Alain Rees · 10-07-2026 · 8 min leestijd
Fragen Sie eine beliebige Gruppe von Mitarbeitenden, ob sie einen Sicherheitsvorfall melden würden, und nahezu alle sagen ja. Werfen Sie anschließend einen Blick in das Vorfallsregister derselben Organisation, und Sie finden eine Handvoll Meldungen pro Jahr. Jeder CISO kennt diese Lücke, und die Versuchung ist groß, sie mit Unwillen oder Gleichgültigkeit zu erklären. Die Forschung weist in eine andere Richtung: Menschen melden nicht, weil das Melden sie etwas kostet und ihnen selten etwas einbringt. Das ist eine gute Nachricht, denn an beiden Seiten dieser Waagschale lässt sich etwas ändern.
Dieser Beitrag gehört zur Phase Erkennen aus dem Modell hinter Kantyra. Vorfälle sind die reichhaltigste Signalquelle, die eine Organisation besitzt, aber nur, wenn sie es bis ins Register schaffen.
Van de Weijer, Leukfeldt und Bernasco analysierten Daten von über siebenundneunzigtausend Opfern aus einer landesweiten Bevölkerungsumfrage und stellten fest, dass Cyberkriminalität deutlich seltener gemeldet wird als herkömmliche Kriminalität. In einer Folgestudie unter 529 mittelständischen Unternehmerinnen und Unternehmern wurde der Kontrast schmerzhaft genau. Nahezu alle gaben an, fiktive Cybervorfälle melden zu wollen, doch von den tatsächlichen Cyberdelikten, deren Opfer sie wurden, bekam die Polizei nur gut vierzehn Prozent zu sehen. Die Gründe, die Nicht-Meldende nannten, klingen jeder Sicherheitsverantwortlichen vertraut: die Erwartung, dass ohnehin nichts damit geschieht, und die Vorliebe, es selbst zu lösen. Wer meldete, war zudem häufig mit der Nachbearbeitung unzufrieden.
Diese Zahlen betreffen die Anzeige bei der Polizei, doch das Muster steht nicht für sich allein. Im Gesundheitswesen, wo das Meldeverhalten am gründlichsten untersucht wurde, fand eine systematische Übersichtsarbeit von Hamed und Konstantinidis zu Meldebarrieren bei Pflegekräften genau dieselbe Rangfolge. Der am häufigsten genannte Grund, nicht zu melden, ist die Angst vor negativen Folgen, gefolgt von umständlichen Meldesystemen und einer Kultur der Schuldzuweisung. Wissens- und Technikprobleme kommen erst danach. Die Lücke zwischen Sagen und Tun ist also kein Informationsproblem, sondern ein Abwägungsproblem.
Der Reflex, nach einem Vorfall nach dem Schuldigen zu suchen, ist verständlich und verheerend zugleich. Amy Edmondson zeigte in einer inzwischen klassischen Feldstudie unter einundfünfzig Teams, dass die Bereitschaft, Fehler einzugestehen und zu besprechen, davon abhängt, was sie psychologische Sicherheit nennt: die geteilte Überzeugung, dass man in diesem Team etwas zugeben kann, ohne dafür bezahlen zu müssen. Teams mit dieser Sicherheit lernen mehr und schneiden dadurch besser ab. Bestrafung ändert in diesem Licht wenig an dem Verhalten, das zum Vorfall führte, aber viel daran, ob man je wieder davon erfährt.
Die Sicherheitswissenschaft hat darauf eine praktikable Antwort formuliert. James Reason beschrieb, wie eine Meldekultur nur entsteht, wenn vorab klar ist, wo die Grenze zwischen akzeptablem und inakzeptablem Verhalten verläuft, damit ein Meldender weiß, woran er ist. Der Sicherheitswissenschaftler Sidney Dekker, Professor in Australien, entwickelte dies gemeinsam mit Hugh Breakey zu dem, was inzwischen unter dem Begriff just culture zum Standard geworden ist: ein Umgang mit Fehlern, der als gerecht empfunden wird und stärker auf Wiederherstellung und Lernen als auf Vergeltung ausgerichtet ist. Ihr Kernpunkt ist, dass nicht die Sanktion selbst die Meldekultur zerstört, sondern die als ungerecht empfundene Abwicklung. Eine Organisation, die ehrlich und vorhersehbar mit Fehlern umgeht, kann streng sein, wo es sein muss, und behält dennoch die Meldungen.
Die zweite Hälfte der Abwägung ist, was eine Meldung einbringt. Paul Barach und Stephen Small untersuchten Meldesysteme außerhalb des Gesundheitswesens, darunter das Luftfahrtsystem ASRS, und destillierten die Merkmale der Systeme, die funktionieren: Das Melden ist freiwillig und vertraulich, der Meldende genießt Schutz, die Analyse erfolgt unabhängig von der Linie, und es folgt eine rasche, sichtbare Rückmeldung. Sie weisen zudem darauf hin, dass Beinahe-Vorfälle sieben- bis hundertmal häufiger auftreten als tatsächliche Vorfälle und damit die bei Weitem reichhaltigste Lernquelle für denjenigen sind, der sie einzufangen versteht.
Auch hierfür gibt es Belege. Ian Leistikow und Kollegen einer Gesundheitsaufsichtsbehörde beschrieben, wie sich die Aufsicht über die Meldung schwerwiegender Zwischenfälle vom Abrechnen über das Ergebnis hin zur Beurteilung der Qualität des Lernprozesses verschob, den eine Meldung in Gang setzt. Ihre These lautet, dass der Wert einer Meldung nicht in der Meldung selbst liegt, sondern in dem, was die Organisation damit macht. Eine Evaluation desselben Systems durch Forschende der Erasmus-Universität, auf Grundlage von über viertausendvierhundert untersuchten Vorfällen, zeigt, dass es funktioniert: Die Haltung des Personals veränderte sich, die Zahl der Meldungen stieg und die Qualität der Untersuchungen nahm zu. Die Forschenden merken dazu an, dass das Lernen nur dort zustande kommt, wo die Organisation aktiv mit den Meldungen arbeitet.
Und es ist beeinflussbares Verhalten. Eine aktuelle australische Studie unter mehr als fünfhundert Berufstätigen, die sich gezielt auf das Melden von Cybervorfällen richtete, fand, dass die Meldeabsicht von drei Faktoren getragen wird: der Einstellung zum Melden, der Norm, die Kolleginnen, Kollegen und Vorgesetzte ausstrahlen, und dem Gefühl, zu wissen, wie man meldet. Dieser letzte Faktor sagte auch das tatsächliche Meldeverhalten voraus. Eine Folgestudie ergänzte, dass allein schon das Vorhandensein einer erkennbaren Sicherheitsrichtlinie mit häufigerem Melden einhergeht, ebenso wie das Bewusstsein, dass Sicherheit zur eigenen Rolle gehört. Auffällig war zudem, dass niedriger gestellte Mitarbeitende seltener melden, während Vorfälle gerade dort zuerst sichtbar werden.
Aus dieser Literatur folgt ein Rezept, das wenig kostet und viel einbringt.
Der Vollständigkeit halber: Dies ist die Logik hinter dem Vorfallsmodul von Kantyra. Das Melden ist dort nicht Managern oder Administratoren vorbehalten; jede Nutzerin und jeder Nutzer kann einen Vorfall erfassen, und das Formular fragt nach einer Beschreibung, nicht nach einem Schuldeingeständnis. Mitarbeitende ohne eigenes Konto melden bei ihrer Führungskraft oder der oder dem Sicherheitsverantwortlichen, die das Signal erfassen; die Kunst besteht dann vor allem darin, diesen Weg bekannt und niedrigschwellig zu halten. Jede Meldung erhält eine bearbeitende Person und einen sichtbaren Status, sodass die Rückmeldung keine gute Absicht bleibt, sondern ein Arbeitsablauf wird. Und schwerwiegende Vorfälle, die ein Risiko berühren, stellen automatisch eine Neubewertung dieses Risikos in die Warteschlange, sodass die Organisation nachweislich etwas mit dem Signal tut. So wird die Meldung zu dem, was sie laut Forschung sein sollte: der Anfang eines Lernprozesses statt das Ende einer Karriere.
Betrachten Sie nicht die Zahl der Meldungen als Leistungskennzahl, sondern das, was mit den Meldungen geschieht. Stellen Sie sich drei Fragen. Weiß eine beliebige Mitarbeiterin oder ein beliebiger Mitarbeiter innerhalb von zehn Sekunden, wo sie oder er einen Vorfall loswerden kann? Kann jemand, der im vergangenen Quartal gemeldet hat, sagen, was mit seiner Meldung geschehen ist? Und traut sich Ihre jüngste Kollegin oder Ihr jüngster Kollege, einen eigenen Fehler zu melden, ohne zuvor die Führungskraft abzutasten? Dreimal ja bedeutet, dass Ihre Meldekultur funktioniert, ganz gleich, wie hoch die Zahl der Meldungen ist. Jedes Nein weist die Stelle aus, an der Sie beginnen müssen, und keine der drei Fragen verlangt ein großes Projekt.
Dieser Beitrag ist eine fundierte Synthese bestehender wissenschaftlicher Forschung und keine eigenständige, von Fachkolleginnen und -kollegen begutachtete Untersuchung. Wo ich deute oder interpretiere, geht diese Interpretation auf meine Rechnung.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demo