch und sichtbar zurück, was mit der Meldung geschehen ist.
  4. Fangen Sie auch die Beinahe-Vorfälle ein. Sie sind um ein Vielfaches zahlreicher als echte Vorfälle und lehren Sie dasselbe ohne den Schaden.
  5. Freuen Sie sich über jede Meldung und misstrauen Sie gerade dem Schweigen. Wenige Meldungen bedeuten so gut wie nie wenige Vorfälle; sie bedeuten, dass Ihr Register die Wirklichkeit nicht mehr beschreibt.

Der Vollständigkeit halber: Dies ist die Logik hinter dem Vorfallsmodul von Kantyra. Das Melden ist dort nicht Managern oder Administratoren vorbehalten; jede Nutzerin und jeder Nutzer kann einen Vorfall erfassen, und das Formular fragt nach einer Beschreibung, nicht nach einem Schuldeingeständnis. Mitarbeitende ohne eigenes Konto melden bei ihrer Führungskraft oder der oder dem Sicherheitsverantwortlichen, die das Signal erfassen; die Kunst besteht dann vor allem darin, diesen Weg bekannt und niedrigschwellig zu halten. Jede Meldung erhält eine bearbeitende Person und einen sichtbaren Status, sodass die Rückmeldung keine gute Absicht bleibt, sondern ein Arbeitsablauf wird. Und schwerwiegende Vorfälle, die ein Risiko berühren, stellen automatisch eine Neubewertung dieses Risikos in die Warteschlange, sodass die Organisation nachweislich etwas mit dem Signal tut. So wird die Meldung zu dem, was sie laut Forschung sein sollte: der Anfang eines Lernprozesses statt das Ende einer Karriere.

Was bedeutet das für Ihre Organisation?

Betrachten Sie nicht die Zahl der Meldungen als Leistungskennzahl, sondern das, was mit den Meldungen geschieht. Stellen Sie sich drei Fragen. Weiß eine beliebige Mitarbeiterin oder ein beliebiger Mitarbeiter innerhalb von zehn Sekunden, wo sie oder er einen Vorfall loswerden kann? Kann jemand, der im vergangenen Quartal gemeldet hat, sagen, was mit seiner Meldung geschehen ist? Und traut sich Ihre jüngste Kollegin oder Ihr jüngster Kollege, einen eigenen Fehler zu melden, ohne zuvor die Führungskraft abzutasten? Dreimal ja bedeutet, dass Ihre Meldekultur funktioniert, ganz gleich, wie hoch die Zahl der Meldungen ist. Jedes Nein weist die Stelle aus, an der Sie beginnen müssen, und keine der drei Fragen verlangt ein großes Projekt.

Rechenschaft und Quellen

Dieser Beitrag ist eine fundierte Synthese bestehender wissenschaftlicher Forschung und keine eigenständige, von Fachkolleginnen und -kollegen begutachtete Untersuchung. Wo ich deute oder interpretiere, geht diese Interpretation auf meine Rechnung.

  1. Van de Weijer, S.G.A., Leukfeldt, R. & Bernasco, W. (2019). Determinants of reporting cybercrime: A comparison between identity theft, consumer fraud, and hacking. European Journal of Criminology, 16(4). https://doi.org/10.1177/1477370818773610
  2. Van de Weijer, S., Leukfeldt, R. & Van der Zee, S. (2021). Cybercrime Reporting Behaviors Among Small- and Medium-Sized Enterprises in the Netherlands. In: Cybercrime in Context. Springer. https://doi.org/10.1007/978-3-030-60527-8_17
  3. Dekker, S.W.A. & Breakey, H. (2016). 'Just culture:' Improving safety by achieving substantive, procedural and restorative justice. Safety Science, 85. https://doi.org/10.1016/j.ssci.2016.01.018
  4. Reason, J. (1998). Achieving a safe culture: theory and practice. Work & Stress, 12(3). https://doi.org/10.1080/02678379808256868
  5. Barach, P. & Small, S.D. (2000). Reporting and preventing medical mishaps: lessons from non-medical near miss reporting systems. BMJ, 320(7237). https://doi.org/10.1136/bmj.320.7237.759
  6. Edmondson, A. (1999). Psychological Safety and Learning Behavior in Work Teams. Administrative Science Quarterly, 44(2). https://doi.org/10.2307/2666999
  7. Leistikow, I., Mulder, S., Vesseur, J. & Robben, P. (2017). Learning from incidents in healthcare: the journey, not the arrival, matters. BMJ Quality & Safety, 26(3). https://doi.org/10.1136/bmjqs-2015-004853
  8. De Kam, D., Kok, J., Grit, K., Leistikow, I., Vlemminx, M. & Bal, R. (2020). How incident reporting systems can stimulate social and participative learning: A mixed-methods study. Health Policy, 124(8). https://doi.org/10.1016/j.healthpol.2020.05.018
  9. Hamed, M.M.M. & Konstantinidis, S. (2022). Barriers to Incident Reporting among Nurses: A Qualitative Systematic Review. Western Journal of Nursing Research, 44(5). https://doi.org/10.1177/0193945921999449
  10. Ahola, K., Butavicius, M., McCormac, A. & Sturman, D. (2025). Hey "CSIRI", should I report this? Investigating the factors that influence employees to report cyber security incidents in the workplace. Information and Computer Security, 33(2). https://doi.org/10.1108/ICS-11-2023-0214
  11. Ahola, K. u. a. (2025). 'Ctrl, alt, report': the influence of policy, cyber security job relevance, rank and gender on cyber security incident reporting. Information and Computer Security. https://doi.org/10.1108/ICS-02-2025-0044
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Signaleren