Security Awareness Trainings (SAT) werden mittlerweile in jeder Organisation eingesetzt. Das ist einerseits richtig und wichtig, da technische Schutzmaßnahmen nicht gegen allzu menschliche Ausrutscher schützen. Andererseits greifen reine Trainingsprogramme und E-Learnings zu kurz: Häufig sind es Aussagen wie "Ich werde sowieso nicht angegriffen" oder "Wir haben doch eine IT-Abteilung" die von einem problematischen Mindset zeugen. Daher dürfen SAT nicht nur auf das Skillset von Nutzern ausgelegt, sondern müssen vielmehr auch das Mindset der Eigenverantwortung stärken. In diesem Vortrag gehe ich darauf ein, wie man eine nachhaltige Sicherheitskultur aufbaut, indem man das Mindset in den Fokus stellt.