Sicherheitskultur als Lernreise
Gemeinsam Verantwortung übernehmen

Informationssicherheit ist mehr als Technik – sie ist Teil einer global gelebten Kultur. Für die GIZ und EY Consulting bedeutete das, ein globales Lernprogramm zu entwickeln, das Wissen, Haltung und Handeln verbindet. Das Ergebnis: eine gemeinsame Reise hin zu einer Sicherheitskultur, die weltweit wirkt.

Die Digitalisierung macht Informationssicherheit zu einer zentralen Aufgabe für Organisationen. Daten bilden das Rückgrat moderner Arbeitsprozesse – und zugleich steigt die Gefährdung durch die damit einhergehenden Risiken. Für die Gesellschaft für Internationale Zusammenarbeit (GIZ) war klar: Sicherheit muss im Alltag verankert werden. Um den Anforderungen gerecht zu werden, startete die GIZ mit Unterstützung der EY Consulting (EY) ein mehrjähriges Programm zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001. EY unterstützte die GIZ mit ISMS-Expertise und einem Sensibilisierungsprogramm, das Trainings sowie Kommunikations- und Awarenessmaßnahmen umfasste.

Im Zentrum der Sensibilisierung für Informationssicherheit stand ein Lernprogramm, das die menschliche Dimension der Informationssicherheit in den Mittelpunkt stellt. Ziel war es, ein Sicherheitsbewusstsein nicht nur technisch, sondern auch organisatorisch und kulturell zu verankern. Für dieses Teilprojekt unterstützte EY im Zeitraum 2022 – 2025 sehr umfassend. So wurde aus einem abstrakten Thema ein Sensibilisierungsprogramm für Informationssicherheit: ein praxisnaher Lernprozess, der Mitarbeitende weltweit erreicht und die Basis für eine gelebte Sicherheitskultur schafft.

Es sollte Schutzmaßnahmen nicht nur technisch, sondern auch menschlich und organisatorisch verankern – durch Wissen, Bewusstsein und gemeinsames Handeln. Damit legte die GIZ mit Unterstützung von EY den Grundstein für einen organisationsweiten Lernprozess, in dem Informationssicherheit verstanden, akzeptiert und im täglichen Handeln gelebt wird.

Clean Desk. Clear Mind. Safe Data.: Ein visuelles Beispiel aus der Kampagne „Clean Desk“ zeigt, wie physische Ordnung zum digitalen Schutz beiträgt.

Lernbedarfe

Die Grundlage für das Programm war eine präzise Analyse der Lernbedarfe. Die GIZ stand hierbei vor besonderen Herausforderungen: internationale Teams, unterschiedliche technische Voraussetzungen und vielfältige kulturelle Arbeitsumgebungen sowie sich häufig ändernde Kontexte. Entsprechend unterschiedlich waren die Vorerfahrungen der Mitarbeitenden im Umgang mit Informationssicherheit. Ziel der Analyse war es, Informationssicherheit nicht nur als Pflicht, sondern als gelebte Praxis zu verankern. Dafür wurde ein strukturierter Prozess zur Identifikation von Schulungsbedarfen etabliert. Gemeinsam identifizierten die Teams von GIZ und EY relevante Anforderungen, vor allem aus ISO/IEC 27001 und BSI IT-Grundschutz, und leiteten daraus Inhalte für ein bedarfsgerechtes Lernprogramm ab. Die Bedarfsanalyse erfasste Zielgruppen, regionale Kontexte, bestehende Formate und den aktuellen Wissensstand. Basierend auf der Analyse wurden Lernziele definiert, die praxisnah und anschlussfähig sind. Diese wurden regelmäßig mit Evaluationsergebnissen, informationssicherheitsrelevanten Vorfällen und Feedback aus der täglichen Arbeit abgeglichen. Die Ergebnisse zeigten: Es geht nicht nur um Wissen, sondern um ein gemeinsames Verständnis für den Wert von Informationssicherheit. So entstand ein Prozess, der kontinuierliche Weiterentwicklung ermöglicht.

Projektverlauf und -ergebnis

Nach Abschluss der Bedarfsanalyse begann die Entwicklung der einzelnen Trainingsmaßnahmen und parallele Konzeption von umfassenden Learning Journeys für die relevanten Zielgruppen. Jede Trainingsentwicklung startete mit einem Kick-off zur Abstimmung von Zielgruppen, Inhalten und Terminen. Die Umsetzung folgte einem strukturierten Prozess mit Meilensteinen – von der Bedarfsanalyse über die Konzeption bis zur Evaluation. Im Mittelpunkt stand dabei immer, Informationssicherheit als festen Bestandteil der Unternehmenskultur zu etablieren.

Das Projektteam setzte sich aus Mitarbeitenden aus dem ISMS-Team, fachlichen Ansprechpartnern für das Teilprojekt (Awareness, Communication und Training: ACT), Kolleg:innen der GIZ internen Akademie für internationale Zusammenarbeit (AIZ) sowie dem Team von EY zusammen. Das ISMS-Team steuerte das notwendige Fachwissen bei, das ACT-Team koordinierte die Trainings- und Kommunikationsstrategie und entwickelte gemeinsam mit EY zielgruppenspezifische Inhalte und Formate. EY brachte die Expertise in Didaktik, Design, Kommunikation und Medienproduktion ein und entwickelte verschiedenste interaktive Lernformate. Dies wurde kombiniert mit der Fachexpertise von erfahrenen ISMS-Beratern der EY. Die AIZ verantwortete die organisatorische Durchführung, Betreuung der Lernplattform sowie die Qualitätssicherung.

Durch übergreifende Bedarfsanalysen wurden sechs Zielgruppen definiert, die jeweils eine eigene Learning Journey erhielten. Jede Learning Journey kombinierte unterschiedliche Formate – vom interaktiven WBT über Workshops bis hin zu Social Learning und Gamification Elementen – und startete mit dem verpflichtenden Web Based Training für alle Mitarbeitenden zum Thema Informationssicherheit. Um einen niederschwelligen und übersichtlichen Zugang für die Lernenden zu ermöglichen, sind die Learning Journeys auf einer zentralen Intranetseite abgebildet mit nur einem Klick im Portal der AIZ aufrufbar.

Im gesamten Zeitraum wurden mehr als vierzehn Formate modular und mehrsprachig entwickelt, um alle Zielgruppen weltweit zu erreichen. Das verpflichtende WBT erreichte alle 24.000 Mitarbeitenden in vier Sprachen. Interaktive Formate wie Quizze förderten den Praxistransfer. Rückmeldungen aus Pilotphasen flossen in die kontinuierliche Verbesserung ein – ein Prozess, der Qualität und Relevanz sicherte. Parallel dazu wurden Kommunikationsmaßnahmen wie Kampagnen, Poster und Videos integriert, um Sichtbarkeit und Akzeptanz zu erhöhen. Diese Kombination aus Training und Kommunikation etablierte eine neue Lern- und Sicherheitskultur, die heute als fester Bestandteil des ISMS-Betriebs verankert ist.

Der Lernpfad eines ISOs – neun Trainings zur Informationssicherheitsexpertise: Die Learning Journey zeigt zentrale Stationen für Information Security Officers – von Grundlagen über Audits bis hin zu Risikomanagement und Incident Response. So wird Informationssicherheit Schritt für Schritt greifbar.

Die Ergebnisse sprechen für sich: Informationssicherheit ist Teil der Unternehmenskultur der GIZ. 76 Prozent der Mitarbeitenden absolvierten das verpflichtende Training im ersten Jahr, 93 Prozent würden es weiterempfehlen. Über 800 Rückmeldungen zeigen hohe Akzeptanz und liefern Impulse für die Weiterentwicklung. 97 Prozent der Teilnehmenden verstehen Bedrohungen und handeln entsprechend vorsichtig, 91 Prozent schützen persönliche und interne Informationen aktiv. Diese Kennzahlen belegen den erfolgreichen Lerntransfer und die hohe Akzeptanz des Programms.

 

Ein besonderer Meilenstein war die erfolgreiche ISO/IEC 27001-Zertifizierung. Sie bestätigt, dass organisatorische Sicherheit und menschliches Verhalten untrennbar verbunden sind – und nachhaltige Veränderung nur gelingt, wenn beide Ebenen zusammenspielen. GIZ und EY Consulting haben gemeinsam gezeigt, wie ein ganzheitlicher Ansatz aus Training, Kommunikation und Change Management die entsprechende Awareness und Sachkenntnis beisteuern können, um eine globale Sicherheitskultur zu schaffen. Das Programm ist heute skalierbar, modular und mehrsprachig – ideal für die internationale Struktur der GIZ. Es liefert nicht nur messbare Ergebnisse, sondern auch eine Blaupause für die kontinuierliche Weiterentwicklung von Lern- und Sicherheitsstrategien.

Fazit

Das Sensibilisierungsprogramm zur Informationssicherheit hat eindrucksvoll gezeigt, wie aus einem gemeinsamen Lernanliegen eine nachhaltige Veränderungskultur entstehen kann. Aus Wissen wurde Bewusstsein, aus Vorgaben gemeinsames Handeln. Was als Pflichtaufgabe begann, entwickelte sich zu einem Lernprozess, der Wissen und Haltung stärkt und zeigt, dass Informationssicherheit dann lebendig wird, wenn sie im Alltag integriert und von allen mitgetragen wird.

Das Programm war inhaltlich, organisatorisch und kulturell ein Erfolg. Es trug zur erfolgreichen ISO/IEC 27001-Zertifizierung bei und etablierte eine neue organisationsweite Lern- und Kommunikationskultur. Die Zusammenarbeit zwischen GIZ und EY Consulting erwies sich als entscheidender Faktor: Fachliche Expertise und methodische Kompetenz wurden wirkungsvoll mit den internen Strukturen der GIZ verzahnt.

Besonders gut funktionierte der ganzheitliche Ansatz: Kommunikation, Training und Change Management wurden eng miteinander verbunden, wodurch Synergien entstanden, und eine konsistente Umsetzung gelang. Die zielgruppenspezifische Ansprache stellte sicher, dass alle Mitarbeitenden erreicht wurden – von Führungskräften bis zu Information Security Officers. Authentizität spielte eine zentrale Rolle: Kolleg*innen als Expert*innen erhöhten Glaubwürdigkeit und Relevanz. Das iterative Vorgehen mit systematischem Feedback sorgte für kontinuierliche Verbesserung. Dank modularer, mehrsprachiger Formate war das Programm ideal für die internationale Struktur der GIZ.

Auch die strukturelle Verankerung im ISMS belegt, dass die Wirkung weit über das Projekt hinausreicht. Neue Themen wie Cloud-Security oder Social Engineering werden künftig nahtlos in das bestehende Lernkonzept integriert. Die globale Umsetzung hat verdeutlicht, wie sich eine gemeinsame Sicherheitskultur über Länder- und Zeitzonen hinweg etablieren lässt. Weitere Fachbereiche haben sich von den positiven Erfahrungen inspirieren lassen und eigene Lernformate entwickelt – ein deutliches Zeichen dafür, dass Informationssicherheit zunehmend als gemeinsame Verantwortung verstanden wird. So entstand ein Lernökosystem, das Informationssicherheit dauerhaft im Bewusstsein der Mitarbeitenden verankert.

Das gemeinsame Engagement von GIZ, EY und der AIZ hat eine Grundlage geschaffen, auf der Informationssicherheit langfristig wachsen kann – getragen von Wissen, Verantwortung und Vertrauen. Heute ist sie nicht mehr nur ein Thema der IT, sondern Teil einer lernenden Organisation. Mit ihrem Beitrag zu einer gelebten Sicherheitskultur und der Verbindung von Lernen, Haltung und Verantwortung erhalten die Projektpartner den eLearning AWARD 2026 in der Kategorie „Learning Journey“ mit dem Schwerpunkt „Sicherheitskultur“. Herzlichen Glückwunsch!

Keytakeaways

Ausgangssituation:

  • Informationssicherheit war bekannt, aber nicht im Alltag verankert.
  • Dezentralität und kulturelle Vielfalt erschwerten einheitliche Sicherheitskultur.

Projektziel:

  • Aufbau einer gelebten Sicherheitskultur durch Lernen und gemeinsame Verantwortung.
  • Verbindung von technischer, menschlicher und organisatorischer Sicherheit.

Umsetzung:

  • Entwicklung eines globalen Lernprogramms mit Blended Learning, Social Learning und Storytelling.
  • Enge Zusammenarbeit von GIZ, EY Consulting, AIZ und ISMS-Team.

Messung:

  • Über 70 % Teilnahme, 93 % Weiterempfehlungen, messbar gestiegenes Sicherheitsbewusstsein.
  • ISO/IEC 27001-Zertifizierung als Bestätigung nachhaltiger Wirkung.

Projektverantwortliche

Deutsche Gesellschaft für Internationale Zusammenarbeit GmbH
Andrea Joras
Abteilungsleitung Informationssicherheits- und Datenschutzmanagement
andrea.joras@giz.de
Friedrich-Ebert-Allee 32 + 36
53113 Bonn
www.giz.de

 

 

EY Consulting GmbH
Tim Schiffler
Senior Manager, People Consulting
tim.schiffler@de.ey.com
Bismarck-Allee 15
79098 Freiburg im Breisgau
www.ey.com/de