A. Harrer, M. Naß, Prof. Norbert Pohlmann (Institut für Internet-Sicherheit), S. Scheja:
„Security Awareness als institutionelles Anliegen: Voraussetzungen, Herausforderungen und Gestaltungsräume für NRW-Hochschulen“.
HMD-Praxis der Wirtschaftsinformatik,
Springer Verlag, Februar 2026
Zusammenfassung Jüngste Ransomware-Vorfälle an deutschen Hochschulen verdeutlichen, wie die fortschreitende Digitalisierung von Forschung, Lehre und Verwaltung die Angriffsfläche erhöht und Security Awareness zur strategischen Führungsaufgabe macht. Der Beitrag positioniert Awareness im Spannungsfeld von Offenheit, Resilienz und digitaler Souveränität. Theoretisch werden verhaltens- und
lernpsychologische Modelle (u. a. Self-Determination Theory und Theory of Planned Behavior) mit organisationsbezogenen Perspektiven zu Governance, Kultur und Kommunikation verknüpft. Ein besonderes Augenmerk gilt dem E-Learning als zentralem Hebel.
Auf dieser Basis wurden theoriebasierte Annahmen abgeleitet und methodisch mithilfe von leitfadengestützten Experteninterviews mit Informationssicherheitsbeauftragten und IT-Verantwortlichen mehrerer Hochschulen validiert. Die Ergebnisse verdichten aktuelle Praxiserfahrungen, wie beispielsweise das frei verfügbare Angebot SecAware.nrw, und identifizieren dabei drei Kernprobleme: knappe personelle und finanzielle Ressourcen, unklare Zuständigkeiten/Governance sowie eine stark
heterogene Zielgruppe.
Der Beitrag leitet Handlungsempfehlungen für die Hochschulpraxis ab und schließt mit einer Forschungsagenda, welche die Nutzerperspektiven skizziert und motivationsbezogene psychologische Mechanismen in der Gestaltung von E-Learning-Maßnahmen stärker berücksichtigt. So können E-Learning-basierte Maßnahmen zielgruppengerecht weiterentwickelt und eine nachhaltige Sicherheitskultur im Hochschulbereich etabliert werden. Abstract Recent ransomware incidents at higher education institutions in Germany illustrate how the ongoing digitalization of research, teaching, and administration increases vulnerability and makes security awareness a strategic management task. This article explains awareness at the intersection of openness, resilience, and digital sovereignty. Theoretically, behavioral and learning psychology models (including
Self-Determination Theory and the Theory of Planned Behavior) are linked with organizational perspectives on governance, culture, and communication. Emphasis is placed on e-learning as a key element.
Based on this, theory-based assumptions were derived and methodologically validated through semi-structured expert interviews with information security officers and IT managers from several higher education institutions. The findings consolidate current practical experiences, among them the freely available offer SecAware.nrw, and identify three core problems: limited human and financial resources, unclear responsibilities and governance, and a highly heterogeneous target group.
The paper derives practical recommendations for higher education and concludes with a research agenda that outlines user perspectives and takes greater account of motivation-related psychological mechanisms in the design of e-learning measures. This allows e-learning-based measures to be further developed in line with the target group and a sustainable safety culture to be established in higher education.
Keywords Security Awareness · Cybersecurity in Higher Education · E-learning · Information Security · Self-learning Material 1 Einleitung
Die Digitalisierung prägt Forschung, Lehre und Verwaltung: Cloud-Systeme, E-Learning, vernetzte Labore und der Zugriff auf sensible Daten mit privaten Endgeräten kennzeichnen den „digitalen Campus“. Dadurch werden Hochschulen jedoch zunehmend zu attraktiven Zielen für cyberkriminelle Gruppen. Sicherheitsbehörden stufen die Bedrohungslage als „extrem hoch“ ein: Allein 2023 registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) 23 Ransomware-Angriffe auf Bildungs- und Forschungseinrichtungen; in mehreren Fällen waren explizit Universitäten betroffen (BSI 2023). Heterogene IT-Landschaften, wertvolle Datenbestände und neue Angriffsmethoden, etwa durch Künstliche Intelligenz (KI) – gestützte Phishing1– oder Deepfake2-Techniken, erhöhen das Risiko (Hochschulrektorenkonferenz 2025). Hochschulen stehen damit im Spannungsfeld zwischen Offenheit, Resilienz und digitaler Souveränität: Sie müssen Forschungsfreiheit und internationale Kooperation sichern, gleichzeitig aber ihre IT-Systeme gegen immer professionellere Angriffe schützen. Dass dies nicht immer gelingt, zeigte beispielsweise der Angriff auf die Universität Duisburg-Essen 2022/2023 mit monatelangen Betriebsausfällen.
Technische Schutzmaßnahmen allein reichen nicht aus, eine zentrale Rolle spielt der „Faktor Mensch“. Studien zeigen, dass ein erheblicher Anteil von IT-Sicherheitsvorfällen auf Fehlverhalten zurückgeht. Zeitdruck, kognitive Überlastung und fehlendes Wissen führen zu unbedachten Klicks oder riskanten Handlungen, die Angreifern Tür und Tor öffnen (Schütz 2018; Alqahtani 2022). Awareness-Programme setzen daher auf Sensibilisierung und Training, um IT-Sicherheitsverhalten zu fördern. Ein besonders flexibler Ansatz sind E-Learning-Angebote, die sich in den Studien- und Arbeitsalltag integrieren lassen und deren Wirksamkeit durch die Theorie erklärbar ist (siehe Kapitel 2). Dieses Zusammenspiel aus menschlicher Verwundbarkeit durch Fehlverhalten und nachweisbar wirksamen Interventionen verdeutlicht, warum Security-Awareness-Programme zu einem strategischen Thema der Hochschulleitung werden müssen.
Gesetzliche Vorgaben verstärken zudem den Handlungsdruck. Die europäische Network and Information Security, kurz NIS2-Richtlinie (2022) verpflichtet Mitgliedstaaten zu höheren Sicherheitsstandards, Vorfallsmanagement und Mitarbeiterschulungen. In Deutschland wurde die Richtlinie durch das NIS2-Anpassungs- und Umsetzungsakt-Gesetz umgesetzt, das am 13.11.2025 verabschiedet wurde. Nordrhein-Westfalen geht voran: Seit Beginn 2024 schreibt das Ministerium für Kultur und Wissenschaft des Landes Nordrhein-Westfalen und Digitale Hochschule NRW (2023) mit der Vereinbarung zur Cybersicherheit (VzC) den IT-Grundschutz, Zwei-Faktor-Authentifizierung, Notfallpläne und verpflichtende Schulungen vor. Das Land finanziert dazu Personal- und Beratungskosten in Millionenhöhe. Bereits 2023 hatte
die Vereinbarung zur Informationssicherheit (VzI) an Hochschulen die Einstellung
von Chief Information Security Officers (CISOs) festgelegt.
Parallel entstand mit SecAware.nrw ein landesweites, webbasiertes Selbstlernangebot für Hochschulangehörige in Nordrhein-Westfalen. Es ist modular aufgebaut, als Website und als Open Educational Resource (OER) zum Download verfügbar, sowie darauf ausgelegt, Lerneinheiten flexibel in den Hochschulalltag zu integrieren. …
kostenlos downloaden
Weitere Informationen zum Thema “Security Awareness als institutionelles Anliegen”
„Spielend lernen für mehr Resilienz (1) Serious Games als Lernmotorder Informations-Sicherheit – Teil 1: Vom Wissen zum Handeln”
„Cheater im Visier – Wie Spielentwickler den Kampf gegen Betrug führen – Sicherheitsbedrohungen in der Gaming-Welt“ „Denken in Fallen – Wie kognitive Verzerrungen Sicherheitsentscheidungen sabotieren“ „Spielerisch gegen Cyberbedrohungen – IT-Sicherheitstrainings mit Serious Games“
„Lehrbuch Cyber-Sicherheit“
„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“ „Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“ „Trusted Computing – Ein Weg zu neuen IT-Sicherheitsarchitekturen“
„Vorlesungen zum Lehrbuch Cyber-Sicherheit“
„Cyber-Resilienz – Idee und Umsetzung“ „Bedrohungslage und Sicherheitsprinzipien für souveräne Datenräume“ „Cybersecurity can be considered as a strategic pillar for economic stability, national security and public trust“
„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“
„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“ „Marktplatz IT-Sicherheit“ „Marktplatz IT-Sicherheit: IT-Notfall“ „Marktplatz IT-Sicherheit: IT-Sicherheitstools“ „Marktplatz IT-Sicherheit: Selbstlernangebot“ „Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“ „Vertrauenswürdigkeits-Plattform“
„TeleTrusT-Positionspapier Cyber-Nation“
„Investitionen aus Sondervermögen in Cyber-Sicherheit“
„Zero Trust in Federated Cloud-Edge Ecosystems“
„Confidential Computing: Sicher und Souverän in der Cloud“ „Gaia-X-sichere und vertrauenswürdige Ökosysteme mit souveränen Identitäten“
„Cyber-Sicherheit braucht mehr Fokus“
„IT-Sicherheitsstrategie für Deutschland“
„TeleTrusT-Positionspapier Cyber-Nation“ „Human-Centered Systems Security – IT Security by People for People“
„Informationssicherheit“
„Cyber-Sicherheit“ „Cyber-Sicherheitsstrategien“ „Cyber-Sicherheitsmaßnahme“ „künstliche Intelligenz“ „Security Awareness“ „Deepfake“ „Phishing“ | 
