Direkt zum Inhalt Skip to maincontent Direkt zum Footer Skip to footercontent

Einfluss auf Risikowahrnehmung und Cybersicherheitsverhalten

Dissertation

Risikokommunikation von Cybersicherheit: Einfluss auf individuelle Risikowahrnehmung und Cybersicherheitsverhalten in deutschen KMU

Das Projekt untersucht, wie KMU Cybersicherheit intern kommunizieren und wie diese Kommunikation das Verhalten der Mitarbeitenden beeinflusst. Ziel ist es, wirksame Strategien zu identifizieren und praxisnahe Empfehlungen für eine stärkere Cybersicherheitskultur zu entwickeln.

Promovierende:Alexander Wilke
Betreuende:Dr. habil. Andreas Schwarz (TU Ilmenau), Prof. Dr. Florian Meißner
Dauer:06/2025 bis 06/2028
Beteiligte Institutionen:TU Ilmenau

Cybersicherheit entwickelt sich zunehmend zu einer gesamtgesellschaftlichen Herausforderung, da die Digitalisierung sämtliche Lebens- und Arbeitsbereiche durchdringt. Der Schutz digitaler Daten und Infrastrukturen nimmt dabei eine Schlüsselrolle ein. Gleichzeitig zeigt sich, dass in weiten Teilen der deutschen Bevölkerung ein geringes Bewusstsein für die Risiken des digitalen Alltags besteht und Kenntnisse über geeignete Schutzmaßnahmen nur unzureichend vorhanden sind. Sensibilisierung und Wissen bilden jedoch lediglich die Grundlage – entscheidend ist, dass diese in sicherheitsbewusstes Verhalten überführt werden.

Besonders kleine und mittlere Unternehmen (KMU), Kommunen sowie Bildungs- und Forschungseinrichtungen geraten immer häufiger ins Visier von Cyberangriffen. Im Vergleich zu großen Unternehmen verfügen sie oftmals weder über ausreichende Ressourcen noch über eine gefestigte Sicherheitskultur. Daraus ergibt sich die zentrale Frage, wie interne Kommunikationsstrategien in Organisationen gestaltet sind, um Cybersicherheitsthemen zu vermitteln, und wie sich diese Kommunikation auf die Wahrnehmung und das Verhalten der Mitarbeitenden auswirkt. Angesichts der rund 35 Millionen Erwerbstätigen in Deutschland kommt diesem Thema auch eine erhebliche gesellschaftliche Relevanz zu.

Um die Wirkmechanismen interner Risikokommunikation systematisch zu erfassen, stützt sich das Promotionsvorhaben auf etablierte theoretische Modelle der Risiko- und Gesundheitskommunikation. Besonders relevant sind hierbei die Protection Motivation Theory (PMT) sowie das Extended Parallel Process Model (EPPM). Beide Theorien zählen zu den Fear Appeal-Ansätzen, die aufzeigen, wie Bedrohungswahrnehmungen und Wirksamkeitserwartungen zusammenwirken, um Schutzverhalten zu fördern.

Die PMT unterscheidet zwischen Threat Appraisal und Coping Appraisal:

  • Das Threat Appraisal umfasst die wahrgenommene Schwere einer Bedrohung (Severity) und die wahrgenommene Anfälligkeit (Vulnerability). Gleichzeitig werden Maladaptive Rewards berücksichtigt, also die Vorteile, die Mitarbeitende wahrnehmen, wenn sie Schutzmaßnahmen nicht befolgen (z. B. Zeitersparnis).
  • Das Coping Appraisal setzt sich aus der Response Efficacy (Wirksamkeit der empfohlenen Schutzmaßnahme), der Self-Efficacy (subjektive Fähigkeit zur Umsetzung) und den Response Costs (wahrgenommene Kosten oder Aufwand) zusammen.

Das EPPM integriert diese Dimensionen in ein Modell, das erklärt, ob Individuen Bedrohungen aktiv mit Schutzverhalten begegnen (Gefahrenkontrolle) oder diese vermeiden und abwehren (Angstkontrolle). Für den Cybersicherheitskontext wird das Modell durch die Konstrukte Response Costs und Maladaptive Rewards erweitert (Chen et al., 2021), um besser abzubilden, wie Mitarbeitende Kosten, Nutzen und Risiken abwägen. Damit bietet das erweiterte EPPM eine fundierte Grundlage, um interne Kommunikationsstrategien zu analysieren und deren Einfluss auf die Cybersicherheitskultur in KMU zu bewerten.

Forschungsfragen 

  1. Welche Strategien der Risikokommunikation werden in kleinen und mittleren Unternehmen eingesetzt, um Cybersicherheitsthemen intern zu vermitteln?
  2. Welchen Einfluss hat die interne Risikokommunikation auf die Wahrnehmung von Threat Appraisal, Efficacy und Response Costs im Kontext Cybersicherheit?
  3. Inwiefern beeinflusst die Risikowahrnehmung das Cybersicherheitsverhalten der Mitarbeitenden in KMU?

Methodik 

Die Untersuchung erfolgt in einem mehrstufigen Forschungsdesign:

Qualitative Analyse:

  • Leitfadengestützte Interviews mit IT-Sicherheitsverantwortlichen, Führungskräften und Kommunikationsverantwortlichen aus acht bis zehn KMU unterschiedlicher Branchen.
  • Ziel: Erfassung genutzter Strategien der Risikokommunikation, bisheriger Erfahrungen mit Cybervorfällen sowie der jeweiligen Unternehmenskultur.
  • Auswertung: Themenanalyse mit Fokus auf Muster und branchenspezifische Unterschiede.

Quantitative Erhebung:

  • Online-Befragung von ca. 200 Mitarbeitenden (20–25 pro Unternehmen).
  • Erfassung der Wahrnehmung von Risikokommunikation, Verständlichkeit und Relevanz der Maßnahmen sowie Dimensionen des Sicherheitsverhaltens (z. B. Passwortmanagement, Reaktion auf Phishing, Meldung verdächtiger Vorfälle).
  • Statistische Auswertung mittels Korrelations- und Regressionsanalysen, um Zusammenhänge zwischen Kommunikation, Risikowahrnehmung und Verhalten zu identifizieren.

Experimentelle Untersuchung:

  • Entwicklung und Test unterschiedlicher Kommunikationsstrategien in einem ausgewählten KMU.
  • Analyse der Wirkungen auf Risikowahrnehmung und Verhalten im direkten Vergleich verschiedener Strategien.

Ziel und Transfer

Das Promotionsvorhaben verfolgt das Ziel, die Rolle der internen Risikokommunikation in KMU systematisch zu analysieren und deren Einfluss auf individueller Ebene (Mikro-Ebene) sowie auf die Cybersicherheitskultur (Meso-Ebene) zu untersuchen.

  • Identifikation und Bewertung bestehender Kommunikationsstrategien.
  • Untersuchung der Wahrnehmung von Cybersicherheitsrisiken und interner Kommunikation durch Mitarbeitende.
  • Evaluation des erweiterten EPPM unter Einbezug von Response Costs und Maladaptive Rewards.

Damit soll ein Beitrag zur Schließung bestehender Forschungslücken geleistet werden. Die Ergebnisse bieten praxisrelevante Impulse für KMU, wie interne Kommunikationsmaßnahmen gestaltet werden können, um das Sicherheitsbewusstsein und -verhalten nachhaltig zu stärken.

Literatur

Floyd, D. L., Prentice-Dunn, S., & Rogers, R. W. (2000). A meta‐analysis of research on protection motivation theory. Journal of Applied Social Psychology, 30(2), 407–429. https://doi.org/10.1111/j.1559-1816.2000.tb02323.x

Rogers, R. W. (1975). A protection motivation theory of fear appeals and attitude change. Journal of Psychology, 91(1), 93–114. https://doi.org/10.1080/00223980.1975.9915803

Rogers, R. W. (1983). Cognitive and physiological processes in fear appeals and attitude change: A revised theory of protection motivation. In J. T. Cacioppo & R. E. Petty (Hrsg.), Social psychophysiology: A sourcebook (S. 153–176). Guildford Press.

Witte, K. (1992). Putting the fear back into fear appeals: The extended parallel process model. Communication Monographs, 59(4), 329–349. https://doi.org/10.1080/03637759209376276

Meissner, F., Wilke, A. J., & Puikytė, M. (2025). How is cybersecurity discussed across media channels? Exploratory analyses of Twitter content and news reporting. Journal of Risk Research, 1–21. https://doi.org/10.1080/13669877.2025.2553079

Meissner, F., Wilke, A.J., & Puikytė, M. (2025). Can Young People Be Persuaded to Adopt Secure Behavior in Cyberspace? An Experimental Study Based on Protection Motivation Theory. International Crisis and Risk Communication Association Reports.

Meissner, F., Nold, J. M., Sasse, M. A., Panskus, R., & Wilke, A. (2025). ‘Encryption doesn’t matter’: Pitfalls in cybersecurity communications. In T. Kox, A. Ullrich, & H. Zech (Hrsg.), Uncertain Journeys into Digital Futures (S. 219–238). Nomos Verlagsgesellschaft mbH & Co. KG. https://doi.org/10.5771/9783748947585-219

Wilke, A. J., Nold, J. M., Braun, O., Meissner, F., & Große-Kampmann, M. (2024). Self-promotion with a chance of warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn. Proceedings of the International Conference on Mobile and Ubiquitous Multimedia (S.119–132). https://doi.org/10.1145/3701571.3701575

Meissner, F., Buse, C. & Wilke, A. (2024). Mediated perspectives on cyber risk: A content analysis of news reporting about cyber threats and safety measures. Proceedings of the International Crisis and Risk Communication Conference, Volume 6 (S. 45-48). Orlando Fl: Nicholson School of Communication. www.doi.org/10.30658/icrcc.2024.XX

Zurück