Informationssicherheit ist eine unabdingbare Voraussetzung für professionelles Arbeiten – doch manchmal erleben Beschäftigte die Vielzahl an Regeln und Warnmeldungen im Alltag als erdrückend. Dieses Phänomen wird als Security Fatigue (sinngemäß: Sicherheitsermüdung) bezeichnet und stellt Unternehmen unterschiedlichster Branchen vor ernsthafte Herausforderungen. Warum Sicherheitsmaßnahmen manchmal als störend empfunden werden und wie Unternehmen gezielt gegensteuern können, erläutert dieser Beitrag.
Der Inhalt im Überblick
Was ist Security Fatigue – und was sind ihre Auswirkungen?
Security Fatigue beschreibt eine Form der Ermüdung, die entsteht, wenn Menschen im beruflichen Alltag mit einer Vielzahl sicherheitsrelevanter Anforderungen konfrontiert werden. Betroffene reagieren dann weniger aufmerksam, treffen impulsivere Entscheidungen und widmen sicherheitsbezogenen Hinweisen nicht mehr die nötige Konzentration.
Die Folgen können vielfältig sein: vom unbedachten Umgang mit sensiblen Daten – etwa unachtsame E-Mails, fehlende Clean-Desk-Disziplin oder das Eingehen auf Phishing-Versuche – bis hin zu einer insgesamt geringeren Wachsamkeit gegenüber potenziellen Risiken. Gerade bei hoher mentaler Belastung sinkt die Bereitschaft, sicherheitsrelevante Hinweise wahrzunehmen und entsprechend zu handeln.
Für Unternehmen hat dies spürbare Konsequenzen: Menschliches Verhalten bleibt einer der häufigsten Auslöser für Sicherheitsvorfälle. Wenn Mitarbeitende aus Erschöpfung heraus Vorgaben umgehen, entstehen Risiken, die sich selbst mit modernster Technik nicht vollständig kompensieren lassen.
Abgrenzung: Security Fatigue ist eng verwandt mit dem Begriff der Alert Fatigue – der Abstumpfung gegenüber zu vielen Warnmeldungen. Alert Fatigue ist dabei ein konkreter Auslöser, der zur übergeordneten Security Fatigue beiträgt.
Warum Security Fatigue in Unternehmen entsteht
Die Ursachen für Security Fatigue liegen selten bei einzelnen Beschäftigten, sondern sind in der Art verankert, wie Organisationen ihre Sicherheitsprozesse gestalten.
Ein zentraler Ausgangspunkt ist fehlende Nutzerorientierung. Wenn Sicherheitsmaßnahmen primär aus einer technischen Funktionsperspektive konzipiert werden, ohne den Arbeitsalltag der Anwendenden mitzudenken, entsteht schnell der Eindruck, dass Sicherheit ein Hindernis und kein Hilfsmittel darstellt. Studien – darunter Forschungsarbeiten von Autoren des U.S. National Institute of Standards and Technology (NIST) – zeigen, dass mit steigender Zahl sicherheitsrelevanter Entscheidungen die bewusste Regelumsetzung deutlich abnimmt und stattdessen Umgehungsverhalten zunimmt. Dieser Effekt entsteht nicht aus Unwissen, sondern aus mentaler Überlastung, Frustration und dem Gefühl mangelnder Bewältigbarkeit – Forschende sprechen von „Compliance Avoidance“.
Auf operativer Ebene verstärken widersprüchliche Regeln und ständige Unterbrechungen – durch häufige Passwortabfragen, Pop-up-Warnungen oder technische Einschränkungen – das Störgefühl. Auch wenn diese Unterbrechungen einen konkreten Sicherheitszweck erfüllen, bleibt das Empfinden auf Seiten der Beschäftigten, dass der eigene Arbeitsfluss beeinträchtigt wird. Dieses Spannungsfeld zu verstehen, ist entscheidend für die Gestaltung wirksamer Maßnahmen.
Je mehr Tools, Authentifizierungsverfahren und einzuhaltende Prozesse eingeführt werden, desto höher steigt schließlich die kognitive Belastung. Die Folge: Warnmeldungen können nicht mehr klar priorisiert werden. Der Unterschied zwischen sicherheitskritischen Alerts und reinen Routinehinweisen verschwimmt – ein klassisches Muster der Alert Fatigue.
Sinnvolle Kennzahlen sind etwa die Zahl ignorierter Warnmeldungen, wiederkehrende Supporttickets, Abschlussquoten bei Schulungen oder gemeldete Workarounds. Ergänzend helfen regelmäßige kurze Stimmungsabfragen, um Wahrnehmungen und Belastungen sichtbar zu machen. Messbarkeit schafft die Grundlage, um gezielt Verbesserungen einzuleiten.
Wege aus der Security Fatigue
Um Security Fatigue wirksam zu reduzieren, sollten Unternehmen Sicherheitsmaßnahmen so gestalten, dass sie möglichst einfach und nachvollziehbar in den Arbeitsalltag integrierbar sind.
- Routinen vereinfachen:
Mitarbeitende sollen weniger Zeit damit verbringen, technische Hürden zu überwinden. Moderne Lösungen wie Single Sign-On (SSO) oder Passkeys reduzieren etwa die Zahl notwendiger Passwortabfragen erheblich und vereinfachen den Anmeldeprozess – bei gleichzeitig hohem Sicherheitsniveau. - Klar und verständlich kommunizieren:
Sicherheitsanforderungen werden leichter akzeptiert, wenn ihr Zweck nachvollziehbar ist. Mitarbeitende reagieren deutlich positiver, wenn ihnen erklärt wird, warum eine Maßnahme eingeführt wird und welchen konkreten Nutzen sie hat. - Warnmeldungen gezielt einsetzen:
Die Zahl der Alerts soll reduziert und auf Situationen beschränkt werden, in denen sie wirklich notwendig sind. Je seltener Unterbrechungen auftreten, desto höher bleibt die Aufmerksamkeit für wichtige Hinweise. - Sicherheitskultur vorleben:
Eine tragfähige Sicherheitskultur entsteht nicht allein durch Regeln, sondern vor allem durch Vorbilder. Wenn Führungskräfte Sicherheitsmaßnahmen als Teil professionellen Handelns ernst nehmen und selbst aktiv vorleben, steigt die Akzeptanz im gesamten Unternehmen.
Gamification als ergänzender Ansatz
Ein weiterer Ansatz besteht darin, spielerische Elemente in den Sicherheitsalltag zu integrieren. Da Security Fatigue häufig aus monotonen Abläufen entsteht, kann Gamification diesen Eindruck durch positive Erlebnisse aufbrechen.
Statt trockener Pflichtschulungen erleben Beschäftigte Sicherheitsinhalte in Form interaktiver Challenges oder Quizformate. Phishing-Simulationen lassen sich so gestalten, dass Mitarbeitende aktiv Punkte sammeln, wenn sie verdächtige Nachrichten korrekt erkennen. Gamifizierte Lernplattformen machen Fortschritte sichtbar und schaffen Erfolgserlebnisse. Sicherheit wird dadurch weniger als Zusatzlast wahrgenommen – ein zentraler Faktor, um der Security Fatigue langfristig entgegenzuwirken.
Security Fatigue als Kulturaufgabe
Security Fatigue macht deutlich, dass Sicherheitsprozesse nur dann funktionieren, wenn sie sich sinnvoll in den Arbeitsalltag integrieren lassen. Eine Kultur, die Mitarbeitende mit Vorgaben und Warnungen überfrachtet, kann langfristig mehr Risiken erzeugen, als sie zu reduzieren vermag. Strukturierte Ansätze wie ein Informationssicherheitsmanagementsystem (ISMS) helfen dabei, Sicherheitsmaßnahmen systematisch und nutzerorientiert zu verankern.
Sicheres Handeln ist keine optionale Ergänzung zum Tagesgeschäft, sondern eine professionelle Grundvoraussetzung – und genau so sollte es auch vermittelt werden. Unternehmen, die Prozesse vereinfachen, verständlich kommunizieren und ihre Beschäftigten aktiv einbinden, stärken nicht nur die Informationssicherheit, sondern fördern eine Kultur, in der Security Fatigue gar nicht erst entsteht. Wer die Bedürfnisse der Beschäftigten ernst nimmt, erhöht langfristig sowohl die Akzeptanz als auch das Sicherheitsniveau im gesamten Unternehmen.
Die Sätze „Unternehmen, die Prozesse vereinfachen, verständlich kommunizieren und ihre Beschäftigten aktiv einbinden, …. fördern eine Kultur, in der Security Fatigue gar nicht erst entsteht. Wer die Bedürfnisse der Beschäftigten ernst nimmt, erhöht langfristig sowohl die Akzeptanz als auch das Sicherheitsniveau …“ zeigen das ganze Dilemma. Nicht die Unternehmen geben die Regeln vor und hantieren mit unbestimmten Rechtsbegriffen. Vielmehr kommt dies aus der Politik und der Gesetzgebung, oftmals begrüßt von den Medien. Ohne dass die alltäglichen Auswirkungen diskutiert werden.