Wenn der Mensch zur größten Sicherheitslücke wird
Die Sicherheitslandschaft verändert sich drastisch. Angreifer zielen heute nicht mehr auf technische Schwachstellen – seit einiger Zeit sind wir Menschen das Ziel. Nicht nur die Sorglosen und Nachlässigen, alle. Die britische Speditionsfirma KNP Logistics Group, gegründet bereits 1865, erlitt im Juni 2024 einen verheerenden Angriff mit Ransomware, ausgeführt von der Gruppe Akira, und musste nur einen Monat später endgültig schließen. Eine kleine Nachlässigkeit – ein schwaches Passwort – löste eine Kettenreaktion aus, die 700 Mitarbeitern die Existenz kostete. Deshalb informierte der Direktor den unachtsamen Angestellten nach kurzem Überlegen nicht über dessen Schuld und sagte: „Würden Sie wirklich wissen wollen, dass Sie an so etwas schuld sind?“
Viele Fische, noch mehr Haken
Schwache Passwörter sind nicht das einzige Beispiel einer Achillesferse. Hinzu kommen Phishing – in Slowenien wurden im vergangenen Jahr 1.583 Fälle registriert –, CEO-Betrug (inklusive Einschleusen in Geschäftskommunikation, 64 Fälle), Fake-Support-Anrufe (16 Fälle) und andere Fallen, die weltweit arglosen Mitarbeitern gestellt werden. Doch laut Statistik ist seit Jahren Phishing das größte Problem. Warum ist das so?
Die Erklärung ist teilweise psychologischer Natur. Doc. Dr. David Modic von der Fakultät für Informatik der Universität Ljubljana meint, die Antwort sei breit und komplex: „Es ist sinnvoll, den Phishing-Angriff wie klassische Musik in mehrere Schritte zu zerlegen. Zunächst gibt es die Ouvertüre – wie weckt man das Interesse des Einzelnen? Also: Was muss der Angreifer schreiben, wie die Filter umgehen, wie den Empfänger überzeugen, die Mail überhaupt zu öffnen.“
Angreifer kennen unsere Schwächen
Laut Modic wirken in dieser Phase am besten Mechanismen, die mit „sensation seeking“ verbunden sind: „Es gibt zwei Ansätze – entweder bietet uns der Hacker etwas, das uns reizt, etwa eine Beförderung, leichtes Geld, attraktive Personen. Oder er erzeugt Bedrohung, die sofortiges Handeln verlangt – ein Einbruch in den Rechner, eine sofortige Passwortänderung, die Bitte um Hilfe von jemandem, der uns wichtig ist.“ Der zweite Teil sei die eigentliche Nachricht. Sie müsse verhindern, dass der Empfänger zu viel nachdenkt. Hier greifen Mechanismen wie Vorannahmen, Wunsch nach Konsistenz oder Selbstkontrolle. Der letzte Teil ist das „post mortem“ – die Folgen verhindern. „Eine Methode ist, das Opfer zu etwas Beschämendem oder Illegalem zu bewegen, um dann sein Schweigen zu erzwingen“, erklärt Modic.
Der Mensch umgeht die Technik
Der zertifizierte Sicherheitsexperte (CISSP) Žiga Humar vom Unternehmen Our Space Appliances nennt weitere Gründe: „Hohe Profitabilität im Vergleich zum geringen Risiko der Entdeckung, staatliche Akteure, die so Budgets füllen, bis hin zur Industriespionage.“ Jeder könne Hacker werden, wenn er bereit sei, ein paar Jahre zu investieren – KI-Tools erleichtern das erheblich. Daher müssen Organisationen Verteidigungswälle bauen – technologisch, prozessual und menschlich. „Selbst die beste technische Lösung nützt nichts, wenn Angestellte unbewusst helfen, Barrieren zu überwinden – etwa beim Diebstahl von Zugangsdaten und Tokens für die Multifaktor-Authentifizierung in der Cloud“, betont Humar.
Training, das Kultur verändert
Mit der Zeit wurde klar: Nur technische Mittel reichen nicht. Cybersicherheit ist interdisziplinär – eine Mischung aus Technik, Organisation und Bildung. Our Space Appliances setzt daher auf Verhaltensänderung. Humar leitet interaktive Schulungen: „Wir führen Workshops live in Gruppen bis 20 Mitarbeiter durch, interaktiv und erfahrungsbasiert.“ Die Teilnehmer erhalten Unterlagen in Präsentationsform, die später verteilt werden. „Am Ende müssen alle ein Online-Quiz lösen, um das Wissen zu prüfen. So stellen wir sicher, dass die Teilnehmer die Sache ernst nehmen.“ Behandelt werden Themen wie Phishing, Ransomware, Social Engineering, sicheres Browsen, Passwort-Management und Geräteschutz. Ziel ist nicht nur Erkennen, sondern richtig reagieren.
Psychologie der Opfer
Warum klicken Mitarbeiter trotz Warnungen noch immer? Die Psychologie spielt mit. Studien zeigen: Stress, Zeitdruck oder Informationsflut erhöhen die Anfälligkeit. Doch Modic widerspricht teilweise: „Niemand ist anfälliger, aber Entscheider sind meist technisch besser geschützt. Deshalb attackieren Täter oft Personen knapp unterhalb der Führungsebene, um dann weiter vorzudringen.“ Und Stress? „Erschöpfung ist ein starker Faktor für Fehlentscheidungen. Unternehmen, die Burn-out vorbeugen, sind seltener schwer getroffen“, so Modic. „Natürlich werden auch sie angegriffen. Aber motivierte Mitarbeiter melden mehr und helfen dem Unternehmen.“
Der richtige Umgang durch Praxis
Beliebte Ziele sind Buchhalter, Sekretariate und Manager – sie haben mehr Zugang zu kritischen Systemen. Am wirksamsten sind praktische Beispiele, sagt Humar: „Die erste Phishing-Simulation erwischt die meisten. Danach präsentieren wir Ergebnisse, zeigen Warnsignale und wie viele gemeldet haben.“ Mit jeder Simulation verbessert sich das Ergebnis. „Nach einigen Wiederholungen sind es so wenige, dass wir gezielt einzelne Abteilungen attackieren. Das simuliert reale Angreifer – und erhöht wieder die Zahl der Opfer.“ Es gibt auch Profile, die fast immer scheitern. „Unzureichend geschulte, aber auch selbstsichere, hochgebildete Mitarbeiter, die meinen, ihnen könne nichts passieren“, so Modic. Ein weiteres Problem sei übermäßiges Vertrauen in Technik: „Führungskräfte glauben oft, große Investitionen in Technik garantieren Sicherheit. Das stimmt nicht. Unternehmen, die auch in Menschen investieren, reagieren schneller und begrenzen Schäden – vor allem beim Ruf.“
Firmen zeigen: Investitionen in Schulungen rechnen sich. Nach Workshops wie bei Our Space Appliances erkennen 70 Prozent mehr Mitarbeiter simulierte Angriffe. Das bedeutet weniger Vorfälle, weniger Kosten, weniger rechtliche Risiken, höhere Resilienz. Humar ergänzt: „Ohne Workshops bleibt das Erkennen zufällig und Einzelnen überlassen. Mit Workshops schaffen wir den ‚Goldstandard‘ – das Minimum an Wissen, um Angriffe abzuwehren. So bauen wir eine Sicherheitskultur, die alle Entscheidungen durchdringt. Studien zeigen: Organisationen mit kontinuierlichem Awareness-Programm haben 65 Prozent geringere Wahrscheinlichkeit, Opfer eines erfolgreichen Cyberangriffs zu werden.“ Auch Modic stimmt zu: „Sicherheitskultur darf nicht isoliert sein. Integration, Wissen, Energie für Reaktionen und Zugehörigkeit zum Unternehmen mindern Angriffe und begrenzen Schäden.“ Und er warnt vor falschem Ansatz: „Man kann Menschen zwingen oder überzeugen. Langfristig wirkt Überzeugung besser. Zwang führt nur zu kreativem Widerstand oder zur Kündigung.“
