In der digitalisierten Wirtschaft zählen Ransomwareangriffe, technische Fehler und menschliches Fehlverhalten zu den größten Cyberrisiken für Unternehmen. Diese Risiken sind nicht nur persistent, sondern entwickeln sich stetig weiter, wie das Allianz Risk Barometer 2025 unterstreicht. Cyberrisiken werden darin weltweit als größte Geschäftsgefahr eingestuft, noch vor Betriebsunterbrechungen und Naturkatastrophen. Während technische Schutzmaßnahmen kontinuierlich verbessert werden, bleibt der Faktor Mensch eine zentrale Herausforderung und ein entscheidender Bereich für die Stärkung der Cyberabwehr.
Der Verizon Data Breach Investigations Report 2024 zeigt, dass menschliches Verhalten in 68% aller Sicherheitsvorfälle eine Rolle spielt. Selbst modernste Firewalls und andere Abwehrmechanismen können umgangen werden, wenn Mitarbeiter auf schädliche Links klicken oder unbeabsichtigt vertrauliche Informationen preisgeben. Angreifer nutzen zunehmend den Menschen als „Einfallstor“, da IT-Systeme immer komplexer werden. Phishingangriffe sind dabei besonders schnell erfolgreich: Oft genügen weniger als 60 Sekunden, bis Nutzer nach dem Öffnen einer betrügerischen E-Mail vertrauliche Informationen preisgeben.
Gleichzeitig sind Mitarbeiter ein wichtiger Schutzfaktor für Unternehmen. Mit der richtigen Sensibilisierung können sie Angriffe erkennen und abwehren. Dieses Spannungsfeld verdeutlicht die Notwendigkeit, gängige Angriffsmethoden, menschliche Schwächen und wirksame Gegenmaßnahmen zu analysieren.
Typische Angriffsmethoden und Schwachstellen
Cyberkriminelle nutzen vielfältige Methoden, um gezielt den Faktor Mensch anzugreifen. Social Engineering steht dabei an vorderster Stelle: Menschliche Eigenschaften wie Vertrauen, Angst, Neugier oder Hilfsbereitschaft werden ausgenutzt, um an vertrauliche Informationen zu gelangen. Unter diesem Begriff verbirgt sich eine Vielzahl an Techniken. Ein Klassiker ist das Phishing, bei dem mittels gefälschter E-Mails oder Websites versucht wird, Zugangsdaten zu erlangen. Verschiedene Phishingvarianten wie Spear-Phishing, Whaling, Smishing und Vishing zielen auf unterschiedliche Medien und Zielgruppen ab. Ergänzt wird dieses Arsenal digitaler Täuschungen durch analoge Praktiken wie Tailgating, bei dem unbefugte Personen physischen Zugang erlangen, indem sie einer berechtigten Person folgen, was bis hin zum Durchsuchen von Müll nach vertraulichen Informationen reichen kann.
Die aufkommende Bedrohung durch Deepfakes, also KI-generierte Stimmen, Bilder oder Videos, stellt eine neue Herausforderung dar. KI ermöglicht insgesamt eine Personalisierung von Angriffen in einem bisher ungekannten Ausmaß. Insbesondere Large Language Models (LLMs) wie ChatGPT stellen für Cyberkriminelle mächtige Werkzeuge dar, um hochindividualisierte Phishing-E-Mails und Nachrichten zu generieren, die von legitimen Kommunikationen kaum zu unterscheiden sind. Angreifer können öffentlich zugängliche Informationen nutzen, um detaillierte Profile ihrer Zielpersonen zu erstellen, und so Nachrichten verfassen, die auf deren spezifische Interessen und Verhaltensweisen zugeschnitten sind. LLMs sind in der Lage, Texte in verschiedenen Sprachen in nahezu muttersprachlicher Qualität zu formulieren und sogar an regionale Dialekte anzupassen, wodurch sprachliche Barrieren für Angreifer weitgehend entfallen. Die Fähigkeit von KI, sprachliche Feinheiten und den individuellen Schreibstil von Personen zu imitieren, untergräbt herkömmliche Erkennungsmerkmale von Phishingangriffen, wie beispielsweise grammatikalische Fehler. Früher deuteten Ungenauigkeiten in Sprache und Stil oft auf einen Betrugsversuch hin. Mit der fortschreitenden Entwicklung von KI können diese Indikatoren jedoch nicht mehr als zuverlässige Warnsignale dienen, was die Notwendigkeit intelligenterer Erkennungsmechanismen untermauert.
Menschliche Fehler sind weiterhin nicht zu unterschätzen
Auch menschliche Fehler, ohne das Zutun Dritter, stellen ein erhebliches Sicherheitsrisiko dar. Unachtsamkeit, Routine und Flüchtigkeitsfehler können fatale Folgen haben, zum Beispiel der Versand von E-Mails an falsche Empfänger, Fehlkonfigurationen von Systemen oder das Versäumen wichtiger Updates. Besonders deutlich wurden menschliche Fehler im Rahmen des CrowdStrike-Vorfalls 2024, bei dem ein fehlerhaftes Softwareupdate zu einem weltweiten IT-Ausfall führte, wobei insbesondere auch kritische Infrastrukturen wie Fluggesellschaften und Krankenhäuser betroffen waren. Und ein Unglück kommt selten allein: Cyberkriminelle nutzten diese Situation für Social-Engineering-Angriffe, indem sie gefälschte Korrekturen und imitierte Webseiten verbreiteten.
Oft fehlt es am Bewusstsein für Gefahren, etwa bei schwachen Passwörtern. Sicherheitsrichtlinien werden ignoriert, Passwörter weitergegeben oder Zugangsregeln umgangen. In seltenen Fällen werden (Ex-)Mitarbeiter auch zu Innentätern.
Schulungsmaßnahmen und Awarenessstrategien
Um die menschliche Firewall zu stärken, sollten Unternehmen umfassende und kontinuierliche Schulungsprogramme zum Sicherheitsbewusstsein implementieren. Die Schulungsinhalte sollten regelmäßig aktualisiert werden, um die neuesten Bedrohungen und Taktiken widerzuspiegeln. Es ist ratsam, vielfältige Schulungsmethoden zu nutzen, darunter computergestützte Module, interaktive Übungen und realitätsnahe Simulationen. Die Schulungen sollten auf verschiedene Rollen und Risikostufen innerhalb des Unternehmens zugeschnitten sein. Phishingsimulationen haben sich bewährt: Interne Test-Phishing-Mails prüfen die Reaktionen der Mitarbeiter. Ein Klick auf den Köder dient als vertrauliche Lerngelegenheit.
Die Förderung einer Kultur des Sicherheitsbewusstseins und der Wachsamkeit ist von entscheidender Bedeutung. Mitarbeiter sollten ermutigt werden, verdächtige E-Mails und Aktivitäten ohne Angst vor Repressalien zu melden. Eine offene Kommunikation über Sicherheitsvorfälle und gewonnene Erkenntnisse sollte gefördert werden. Die Sensibilisierung für Sicherheit sollte in Onboardingprozesse und in die regelmäßige Unternehmenskommunikation integriert werden.
Die Implementierung starker technischer Kontrollen zur Unterstützung der menschlichen Abwehr ist unerlässlich. Dazu gehören die Bereitstellung der Multi-Faktor-Authentifizierung (MFA) für Konten und Systeme, der Einsatz robuster E-Mail-Filter- und Anti-Malware-Lösungen, die Implementierung starker Passwortrichtlinien und die Förderung der Verwendung von Passwortmanagern sowie die regelmäßige Aktualisierung aller Software- und Betriebssysteme mit den neuesten Sicherheitspatches. Klare Pläne und Verfahren für die Reaktion auf Vorfälle sollten etabliert werden. Mitarbeiter sollten wissen, wie Sicherheitsvorfälle gemeldet werden und welche Schritte bei Verdacht auf eine Kompromittierung zu unternehmen sind. Die Notfallpläne sollten regelmäßig getestet und aktualisiert werden.
Die Rolle der Rechtsabteilung im Rahmen der Cyberresilienz
Cybersecurity ist mittlerweile integraler Bestandteil der Unternehmenscompliance. Insofern hat sich auch die Rolle der Rechtsabteilung signifikant gewandelt. Sie gewährleistet die Einhaltung rechtlicher Anforderungen und Risikominimierung durch Risikobewertungen, (Mit-)Gestaltung von Sicherheitsrichtlinien und Schulungen, datenschutzkonforme Vertragsgestaltung, Entwicklung interner Complianceprozesse sowie Krisenmanagement bei Cyberangriffen. Damit trägt sie entscheidend zur Cyberresilienz des Unternehmens bei.
Die menschliche Firewall: Unverzichtbar im Zeitalter der KI
Die Weiterentwicklung von KI wird sowohl neue Bedrohungen als auch fortschrittlichere Abwehrmechanismen hervorbringen. Die Cybersicherheit ist ein fortwährender Prozess, der ständige Aufmerksamkeit erfordert, um mit den sich entwickelnden Bedrohungen Schritt zu halten. Cybersicherheit ist daher Teamarbeit: Technik, Prozesse und der Faktor Mensch müssen Hand in Hand gehen. Wenn Unternehmen ihre Mitarbeiter vom Risiko- zum Schutzfaktor entwickeln, gewinnen sie eine robuste Verteidigungslinie. Diese Transformation, bei der Mitarbeiter zu einem integralen Bestandteil der Sicherheitsstrategie werden, ist in der Ära von (nunmehr KI-gestütztem) Social Engineering unerlässlich.
