Erkennen – Handeln – Verstehen
Vom Muss zum Mehrwert: Aus Pflichtübung wird Gamechanger

Cybersecurity zählt heute zu den größten Herausforderungen für Unternehmen – doch wie gelingt es, zehntausende Mitarbeitende nicht nur zu informieren, sondern ihr Verhalten im digitalen Alltag nachhaltig zu verändern? SPAR Österreich und SPAR ICS haben gemeinsam mit der eLearning-Agentur skillbest genau darauf eine innovative Antwort entwickelt. Mit dem Projekt „Digital Security – Office Worker Standard (OWS)“ entstand ein interaktives, multilinguales Trainingsformat, das Pflichtschulung und Best-Practice-Erlebnis zugleich ist. Mit Storytelling, Gamification und authentischen Szenarien wird Cybersecurity vom abstrakten Regelwerk zu einem erlebbaren Thema für alle Mitarbeitenden.

Digitale Sicherheit ist längst kein Randthema mehr, sondern ein zentraler Erfolgsfaktor für jede Organisation. Mit der stetig wachsenden Zahl an Cyberangriffen steigen auch die Anforderungen an Unternehmen, ihre Belegschaften umfassend zu sensibilisieren. Besonders für eine Unternehmensgruppe wie die SPAR Österreichische Warenhandels AG, die mit fast 94.000 Mitarbeitenden in mehreren Ländern tätig ist und täglich hochsensible Daten verarbeitet, sind robuste Sicherheitsstandards unerlässlich. Neben den technologischen Schutzmaßnahmen rückt deshalb der Faktor „Mensch“ zunehmend in den Mittelpunkt: Nur wer die Gefahren versteht und im Alltag richtig handelt, kann die digitale Resilienz einer Organisation dauerhaft stärken.

Gleichzeitig erhöhte die neue EU-Richtlinie NIS-2 den Druck, systematische Awareness-Maßnahmen einzuführen. Pflichtschulungen im Bereich Cybersecurity waren damit unvermeidbar – doch wie lassen sich tausende Mitarbeitende aus unterschiedlichen Abteilungen, Ländern und Arbeitskontexten dafür gewinnen, sich ernsthaft und nachhaltig mit dem Thema auseinanderzusetzen?

Diese Ausgangslage war der Startpunkt für ein Projekt, das nicht nur regulatorische Anforderungen erfüllen sollte, sondern auch den Anspruch hatte, eine echte Sicherheitskultur im Unternehmen zu fördern.

Lernbedarfe

Gefahr erkannt – Risiko gebannt: Szenen wie diese trainieren Mitarbeitende darin, Zweifel offen anzusprechen und mögliche Sicherheitsvorfälle frühzeitig zu melden.

Schon die Analysephase zeigte, dass eine einfache Wissensvermittlung nicht ausreichen würde. Vielmehr brauchte es ein Lernkonzept, das nachhaltig wirkt und die Mitarbeitenden befähigt, im Arbeitsalltag sichere Entscheidungen zu treffen. Denn interne Auswertungen wiesen darauf hin, dass viele sicherheitsrelevante Vorfälle nicht auf fehlendes Grundwissen, sondern auf alltägliche Fehlentscheidungen zurückzuführen waren. Damit rückte der Aufbau von Handlungskompetenz in den Mittelpunkt – vom schnellen Erkennen verdächtiger E-Mails bis zum sicheren Umgang mit mobilen Endgeräten oder dem souveränen Verhalten in Social-Engineering-Situationen.

Die Heterogenität der Zielgruppe verstärkte diese Herausforderung zusätzlich. Office-Mitarbeitende in Verwaltung, Einkauf, Vertrieb oder IT bringen sehr unterschiedliche Vorkenntnisse und Erfahrungswerte mit. Ein Training, das allen gerecht werden sollte, musste daher praxisnah und niedrigschwellig gestaltet sein, ohne die inhaltliche Tiefe zu vernachlässigen. Zugleich galt es, Motivation zu wecken, damit eine Pflichtschulung nicht als zusätzliche Belastung, sondern als nützliches Werkzeug wahrgenommen wird.

Darüber hinaus spielte die internationale Dimension eine entscheidende Rolle. Neben der Zentrale in Österreich sollten auch Gesellschaften in den Austria SPAR International AG-Ländern (kurz: ASPIAG-Länder) Italien, Kroatien, Slowenien und Ungarn erreicht werden. Dies machte eine mehrsprachige Umsetzung notwendig, die weit über reine Übersetzungen hinausging. Begriffe, Prozesse und visuelle Szenen wurden so gestaltet, dass sie in jedem Land authentisch wirken, gleichzeitig aber eine einheitliche Linie im Gesamtkonzept gewahrt bleibt.

Nicht zuletzt waren regulatorische Vorgaben ein wesentlicher Treiber des Projekts. Mit der EU-Richtlinie NIS-2 stiegen die Anforderungen an strukturierte Awareness-Maßnahmen erheblich. Damit entstand die Notwendigkeit, ein Trainingsformat zu schaffen, das einerseits rechtskonform ist und andererseits flexibel weiterentwickelt werden kann, um zukünftigen Anforderungen gerecht zu werden.

Insgesamt ergab sich daraus ein klarer Bildungsauftrag: ein skalierbares, praxisnahes und internationales eLearning-Projekt zu konzipieren, das Sicherheitsbewusstsein stärkt, Verhalten verändert und regulatorische Anforderungen zuverlässig erfüllt.

Projektverlauf

Das Projekt startete, als die Digital-Security-Abteilung von SPAR gemeinsam mit Learning & Development und der eLearning-Agentur skillbest ein Kernteam bildete. Ziel war es, komplexe IT-Sicherheitsthemen in ein maßgeschneidertes eLearning zu übersetzen, das regulatorische Vorgaben erfüllt und gleichzeitig die Lernenden motiviert.

Zu Beginn stand eine umfassende Bedarfsanalyse: Interne Vorfälle, branchenspezifische Risiken und die Anforderungen der NIS-2-Richtlinie wurden ausgewertet. Ergänzend führten Interviews mit Mitarbeitenden zu praxisnahen Szenarien, die im Drehbuch verarbeitet wurden. Dieses verband Storytelling-Elemente mit klaren Lernzielen und diente als Grundlage für die weitere Entwicklung.

Die Umsetzungsphase folgte einem klar strukturierten Prozess. Nach der textlichen Ausarbeitung wurden visuelle Szenen entwickelt, die reale Arbeitsumgebungen nachstellten und Authentizität schufen. Parallel erfolgten Übersetzungen in fünf Sprachen, begleitet von einem strengen Reviewprozess zur kulturellen Anpassung. Prototypen wurden früh in Pilotgruppen getestet, deren Feedback direkt in die Entwicklung einfloss. So ließen sich Missverständnisse oder technische Hürden vermeiden und zugleich die Konsistenz über Länder hinweg sichern.

Ein besonderes Augenmerk lag auf der Kommunikation. Ein professionell produzierter Teaser-Film, wurde über Intranet und interne Screens verbreitet und erzeugte hohe Neugier. Ergänzend erhielten Führungskräfte Informationspakete, um die Relevanz des Trainings zu verstehen und die Mitarbeitenden auf den Online-Kurs vorzubereiten.

Der Rollout startete im Oktober 2024 in Österreich und wurde wenige Wochen später in den internationalen ASPIAG-Ländern umgesetzt. Durch die enge Zusammenarbeit zwischen IT, HR und eLearning-Agentur entstand ein Schulungsformat, das fachlich fundiert, didaktisch durchdacht und organisatorisch tragfähig ist.

Projektergebnis

Realistische Personas im Training: Als Sortimentsmanagerin trägt sie Verantwortung für Verhandlungen und Entscheidungen – genau solche Szenarien bilden die Grundlage der Cybersecurity-Trainings.

Bereits kurz nach dem Rollout wurde deutlich, dass das Projekt die gesteckten Ziele übertraf. Innerhalb weniger Wochen absolvierten mehrere tausend Mitarbeitende das Training, und die Abschlussquote lag deutlich höher als bei vergleichbaren Pflichtschulungen.

Die Rückmeldungen der Mitarbeitenden bestätigten diesen Eindruck. Besonders geschätzt wurden die realistischen Szenarien, die klare Struktur und die Möglichkeit, eigenes Verhalten direkt zu reflektieren. Auch die internationale Umsetzung erwies sich als Stärke: Durch die konsequente Lokalisierung in Sprache, visuellen Elementen und Arbeitsabläufen fühlten sich die Mitarbeitenden in allen Ländern gleichermaßen abgeholt.

Neben den qualitativen Reaktionen belegten auch die Zahlen den Erfolg. Die Reporting-Daten zeigten eine im Vergleich zu früheren Programmen schnellere Teilnahme, höhere Abschlussraten und eine intensivere Auseinandersetzung mit den Inhalten. Lernanalysen machten deutlich, dass das erworbene Wissen im Alltag Anwendung fand – vom Erkennen verdächtiger E-Mails bis zum sicheren Umgang mit sensiblen Daten. Damit leistete das Projekt nicht nur einen Beitrag zur Compliance mit der NIS-2-Richtlinie, sondern stärkte nachhaltig die digitale Resilienz des Unternehmens.

Insgesamt führte das Training zu einem deutlichen Kulturwandel: IT-Sicherheit wurde nicht mehr ausschließlich als Pflichtaufgabe wahrgenommen, sondern als praxisnahes und nützliches Werkzeug im Arbeitsalltag. Durch die Verbindung aus Storytelling, Interaktivität und Mehrsprachigkeit entstand ein Format, das Wissen verankert, Verhalten verändert und damit den Weg für weitere innovative eLearning-Initiativen ebnet.

Fazit

Für Cybersecurity Expert:innen zeigt das Projekt „Digital Security – Office Worker Standard“ eindrucksvoll, wie maßgeschneiderte eLearnings Pflichtschulungen zu einem echten Lernerlebnis werden können. Statt trockener Theorie setzte SPAR auf Storytelling, Interaktivität und realistische Szenarien – und erreichte damit nicht nur die Einhaltung regulatorischer Vorgaben, sondern vor allem eine spürbare Verhaltensänderung im Arbeitsalltag. Die hohe Teilnahmequote, das positive Feedback und die messbaren Lernerfolge belegen, dass Sicherheitstrainings dann wirksam sind, wenn sie praxisnah, motivierend und international anschlussfähig gestaltet werden.

Für L&D Manager:innen liegt die Stärke des Projekts in der Kombination aus inhaltlicher Relevanz und didaktischer Innovation. Die konsequente Mehrsprachigkeit und kulturelle Anpassung machten das Training für eine internationale Belegschaft unmittelbar zugänglich. Die enge Verzahnung von IT, HR und eLearning-Agentur wiederum zeigte, dass interdisziplinäre Zusammenarbeit entscheidend ist, wenn komplexe Themen nachhaltig vermittelt werden sollen.

Besonders hervorzuheben ist die Veränderung in der Wahrnehmung: Aus einer Pflichtaufgabe wurde ein Format, das von den Mitarbeitenden als hilfreich, praxisorientiert und wertvoll empfunden wurde. Damit hat SPAR nicht nur ein erfolgreiches Awareness-Training etabliert, sondern auch gezeigt, wie digitale Lernprojekte einen Beitrag zur Unternehmenskultur leisten können.

Für Verantwortliche im Bereich Learning & Development bietet dieses Projekt zahlreiche Anknüpfungspunkte: Es verdeutlicht, dass didaktische Kreativität, technologische Vielfalt und eine klare strategische Einbettung die Erfolgsfaktoren sind, um Lernformate zu entwickeln, die Wissen festigen, Verhalten prägen und langfristig Wirkung entfalten.

Vor dem Hintergrund der herausragenden didaktischen Umsetzung und der konsequenten Orientierung an realen Arbeitssituationen zeichnet die Jury das Projekt ‚Digital Security – Office Worker Standard (OWS)‘ mit dem eLearning AWARD 2026 in der Kategorie „Web Based Training“ und dem Schwerpunkt „Cyber Security“ aus. Herzlichen Glückwunsch!

Keytakeaways

Ausgangssituation:

  • Uneinheitliche Sensibilisierung für Cybersecurity, hohe Risiken durch Fehlentscheidungen.
  • Dringender Handlungsbedarf durch regulatorische Vorgaben (NIS-2) und internationale Heterogenität.

Projektziel:

  • Nachhaltige Verhaltensänderung im Umgang mit digitalen Risiken und Aufbau konkreter Handlungskompetenzen.
  • Einheitlicher Lernstandard für internationale Mitarbeitende und Erfüllung regulatorischer Anforderungen.

Umsetzung:

  • Storybasiertes, interaktives eLearning Konzept mit praxisnahen Szenarien, mehrsprachig lokalisiert.
  • Iterativer Entwicklungsprozess mit Pilotgruppen, Feedbackschleifen und begleitender Kommunikationskampagne.

Messung:

  • Hohe Teilnahme- und Abschlussquoten, positive Rückmeldungen und nachweisbarer Praxistransfer.
  • Lernanalysen zeigen gestärktes Sicherheitsbewusstsein und effektive Anwendung im Arbeitsalltag.

Projektverantwortliche

SPAR Business Services GmbH
DI (FH) Clemens Grill
Deputy CISO
Information & Communication Services
Europastraße 3
5015 Salzburg, Austria
www.spar-ics.com

SPAR Österreichische Warenhandels AG
Mag. Michael Fally
Leitung Digital Learning & Development (konzernal)
michael.fally@spar.at
Europastraße 3
5015 Salzburg, Austria
www.spar.at

skillbest GmbH
DI Günther Veit, MSc
Geschäftsführer
guenther.veit@skillbest.com
Schillerstrasse 28
8010 Graz, Austria
www.skillbest.com