Der menschliche Faktor in der Cybersicherheit
21 November 2025
In Filmen werden Hacker als intelligente Personen dargestellt, die fortschrittliche Technologien einsetzen, um in Unternehmen einzudringen.
Die Realität ist jedoch weitaus deprimierender – Hacker nutzen konsequent eine Lücke aus, die mit Technologie allein nicht geschlossen werden kann: den menschlichen Faktor.
Laut Verizon, dem amerikanischen Telekommunikationsgiganten, beginnen etwa 90 % aller Sicherheitsverletzungen mit einem Social-Engineering-Angriff, der auf ein menschliches Opfer abzielt. Diese Statistik könnte vermuten lassen, dass Menschen das schwächste Glied in Ihrer Cybersicherheitsstrategie sind, doch das Gegenteil ist der Fall.
Warum Menschen das wichtigste Element der Sicherheitskontrolle sind
Angesichts von über 989.000 einzigartigen Phishing-Angriffen, die im letzten Quartal 2024 entdeckt wurden, liegt die offensichtliche Antwort darin, die Abhängigkeit vom Menschen zu verringern und künstliche Intelligenz (KI) einzusetzen, um diese Angriffe zu verhindern. Automatisierte Systeme haben jedoch Einschränkungen, die Mitarbeiter zu einer effizienteren ersten Verteidigungslinie machen:
- KI fehlt die menschliche Intuition: Vollautomatisierte Sicherheitssysteme sind darauf ausgelegt, Muster zu erkennen, sodass sie Bedrohungen auf Systemebene hervorragend erkennen können. Ihnen fehlt jedoch die menschliche Intuition und der Kontext, um personalisierte Social-Engineering-Angriffe zu identifizieren.
- KI kann keine neuen Bedrohungen erkennen: Selbst wenn sie darauf trainiert sind, Angriffe zu erkennen, können automatisierte Systeme nur das erkennen, wofür sie programmiert wurden. Jede neue Social-Engineering-Taktik kann unentdeckt bleiben, bis sie Schaden angericht.
- KI kann Bedrohungen nur erkennen, aber nicht davor schützen: Automatisierte Sicherheitstools warnen in der Regel nur vor einer potenziellen Bedrohung. Es sind weiterhin Sicherheitsexperten erforderlich, um die Daten zu analysieren, ein tatsächliche Risiko zu bestimmen und Entscheidungen über weitere Maßnahmen zu treffen
Diese Einschränkungen zeigen deutlich, dass ein menschenzentrierter Ansatz für Cybersicherheit nach wie vor die beste Firewall ist, die einem Unternehmen zur Verfügung steht.
Entwicklung von Programmen für kontinuierliche Schulung und Sensibilisierung
Unternehmen betrachten Sicherheitsschulungen oft als jährliche Aufgabe, die es zu erledigen gilt. Dies funktioniert jedoch nicht im Rahmen einer menschenzentrierten Sicherheitsstrategie, bei der jeder Mitarbeiter für die Cybersicherheit verantwortlich ist.
Entwickeln Sie Programme für kontinuierliche Schulungen
Eine Umfrage aus dem Jahr 2024 hat gezeigt, dass jährliche Schulungsprogramme nicht ausreichen, um die Wahrscheinlichkeit zu verringern, dass Mitarbeiter auf Phishing-Links klicken. Hilfreich sind hingegen kontinuierliche Schulungsprogramme, die vierteljährlich organisiert werden. Diese Häufigkeit verstärkt das Cybersicherheits-Schulungsprotokoll und informiert die Mitarbeiter gleichzeitig über die neuesten Bedrohungen. Monatliche Phishing-Simulationen können ebenfalls dazu beitragen, dass Cybersicherheit das ganze Jahr über im Fokus bleibt.
Passen Sie Schulungsprogramme an neue Bedrohungen an
In seinem Global Threat Report 2025 hat CrowdStrike bekannt gegeben, dass im Vorjahr 26 neue Cyber-Bedrohungen aufgetreten sind. Um die Wirksamkeit der Schulungen sicherzustellen, sollten Sie Ihr Programm regelmäßig aktualisieren, um den aktuellen Stand der Bedrohungen zu berücksichtigen. Verfolgen Sie die neuesten Bedrohungen über Cybersicherheitsgruppen, Bedrohungsberichte oder externe Anbieter. Sie können Ihren Mitarbeitern auch regelmäßig Newsletter mit Sicherheitstipps und den neuesten Nachrichten zur Cybersicherheit zusenden.
Passen Sie die Schulungen an die beruflichen Aufgaben an
Ein einheitliches Cybersicherheitsschulungsprogramm ist in den meisten Fällen nicht sinnvoll, da es die Mitarbeiter mit unnötigen Informationen überlastet, die für ihre Arbeit nicht relevant sind. Indem Sie den Umfang auf rollenspezifische Szenarien beschränken, können Sie sicherstellen, dass die Schulungen relevant, praxisnah und nachvollziehbar sind. Das SANS Institute stimmt dieser Aussage zu: gezielte Simulationen und Coaching führten zu einem Rückgang der wiederholten Klicks um 35 %, weniger kostspieligen Vorfällen, einer schnelleren Erkennung und einer Entlastung der IT-Abteilung.
Umgang mit unterschiedlichen Rechtsvorschriften im Bereich Cybersicherheit
Die Vorschriften zur Cybersicherheit variieren je nach Land und Region und wirken sich auf die Sicherheitsrichtlinien und die Mitarbeiterschulungen aus. Mittelständische Unternehmen sollten diese Unterschiede berücksichtigen, um sicherzustellen, dass ihre Maßnahmen zur Sensibilisierung für Sicherheitsfragen konform und wirksam sind.
Regionale Aspekte der Cybersicherheitsvorschriften
In vielen Branchen sind Schulungen zum Sicherheitsbewusstsein obligatorisch. Die genauen Erwartungen und Schwerpunkte können jedoch je nach Region variieren. So sind beispielsweise europäische Standards wie die Datenschutz-Grundverordnung verbindlich, während das Cybersecurity Framework des National Institute of Standards and Technology in den USA freiwillig ist. Daher ist es wichtig, Ihr globales Schulungsprogramm um lokale Gesetze und Branchenvorschriften zu ergänzen. Sie können regelmäßige Compliance-Audits durchführen, um sicherzustellen, dass Ihre Schulungen aktuelle und künftige Gesetze abdecken.
Kulturelle Aspekte im Zusammenhang mit Cybersicherheitsvorschriften
Die Kultur spielt eine wichtige Rolle dabei, wie Menschen kommunizieren, sich online verhalten und sogar Opfer von Cyberkriminalität werden. Beispielsweise nehmen Phishing-Angriffe in den USA in der Regel während der Weihnachtszeit zu. Geschäfte bieten Rabattaktionen an, und die Angst, ein Schnäppchen zu verpassen, veranlasst Käufer dazu, sogar auf verdächtige Links zu klicken. Diese kulturellen Nuancen zeigen sich auch am Arbeitsplatz. Einige hinterfragen möglicherweise Autoritäten, während andere weniger geneigt sind, Anweisungen in Frage zu stellen, selbst wenn etwas verdächtig erscheint. Wenn Sie Ihren Kurs auf diese Unterschiede zuschneiden, können Sie seine Relevanz und Wirksamkeit verbessern. Multinationale Unternehmen, die kulturell angepasste Sicherheitsprotokolle implementiert haben, verzeichneten eine 35-prozentige Verbesserung bei der Erkennung von Bedrohungen und eine 45-prozentige Verkürzung der Reaktionszeiten.
Die Lücke bei den Cybersicherheitskompetenzen schließen
Im Jahr 2024 benötigte der globale Arbeitsmarkt im Bereich Cybersicherheit rund 4 Millionen Fachkräfte, um die Nachfrage zu decken. . Für mittelständische Unternehmen ist es entscheidend, diese Lücke zu schließen, um eine starke menschliche Verteidigung aufzubauen. Hier sind einige Strategien, mit denen Sie die Lücke bei den Cybersicherheitskompetenzen in Ihrem Unternehmen schließen können:
- Entwickeln Sie interne Talente: Schulen Sie Mitarbeiter, die sich für Cybersicherheit interessieren, damit sie Sicherheitsaufgaben oder -verantwortlichkeiten übernehmen können. Dies ist eine der kostengünstigsten und effizientesten Möglichkeiten, um die richtigen Fähigkeiten am Arbeitsplatz zu erwerben.
- Nutzen Sie staatliche Programme zur Qualifizierung: Viele Länder bieten staatlich finanzierte Toolkits zur Sensibilisierung für Cybersicherheit, Schulungsprogramme und Zuschüsse für die Kompetenzentwicklung an.
- Nutzen Sie externe Partnerschaften und Experten: Wenn sich die Entwicklung interner Fachkenntnisse als erfolglos erweist, ist die Auslagerung an spezialisierte Technologieexperten die nächstbeste Option. Dies ist besonders nützlich für mittelständische Unternehmen mit begrenztem Budget, die Unterstützung bei Cybersicherheitsschulungen und -erkennung suchen.
Schaffung einer Cybersicherheitskultur, bei der der Mensch im Mittelpunkt steht
Der Aufbau eines Cybersicherheitsansatzes, bei dem der Mensch im Mittelpunkt steht, bedeutet die Schaffung einer Kultur, die das Bewusstsein für Cyberbedrohungen und bewährte Verfahren in jeden Prozess, jede Entscheidung und jedes Gespräch einbindet. Hier sind einige Tipps, die Ihnen den Einstieg erleichtern sollen:
- Vermitteln Sie vom ersten Tag an ein Bewusstsein für Bedrohungen: Cybersicherheitsschulungen sollten Teil Ihres Einarbeitungsprozesses sein. Dadurch lernen Mitarbeiter, bei ihren täglichen Aufgaben instinktiv an Sicherheit zu denken, sei es beim Umgang mit Kundendaten oder bei der Konfiguration einer neuen Software.
- Bieten Sie positive Verstärkung: Fördern und belohnen Sie gutes Sicherheitsverhalten, anstatt sich ausschließlich auf die Bestrafung von Fehlern zu konzentrieren. Schaffen Sie eine sichere Umgebung, in der Mitarbeiter Cyber-Verstöße oder -Bedrohungen melden können, ohne schwerwiegende Konsequenzen befürchten zu müssen.
- Legen Sie klare Melde- und Reaktionsprotokolle fest: Meldeprotokolle können je nach Branche und Region variieren. Stellen Sie sicher, dass Ihr Prozess den gesetzlichen Anforderungen entspricht, um eine Überprüfung zu vermeiden.
- Ermutigen Sie die Führungskräfte, den Ton anzugeben: Die Haltung der Geschäftsleitung und des oberen Managements beeinflusst das gesamte Unternehmen. Führungskräfte, die Sicherheit in Besprechungen, Schulungen und der Kommunikation priorisieren, ermutigen die Mitarbeiter, dies ebenfalls sichtbar und deutlich zu tun.
Stärken Sie Ihre menschliche Firewall mit HLB
Die beste Verteidigung im Bereich Cybersicherheit ist eine solide menschliche Firewall, die durch kontinuierliche Schulungen und kulturelles Bewusstsein aufgebaut wird – und HLB kann Ihnen dabei helfen, genau das zu erreichen. Unsere umfassenden Cybersicherheitsdienste helfen Unternehmen dabei, Mitarbeiter zu schulen, menschenzentrierte Sicherheitsstrategien umzusetzen und die Lücke bei den Cybersicherheitskenntnissen durch unser Netzwerk von Experten zu schließen. Kontaktieren Sie uns heute, um eine Cybersicherheitsstrategie zu entwickeln, die solide, auf den Menschen ausgerichtete Sicherheitsprogramme mit modernsten technischen Sicherheitsvorkehrungen kombiniert.
Quelle des Artikels: HLB Global
Wenn Sie weitere Fragen haben, oder zusätzliche Informationen benötigen, wenden Sie sich bitte an Ihren Ansprechpartner oder nutzen Sie das Kontaktformular auf unserer getsix® Website.
***
Diese Veröffentlichung ist eine unverbindliche Information und dient der allgemeinen Information. Die
bereitgestellten Informationen stellen keine Rechts-, Steuer- oder Unternehmensberatung dar, und ersetzen
auch keine individuelle Beratung. Trotz sorgfältiger Bearbeitung werden alle Angaben in dieser
Veröffentlichung ohne Gewähr für die Richtigkeit, Aktualität und Vollständigkeit der Informationen gemacht.
Die Informationen in dieser Veröffentlichung sind nicht als alleinige Handlungsgrundlage geeignet, und
können eine konkrete Beratung im Einzelfall nicht ersetzen. Die Haftung der Autoren oder von getsix® ist
ausgeschlossen. Wir bitten Sie, sich bei Bedarf für eine verbindliche Beratung direkt an uns zu wenden. Der
Inhalt dieser Veröffentlichung ist geistiges Eigentum von getsix® oder seiner Partnerunternehmen und ist
urheberrechtlich geschützt. Nutzer dieser Informationen dürfen den Inhalt der Veröffentlichung
ausschließlich für eigene Zwecke herunterladen, ausdrucken oder kopieren.
