Warum Ihre Sicherheitsstrategie ein menschliches Upgrade braucht!

Seien wir ehrlich: Unsere Branche steckt seit Jahren in einem regelrechten Kleinkrieg. Auf der einen Seite stehen die Technolog*innen, die immer höhere Mauern und ausgeklügeltere Fallen bauen und glauben, dass die richtige KI-gestützte Firewall alle Probleme lösen wird. Auf der anderen Seite rufen die Verhaltensforscher*innen nach mehr Schulungen und besserem Bewusstsein – überzeugt davon, dass die Menschen einfach die Risiken verstehen müssen, um endlich nicht mehr alles anzuklicken.

Das Problem: Beide Seiten haben recht und beide liegen falsch.

Wir führen einen psychologischen Krieg gegen KI-gestützte Gegner*innen mit einer Strategie, die mittendurch gespalten ist. Das Ergebnis? Ganze 74 % der CISOs sehen menschliches Fehlverhalten mittlerweile als ihr größtes Risiko. Das Spiel hat sich verändert – vor allem, weil KI die Betrüger*innen noch raffinierter macht: Phishing-Mails und Social-Engineering-Angriffe sind heute kaum noch vom echten Geschäftsverkehr zu unterscheiden.

Das alte Prinzip, Menschen einmal pro Jahr mit einer verpflichtenden Awareness-Schulung zu trainieren? Das ist, als würde man mit einer Wasserpistole zum Lichtschwert-Duell antreten. Ein reines Compliance-Programm, aber keine echte Sicherheitsstrategie. Es erfüllt vielleicht die Anforderungen der Prüfer*innen, hilft aber wenig gegen Angreifer*innen, die ganz gezielt mit menschlichen Emotionen wie Dringlichkeit, Hilfsbereitschaft oder Angst spielen. So entsteht die gefährliche "Awareness-Action Gap" – die Lücke zwischen dem, was Mitarbeitende wissen sollten, und ihrem tatsächlichen Verhalten, zum Beispiel an einem Freitagnachmittag um 15 Uhr, wenn die Konzentration nachlässt.

Es ist ein grundlegender Wandel im Umgang mit Sicherheit. Es ist eine einheitliche Strategie, die Technik und Mitarbeitende nicht länger als getrennte Baustellen begreift, sondern als ein vernetztes System. Dass man sich nicht mit Firewalls gegen eine raffinierte Phishing-Mail schützen kann, und auch nicht mit Schulungen gegen schlechte Prozesse ist bekannt. Es geht darum, den menschlichen Faktor mit derselben analytischen Strenge zu betrachten wie den Technologie-Stack – zu verstehen, wie Menschen sich verhalten, was sie motiviert und wo sie Fehler machen, um dann ein unterstützendes Sicherheitsökosystem zu bauen, das sowohl Technik als auch Kultur umfasst.

Dabei geht es nicht darum, jemandem die Schuld zu geben – weder "Dieter aus der Buchhaltung" noch anderen Einzelpersonen. Menschen sind, nun ja, Menschen: beschäftigt, manchmal abgelenkt, oft hilfsbereit. Eine moderne Sicherheitsstrategie muss auf die tatsächlichen Mitarbeitenden zugeschnitten sein – nicht auf perfekt rationale, immer wachsame Cyborgs, die es nur in der Fantasie gibt. Die Verteidigungsfläche muss mit smarter Technologie verkleinert werden, während gleichzeitig kompetente Nutzer*innen wachsen, unterstützt von einem System, das Fehler auffängt.

Das CSF Computer Solutions Facility AG Sicherheitsteam: Security Awareness Training & Simulated Phishing Platform