Sicherheitsbewusstsein (Security Awareness / IT-Sicherheitssensibilisierung)

Sicherheitsbewusstsein bezeichnet das Wissen und die Einstellung von Mitarbeitern, Auftragnehmern und Nutzern gegenüber IT-Sicherheitsrisiken sowie ihre Bereitschaft, sicheres Verhalten aktiv zu praktizieren, etwa durch kritisches Hinterfragen unbekannter E-Mails, sicheres Passwortverhalten und Meldung verdächtiger Vorfälle. BSI und ENISA betonen, dass Sicherheitsbewusstsein eine der wirksamsten Maßnahmen gegen Social Engineering und Phishing ist, da die meisten Sicherheitsvorfälle menschliche Fehler als Ursache haben. In IT-Vergaben für Sicherheitsschulungen und Security-Awareness-Programme sollten Auftraggeber messbare Ziele (Phishing-Simulationsraten, Schulungsquoten), Zielgruppenspezifik und Wirksamkeitsnachweise als Pflichtbestandteil definieren.