Wir fixieren uns zu sehr auf die Bedrohung und übersehen den Riss in der Wand
Ich glaube, viele Organisationen setzen an der falschen Stelle an. Sie fragen: Welche Bedrohungen gibt es da draußen? Das ist eine berechtigte Frage, aber sie reicht nicht aus. Die unangenehmere Frage ist: Welche Schwachstellen in unseren eigenen Arbeitsweisen erlauben es, dass selbst alte Angriffe noch immer funktionieren? Dieser Unterschied ist entscheidend.
Wenn ein Mitarbeiter dazu gebracht werden kann, seine Daten preiszugeben, ist das nicht nur ein Phishing-Problem. Dann liegt eine Schwachstelle darin, wie wir Vertrauen aufbauen, wie wir Verifizierung gestalten und wie viel Entscheidungsdruck wir einem Menschen mitten im Arbeitstag zumuten. Wenn ein Konto nach einer Kompromittierung missbraucht werden kann, ist das nicht nur ein Identitätsproblem. Dann fehlt es uns an der Fähigkeit, schnell genug zu erkennen, zurückzuziehen, zu isolieren und wiederherzustellen. NIST beschreibt Cyber-Resilienz als die Fähigkeit, Störungen, Angriffe oder Kompromittierungen vorherzusehen, standzuhalten, sich davon zu erholen und sich anzupassen, sodass Geschäftsziele weiterhin erreicht werden können.
Deshalb spreche ich viel lieber vonSchwachstellen und Fähigkeitenals von abstrakten Risikobegriffen, denen alle zustimmen, die aber kaum wirklich steuerbar sind. Risiko wird leicht zu einem Nebel. Schwachstellen sind greifbar. Fähigkeiten lassen sich trainieren, messen und verbessern.
Der digitale Mensch ist nicht kaputt. Er ist nur müde.
In der Cybersicherheit ist es weit verbreitet, Fehlklicks, Stress und Fehlurteile als individuelle Fehler zu betrachten. Ich halte das für eine zu bequeme Art, systemische Fehler zu ignorieren.
Der digitale Mensch arbeitet heute in einem ständigen Wetter aus Benachrichtigungen, Meetings, Chats, E-Mails, Multifaktor-Abfragen, Dokumentenfreigaben und Mikroentscheidungen. Sicherheit so zu gestalten, als ob jeder Mensch immer die Zeit hätte, anzuhalten, zu analysieren, zu verifizieren und perfekt zu wählen, ist wie einen Flughafen zu bauen, bei dem es allein darauf ankommt, dass jeder Reisende selbst erkennt, wo die Sicherheitskontrolle versagt. So baut man keine Robustheit auf, sondern Staus, Fehler und scheinbare Ordnung.
Die Leitlinien des NCSC sind in diesem Punkt klug. Sie empfehlen einen mehrschichtigen Schutz gegen Phishing, der ausdrücklich die Widerstandsfähigkeit der Organisation stärkt und gleichzeitig die Produktivität der Nutzer so wenig wie möglich beeinträchtigt. Das ist eine wichtige Grundregel: Sicherheit soll nicht nur vorhanden sein, sondern lebbar sein.
Alte Angriffe funktionieren, weil viele die Oberfläche schützen, nicht die Fähigkeit
Hier sehe ich, dass viele Sicherheitsmaßnahmen noch immer fehlgehen. Es wird der Posteingang, die Firewall, der Endpunkt und die Richtliniendokumente geschützt. Das ist nicht unwichtig. Aber der Angreifer umgeht das oft, indem er stattdessen die Entscheidung angreift. Eine bekannte Marke. Ein glaubwürdiger Ton. Eine Nachricht, die nach Routine riecht. Ein stressiger Moment, in dem das Gehirn schon auf Reserve läuft.
Das ist, als hätte man einen starken Schutzschild um das Haus, aber lässt die Terrassentür offen, sobald jemand das Wort "dringend" hört. Dann nützt es auch nichts, dass die Tür theoretisch sicherheitszertifiziert ist.
Der Verizon DBIR 2025 zeigt weiterhin, wie zentral Identitäts- und menschliche Angriffe sind, und die Bedrohungslandschaft von ENISA macht deutlich, dass diese Angriffe kein Randphänomen, sondern ein wesentlicher Bestandteil der realen Einbruchsszenarien sind. Das macht die Frage geschäftskritisch: Nicht "Haben wir Kontrollen?", sondern "Funktionieren unsere Kontrollen, wenn ein ganz normaler Mensch einen ganz normalen schlechten Tag hat?"
Schwachstelle ist keine Schwäche. Sie ist der Weg zur Verbesserung.
Ich denke, viele Unternehmen meiden das Wort Schwachstelle, weil es unangenehm ist. Man spricht lieber von Risikoniveau, Reifegrad oder Exposition. Aber Schwachstelle ist eigentlich ein viel nützlicherer Begriff. Er zeigt, wo etwas versagen kann. Er lässt sich untersuchen. Er lässt sich testen. Er lässt sich beheben.
Und am wichtigsten:Er lässt sich mit Fähigkeit verbinden.
Fähigkeit ist das Gegenteil von Sicherheitstheater. Fähigkeit bedeutet, dass jemand eine Abweichung schnell erkennt. Fähigkeit bedeutet, dass eine Sitzung widerrufen werden kann. Fähigkeit bedeutet, dass der Zugriff gesperrt werden kann, ohne dass das gesamte Geschäft zusammenbricht. Fähigkeit heißt, dass Menschen im richtigen Moment Unterstützung erhalten, statt im Nachhinein Schuld zuzuweisen.
Die Leitlinien der CISA zur phishing-resistenten Multifaktor-Authentifizierung verdeutlichen das gut. Es geht nicht darum, unnötige Reibung zu schaffen, sondern bekannte Schwachstellen in Authentifizierungsprozessen zu beseitigen, die Angreifer weiterhin ausnutzen.
Was wir messen müssen, ist nicht, wie viel wir getan haben, sondern was wir aushalten
Das ist vielleicht mein wichtigster Punkt.
Viele Organisationen messen Aktivitäten. Wie viele Schulungen absolviert wurden. Wie viele Richtlinien vorhanden sind. Wie viele Kontrollen "implementiert" sind. Doch das sagt überraschend wenig darüber aus, was das Unternehmen tatsächlich bewältigen kann, wenn etwas schiefgeht.
Ich finde, man muss sich stattdessen Fragen stellen, die etwas mehr wehtun:
· Wie schnell erkennen wir einen gefälschten Ablauf?
· Wie schnell können wir eine kompromittierte Sitzung widerrufen?
· Wie schnell können wir den Schaden begrenzen?
· Wie schnell können wir die Lieferung dessen fortsetzen, was funktionieren muss?
Erst hier beginnt Cybersicherheit, wie Geschäftsfähigkeit auszusehen und nicht wie Dokumentenverwaltung. Und das entspricht ganz der Sichtweise von NIST auf Resilienz: Nicht perfekter Schutz, sondern die Fähigkeit, Ziele auch unter Angriffen zu erreichen.
Fazit: Was uns zu Fall bringt, ist oft nicht das Neue, sondern das Ungeheilte
Ich denke, viele Unternehmen suchen nach der nächsten großen Bedrohung, weil das strategischer wirkt, als alte Schwächen einzugestehen. Aber oft liegt die Wahrheit genau dort. Nicht im Exotischen, sondern im Ungeheilten.
Die gefährlichsten Angriffe sind oft jene, die uns so vertraut sind, dass wir fast aufgehört haben, sie zu respektieren. Sie schleichen sich ein wie kalte Luft durch einen Spalt im Fenster. Nicht dramatisch. Nicht filmreif. Nur lang genug, um den Schaden real werden zu lassen.
Deshalb plädiere ich für einen Sprachwechsel: Weniger Faszination für die Neuigkeit der Bedrohung. Mehr Ehrlichkeit über unsere Schwachstellen. Weniger Fokus auf das Vorzeigen von Kontrollen. Mehr Fokus auf den Aufbau von Fähigkeiten. Denn am Ende sind es nicht die neuen Bedrohungen, die uns entlarven.
Es sind unsere alten Schwachstellen.
Machen Sie Schwachstellen sichtbar, zeigen Sie auf, wo Menschen, Prozesse und Identitätsflüsse versagen. Bauen Sie Fähigkeiten statt Theater auf und messen Sie Erkennung, Begrenzung, Widerruf und Wiederherstellung. Entlasten Sie die Menschen, indem Sie das Schutzsystem mehr Gewicht in Risikosituationen tragen lassen.
Quellen
ENISA.ENISA Threat Landscape 2025. Der Bericht analysiert 4.875 Vorfälle vom 1. Juli 2024 bis 30. Juni 2025.
Verizon.2025 Data Breach Investigations Report. Der Bericht zeigt weiterhin die Bedeutung gestohlener Anmeldedaten und des menschlichen Faktors bei Einbrüchen.
NIST CSRC.Cyber resiliency – Glossary. Definition von Cyber-Resilienz als Fähigkeit, Störungen, Angriffe oder Kompromittierungen vorherzusehen, standzuhalten, sich zu erholen und anzupassen.
UK National Cyber Security Centre.Phishing attacks: defending your organisation. Leitfaden für mehrschichtigen Phishing-Schutz mit minimalen Auswirkungen auf die Produktivität.
