Cybersicherheit und Compliance waren schon immer in einer Sache gut: Unsicherheit in Struktur zu verwandeln.
Wir nehmen etwas Abstraktes – die Bedrohung – und machen sie kontrollierbar. Wir ordnen Wahrscheinlichkeit und Auswirkungen zu, definieren Verantwortlichkeiten, implementieren Kontrollmechanismen und überwachen kontinuierlich. Im Laufe der Zeit hat diese Vorgehensweise das Cyberrisiko von etwas Immateriellem in etwas verwandelt, das Organisationen aktiv steuern können.
Burnout findet in den meisten Risikoregistern keinen Eingang, obwohl es weit verbreitet, messbar und zunehmend gut verstanden ist. Es beeinträchtigt die Leistung in Positionen, in denen kleine Fehler überproportionale Konsequenzen haben. Das ist kein Versäumnis, sondern spiegelt eine Lücke in der Risikodefinition von Organisationen wider.
Die Annahme, über die wir nicht sprechen
Die meisten Sicherheits- und Compliance-Modelle basieren auf einer stillschweigenden Annahme: dass die Personen, die sie bedienen, über volle kognitive Leistungsfähigkeit verfügen.
Konsequent.
Allein in Großbritannien Schlechte psychische Gesundheit kostet Arbeitgeber mittlerweile jährlich 51 Milliarden Pfund.Jährlich gehen über 22 Millionen Arbeitstage durch Stress, Angstzustände und Depressionen verloren. Fast Die Hälfte der Personalverantwortlichen sieht Burnout mittlerweile als größtes Geschäftsrisiko für 2026.In Technologieberufen, Bis zu 82 % der Angestellten geben an, kurz vor dem Burnout zu stehen..
Vor diesem Hintergrund erscheint die Annahme einer konstant hohen menschlichen Leistungsfähigkeit weniger als Grundvoraussetzung, sondern vielmehr als Schwachstelle.
Die Psychologin Maria Drakoula formulierte es so: „Organisationen gehen von perfekten Leistungen ihrer Mitarbeiter aus, was prinzipiell ein Sicherheitsrisiko an sich darstellt.“
Die meisten Sicherheitsframeworks sind für eine Belegschaft ausgelegt, die unter Volllast arbeitet. Eine solche Belegschaft existiert nicht.
Burnout, neu interpretiert als Risiko
Wenn Unternehmen Burnout mit der gleichen Disziplin behandeln würden wie andere operationelle Risiken, sähe die Diskussion meiner Meinung nach ganz anders aus. Und sie würde, wie alle Risikodiskussionen, mit der Wahrscheinlichkeitsrechnung beginnen.
In den Bereichen Technologie und Sicherheit ist Burnout kein Randphänomen oder eine periodische Spitze; es ist ein anhaltendes Problem. ISACA-Forschung Eine Studie ergab, dass 73 % der europäischen IT-Fachkräfte arbeitsbedingten Stress oder Burnout erlebt haben, während eine andere Studie ergab, dass 91 % der CISOs berichten von einem mittleren oder hohen Stressniveau.In Großbritannien etwa Vier von fünf Angestellten geben an, kurz vor dem Burnout zu stehen., mit einem höheren Anteil an technischen Berufen.
Dies ist kein Extremrisiko. Es ist Teil des Betriebsumfelds.
Die Auswirkungen sind konkreter, als oft angenommen wird. Burnout beeinträchtigt drei zentrale Sicherheitsfaktoren: Aufmerksamkeit, Urteilsvermögen und Motivation. Wenn diese nachlassen, sinkt auch die Wirksamkeit der Kontrollmechanismen. Anfangs nicht dramatisch, sondern schleichend: verpasste Warnmeldungen, langsamere Entscheidungen, kleine Fehler, uneinheitliche Prozessbefolgung.
Der kumulative Effekt ist messbar. Unter schlechten psychischen Bedingungen kann die Produktivität um bis zu 35 % sinken.Durch stressbedingte Ineffizienz verlieren die Angestellten fast fünf Stunden pro Woche. Präsentismus: Menschen arbeiten, obwohl sie krank sind; kostet Unternehmen zwei- bis dreimal so viel wie Abwesenheit.
Nichts davon lässt sich eindeutig der Kategorie „Wohlbefinden“ zuordnen. Es handelt sich vielmehr um eine Beeinträchtigung der menschlichen Ebene innerhalb der Kontrollumgebung.
Burnout entsteht nicht durch ein einzelnes Ereignis. Kurze Belastungsspitzen, Auditzyklen und schwerwiegende Vorfälle sind bewältigbar. Halten diese Bedingungen jedoch an, werden sie zur strukturellen Belastung. Insbesondere Sicherheitsteams arbeiten unter Dauerlast: ständige Alarme, periodische Auditspitzen und reaktive Reaktionsmodelle. Mit der Zeit führt dies zu vertrauten Mustern, Alarmmüdigkeit, kognitiver Überlastung und Prozessabkürzungen. Das System mag zwar weiterhin Audits bestehen und konform erscheinen, aber seine Zuverlässigkeit nimmt ab.
Was es bedeuten würde, dies ernst zu nehmen
Die Anerkennung von Burnout als erstklassiges Risiko würde kein neues Rahmenwerk erfordern. Es würde genügen, das bereits existierende zu nutzen.
Ein Burnout-Risikoregister würde sich nahtlos in die Reihe anderer operationeller Risiken einfügen. Es würde die Bedingungen, die ein Burnout-Risiko begünstigen, in klaren Worten beschreiben: anhaltend hohe Arbeitsbelastung, fragmentierte Tools, durch Audits bedingte Spitzenwerte und unterbesetzte Teams. Es würde Frühindikatoren erfassen, nicht nur Fehlzeiten oder Fluktuation, sondern auch Signale, die operativen Führungskräften bereits bekannt sind:
- steigende Rückstände und ungelöste Warnmeldungen
- Erhöhung der Fehlerraten oder Nacharbeit
- Über die vertraglich vereinbarten Arbeitszeiten hinausgehende verlängerte Arbeitszeiten
- abnehmendes Engagement in kritischen Prozessen
Die folgenden Bedienelemente sehen ebenfalls bemerkenswert vertraut aus:
- Arbeitslast- und Kapazitätsmodellierung an bekannten Risikozyklen ausgerichtet
- Anpassung und Priorisierung von Alarmen zur Reduzierung von Störungen
- Automatisierung sich wiederholender, geringwertiger Aufgaben
- klarere Zuständigkeiten in fragmentierten Systemen
- eine Verlagerung von spitzenwertbasierten Audits hin zu kontinuierlicheren Ansätzen
Ziel ist es nicht, Burnout zu pathologisieren oder auf eine Kennzahl zu reduzieren. Vielmehr geht es darum, Burnout sichtbar zu machen, Verantwortung dafür zu übernehmen und es steuerbar zu gestalten – genau wie Organisationen es bereits mit jedem anderen Risiko tun, das diese Verbreitung und diese Folgen hat.
Burnout als Risikofaktor
Ich glaube, einer der Gründe, warum Burnout weiterhin unzureichend behandelt wird, ist, dass es selten als isoliertes Versagen auftritt. Es verstärkt andere Risiken.
Wie Maria Drakoula hervorhebt, „beeinträchtigt Burnout Aufmerksamkeit, Urteilsvermögen und Motivation und öffnet damit nicht nur menschlichem Versagen, sondern im Extremfall auch böswilligem Verhalten Tür und Tor.“ Im Bereich der IT-Sicherheit bedeutet dies bekannte Fehlermodi:
- Anfälligkeit für soziale Manipulation, wo Müdigkeit und Dringlichkeit aufeinandertreffen
- Fehlkonfigurationen, die durch kognitive Überlastung oder überstürzte Entscheidungen verursacht werden
- Alarmmüdigkeit führt dazu, dass Bedrohungen übersehen oder abgetan werden.
- Abkürzungen bei der Zugangskontrolle unter Druck
- Mängel bei der Einhaltung von Prozessen
Einzeln betrachtet sind diese Faktoren bekannt. Zusammen ergeben sie ein Muster. Burnout birgt keine neuen Risiken. Er erhöht lediglich die Wahrscheinlichkeit für bereits bestehende Risiken.
Systeme, nicht Einzelpersonen
Burnout als individuelles Problem der persönlichen Resilienz, Bewältigungsstrategien und des Wohlbefindens zu betrachten, verlagert die Ursache aus dem System und der Steuerung auf die Person. Das ist eine bewusste Entscheidung – und zwar die falsche. Die treibenden Kräfte: Auditmodelle, die zu nicht tragbaren Belastungsspitzen führen, Tools, die Arbeitsabläufe fragmentieren und den manuellen Aufwand erhöhen, Betriebsmodelle, die von ständiger Verfügbarkeit ausgehen, und Compliance-Ansätze, die reaktiv statt kontinuierlich bleiben – all das ist fest in der Steuerung verankert.
Das sind Designentscheidungen. Und Designentscheidungen sind steuerbar.
Remote und verteiltes Arbeiten hat nicht nur das Auftreten von Burnout verändert, sondern auch dessen Art und Weise. Maria Drakoula betont: „Isolation in Verbindung mit kognitiver Belastung schafft Bedingungen, unter denen Fehler entstehen, sich ausbreiten und länger unentdeckt bleiben können.“ Aus Sicherheitssicht ist dies weniger ein Kulturproblem als vielmehr ein Problem der Erkennung und der Resilienz. Das Risiko besteht nicht darin, dass Menschen remote arbeiten, sondern darin, dass das System weniger natürliche Kontroll- und Korrekturpunkte bietet.
Das umfassendere Designproblem
Dies knüpft an eine grundlegendere Diskussion darüber an, wie Organisationen Risiken insgesamt managen. Dieselben Organisationen, die niemals auf die Idee kämen, ein einziges jährliches Sicherheitsaudit durchzuführen und dies als kontinuierliches Risikomanagement zu bezeichnen, gehen mit ihren Mitarbeitern genauso um: mit einer jährlichen Mitarbeiterbefragung, einer Gesundheitswoche und einem einmaligen Schulungszyklus.
Die Logik der kontinuierlichen Überwachung, die für Informationssicherheit, Datenschutz und KI-Governance gilt, findet auch hier Anwendung. Die menschliche Leistungsfähigkeit ist ein Kontrollfaktor. Sie nimmt ab. Sie muss modelliert und nicht nur beobachtet werden. Informationssicherheit, Datenschutzverpflichtungen und KI-Governance werden als ein vernetztes, kontinuierliches System verwaltet. Statt punktueller Maßnahmen werden Organisationen dadurch tatsächlich schwerer zu stören. Die Übertragung dieser Logik auf die menschliche Ebene des Kontrollumfelds ist kein großer Schritt. Es ist dasselbe Prinzip, konsequent angewendet.
Die Frage nach der Führung
Sicherheitsverantwortliche tragen bereits die Verantwortung für die Wirksamkeit der Kontrollmaßnahmen, die Einhaltung gesetzlicher Vorschriften und die operative Resilienz. Burnout überschneidet sich mit allen drei Bereichen. Doch tritt es selten innerhalb derselben Führungsstrukturen auf, wodurch eine kritische Abhängigkeit von der menschlichen Leistungsfähigkeit entsteht, die weitgehend als gegeben hingenommen, aber nicht aktiv gesteuert wird.
Die wichtigere Frage lautet nicht: Wie können wir Burnout reduzieren? Sondern: Wo in unserem Kontrollumfeld verlassen wir uns auf nachhaltige menschliche Leistungsfähigkeit, für die wir keine strukturierte Methode zur Modellierung oder Steuerung haben?
Eine ehrliche Antwort auf diese Frage zeigt, wie kontinuierliches Risikomanagement in der Praxis aussieht. Keine jährliche Überprüfung. Keine Maßnahme zur Förderung des Wohlbefindens. Sondern eine strukturierte, eigenverantwortliche und überwachte Abhängigkeit, wie jede andere im System.
Die Cybersicherheit hat sich weiterentwickelt, indem man gelernt hat, Systeme zu entwerfen, die auch im Falle von Ausfällen widerstandsfähig bleiben – mit einer Ausnahme: Wir entwickeln Systeme immer noch so, als sei die menschliche Komponente stabil, konsistent und unendlich anpassungsfähig. Das ist sie aber nicht.
Wenn Burnout dieselben Eigenschaften wie ein traditionelles Cyberrisiko hätte – hohe Prävalenz, messbare Auswirkungen und mit der Zeit zunehmende Risiken –, wäre es bereits modelliert, überwacht und verantwortet. Dass dies nicht der Fall ist, macht es nicht weniger real.
Das bedeutet lediglich, dass die Entscheidung, es unkontrolliert zu lassen, selbst eine Risikoentscheidung ist. Eine, die die meisten Organisationen nicht bewusst getroffen haben.
Erweitern Sie Ihr Wissen
Blog: Cybersicherheit kämpft gegen eine psychische Gesundheitskrise – so lässt sie sich lösen
