Gestaltungeffektive IT-Sicherheit erfordert die Berücksichtigung der Fähigkeiten der nicht fachkundigen Nutzer. Leider sind dabei die Anforderungen an die Nutzer oft unrealistisch. Den Nutzern wird unsicheres Verhalten vorgeworfen, ohne zu fragen: sind sie überhaupt in der Lage, sich „sicher“ zu benehmen? Statt der zum Scheitern verurteilten Versuche, die Nutzer durch Sensibilisierung und Schuldzuweisung an die IT-Systeme anzupassen, sollen die IT-Systeme an die Nutzer angepasst werden. Wie das gelingen könnte, wird in diesem Vortrag dargestellt.