4 Minuten Lesezeit:
Die Diskussion rund um Informationssicherheit wird aktuell stark von neuen Technologien geprägt. Künstliche Intelligenz, automatisierte Angriffe, Post-Quantum-Kryptographie und neue regulatorische Anforderungen wie NIS2 oder steigende Anforderungen an Nachweisbarkeit und Resilienz bestimmen die Schlagzeilen.
Schaut man jedoch genauer hin, zeigt sich eine andere Entwicklung: Während technische Schutzmaßnahmen immer leistungsfähiger werden, verlagert sich der eigentliche Angriffspunkt zunehmend auf menschliche Entscheidungen und organisatorisches Verhalten.
Mehr Technik, mehr Komplexität
Aktuelle Lageberichte zeichnen ein klares Bild: Die Bedrohungslage wird komplexer. Der ENISA Threat Landscape Report analysiert mehrere tausend Sicherheitsvorfälle in Europa und beschreibt eine zunehmend ausgereifte und vielschichtige Angriffslandschaft. Klassische Cyberkriminalität, staatlich unterstützte Angriffe und neue Angriffsmuster greifen dabei immer häufiger ineinander.
Auch der Lagebericht des BSI zur IT-Sicherheit in Deutschland kommt zu einem ähnlichen Ergebnis: Die Bedrohungslage bleibt angespannt, während gleichzeitig Angriffsflächen wachsen und neue Schwachstellen entstehen. Parallel dazu zeigen aktuelle Sicherheitsreports aus der Industrie ein klares Bild:
- Cyberangriffe nehmen weiterhin zu – auch in Deutschland.
- Automatisierung und künstliche Intelligenz beschleunigen Angriffskampagnen.
- Social Engineering und kombinierte Angriffsketten gewinnen weiter an Bedeutung.
Technisch betrachtet investieren Unternehmen heute mehr in Sicherheit als je zuvor. Und trotzdem steigt die Zahl erfolgreicher Angriffe weiter.
Angriffe zielen auf Entscheidungen
Aktuelle Analysen zeigen vielmehr: Angriffe zielen immer häufiger auf menschliche Verhaltensmuster. Social Engineering bleibt eine der zentralen Eintrittsstellen, weil Angreifer nicht versuchen, Technik zu überlisten, sondern Entscheidungen zu beeinflussen. Sie nutzen Erwartungen, Routinen und den ganz normalen Arbeitsalltag.
Herausforderung, die viele CISOs gut kennen: Nicht diese eine große Schwachstelle sorgt für den Vorfall, sondern die Summe vieler kleiner Entscheidungen im Alltag.
Wenn einem der Chef im Nacken sitzt, erscheint eine Anfrage, die man eigentlich hinterfragen würde, plötzlich plausibel genug. Eine Ausnahme wirkt in diesem Moment sinnvoll, und ein bekanntes Vorgehen wird nicht weiter hinterfragt.
Informationssicherheit wird zum Verhaltenssystem
Heute werden täuschend echte Deepfake Stimmen und Videos eingesetzt, um Führungskräfte in Videokonferenzen zu imitieren oder Mitarbeitende zu Handlungen zu bewegen, die sie unter normalen Umständen hinterfragen würden. Parallel dazu ermöglichen generative KI Systeme hochgradig personalisierte Phishing Kampagnen. Spear Phishing, Vishing und Business Email Compromise lassen sich damit in einer Geschwindigkeit und Qualität umsetzen, die früher nur mit erheblichem manuellen Aufwand möglich war.
Ein Blick in die AI Incident Database zeigt deutlich, dass es sich dabei nicht mehr um Zukunftsszenarien handelt. Die Datenbank sammelt reale Vorfälle rund um den Einsatz von künstlicher Intelligenz und macht sichtbar, wie sich Angriffsmuster in der Praxis verändern. Dort finden sich unter anderem dokumentierte Fälle, in denen Angreifer Führungskräfte per Deepfake Video in Live Meetings imitierten, um Überweisungen auszulösen. In anderen Fällen kam Voice Cloning zum Einsatz, um vermeintliche Vorgesetzte am Telefon oder über Messenger glaubwürdig nachzuahmen. Auch KI unterstützte Phishing Kampagnen sind dokumentiert, bei denen automatisierte Anrufe, E Mails und Nachrichten kombiniert wurden, um Zeitdruck zu erzeugen und Vertrauen aufzubauen.
Gleichzeitig verändern sich die Angriffsmuster selbst. Angriffe laufen heute oft kanalübergreifend ab. Eine erste Kontaktaufnahme über Messenger, danach eine scheinbar legitime Rückfrage per E Mail, anschließend ein Anruf oder eine Videokonferenz zur Bestätigung. Technisch ist dabei häufig nichts kompromittiert. Der Angriff funktioniert, weil die Situation stimmig wirkt und sich nahtlos in den normalen Arbeitsalltag einfügt.
Was das für Unternehmen bedeutet
Wenn Angriffe zunehmend auf Entscheidungen im Alltag zielen, ergeben sich für Organisationen drei zentrale Konsequenzen.
- Awareness darf nicht bei Information stehen bleiben:
Wissen allein reicht nicht aus. Die meisten Mitarbeitenden kennen grundlegende Regeln bereits. Kritisch wird es in Situationen mit Zeitdruck, Routine oder Unsicherheit. Awareness muss deshalb Verhalten adressieren, nicht nur Information vermitteln. - Sicherheit muss erlebbar werden:
Menschen lernen nachhaltiger durch eigene Erfahrung als durch abstrakte Vorgaben. Formate, in denen Entscheidungen getroffen werden müssen, machen sichtbar, warum Sicherheitsregeln im Alltag relevant sind und wo Risiken tatsächlich entstehen. - Sicherheitskultur entsteht im Alltag:
Sicherheit entsteht nicht durch einzelne Maßnahmen, sondern durch wiederholtes gemeinsames Handeln. Entscheidend ist, ob Sicherheit Teil normaler Arbeitsabläufe wird und nicht nur Thema von Schulungen bleibt.
Ein möglicher Ansatz, diese Entwicklung systematisch zu beschreiben, ist das ACTION Modell, das im kürzlich erschienenen ersten Teil der Fachartikelreihe „Spielend lernen für mehr Resilienz“ in der Zeitschrift <kes> vorgestellt wird.
Unser Ansatz beschreibt, wie Activation, Choice, Teaming, Iteration, Outcome und Nesting (ACTION) dazu beitragen können, Sicherheitsverhalten nachhaltig zu verändern und Lernen durch moderne Formate wie Serious Games in die Praxis zu übertragen.
Die zentrale Herausforderung der kommenden Jahre wird deshalb sein, Technik, Prozesse und Verhalten so miteinander zu verbinden, dass Sicherheit auch unter realen Bedingungen funktioniert. Genau dabei unterstütze ich Unternehmen in meiner Arbeit – Informationssicherheit so zu gestalten, dass sie im Alltag verstanden, angewendet und dauerhaft gelebt werden kann.
Quellen:
- ENISA Threat Landscape 2025: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025
- Lagebericht BSI: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
- Spielend lernen für mehr Resilienz (1): Serious Games als Lernmotor der Informations-Sicherheit – Teil 1: Vom Wissen zum Handeln: https://www.kes-informationssicherheit.de/print/titelthema-security-schulungen-wie-nachhaltiges-training-gelingt/spielend-lernen-fuer-mehr-resilienz-1
Schreibe einen Kommentar