Wenn das schwächste Glied einen Namen und Nachnamen hat

Wir leben mitten im Jahr 2025, in einer Zeit, in der Perimetersicherheit nicht mehr durch Mauern definiert wird, sondern durch Mikrosegmentierung, adaptive Authentifizierung und Verhaltensanalyse. Wo EDRs nicht mehr nur erkennen, sondern autonom vorhersagen und blockieren. Wo XDRs die Telemetrie mit generativer KI anreichern und SOCs hybrid, verteilt und 24x7 sind. Dennoch bleibt im Zeitalter nach Zero Trust der häufigste Eintrittsvektor menschlich.

Die Angreifer wissen das. Deshalb beginnen immer mehr APT- und RaaS-(Ransomware-as-a-Service)-Kampagnen nicht mit einer technischen Schwachstelle, sondern mit einer kognitiven Schwäche: eine E-Mail mit legitimem Aussehen, ein überzeugender Anruf, ein Link, der nicht überprüft wurde. Der Klick, der alles veränderte. Oder genauer gesagt, der Klick, der täglich in Tausenden von Organisationen wiederholt wird.

Der Präzedenzfall bleibt menschlich: von Lapsus$ bis zu den BEC-Kampagnen 2025

Obwohl der Lapsus$-Angriff auf NVIDIA im Jahr 2022 einen Meilenstein darstellte — mit über 71.000 gestohlenen Zugangsdaten nach einem einfachen Zugang über Social Engineering — haben sich die Muster nicht geändert, sie sind nur raffinierter geworden. Im bisherigen Verlauf von 2025 haben Gruppen wie Storm-1811 und Octo Tempest MFA-Fatigue- und QR-Phishing-Techniken ausgenutzt, um sich in Technologie-, Gesundheits- und öffentliche Unternehmen in Europa einzuschleusen. Der Einsatz von Echtzeit-Deepfakes zur Identitätsvortäuschung in Videokonferenzen ist nicht mehr anekdotisch, sondern Teil des Offensivarsenals, das in den letzten Berichten von ENISA und CISA beobachtet wurde.

Der erste Schritt der Kill Chain — laut ATT&CK — bleibt Initial Access (TA0001), und die am häufigsten verwendeten Techniken sind weiterhin mit Phishing (T1566), Spearphishing Link (T1566.002) oder Valid Accounts (T1078) verbunden. In all diesen Fällen war das kompromittierte Glied keine Firewall oder API: Es war ein Mensch.

Es ist jedoch genauso ineffektiv, einem Mitarbeiter die Schuld zu geben, wenn er eine Domain-Spoofing-Attacke nicht erkennt oder auf ein Voice-Deepfake hereinfällt, wie einem Bediener vorzuwerfen, dass er ein Ereignisprotokoll nicht lesen kann. Das Problem liegt nicht beim Menschen. Sondern darin, ihm nicht die nötigen Werkzeuge, Schulungen und Reflexe gegeben zu haben, um mit Urteilsvermögen und Vertrauen zu handeln. Wie viele Mitarbeiter würden heute einen böswilligen QR-Code, eine Homoglyph-Domain oder eine Pretexting-Technik über WhatsApp Business erkennen?

Cybersicherheit, wenn sie nicht gelebt wird, wird nicht verinnerlicht. Und wenn sie nicht verinnerlicht wird, schützt sie nicht.

Traditionelle Sensibilisierungspläne, die auf generischen Kursen einmal im Jahr basieren, sind so veraltet wie Antivirenprogramme ohne heuristische Analyse. Ein modernes Cyberbewusstseinsprogramm muss sein:

• Personalisierte Rollenbezogenheit: Ein Entwickler braucht nicht dasselbe wie ein Verwaltungsmitarbeiter oder ein Vorstandsmitglied.

• Interaktiv und kontinuierlich: Es geht nicht darum, einmal zu schulen, sondern Gewohnheiten über die Zeit zu stärken.

• Messbar und rückgemeldet: Jede simulierte Phishing-Kampagne sollte von Metriken, Verhaltensanalysen und sofortigem Feedback begleitet werden.

Außerdem sollten reale Szenarien Teil des Trainings sein: Microsoft 365-Identitätsdiebstahl, getarnte QakBot-Kampagnen, LinkedIn-Nachrichten mit über OneDrive geteilten Dateien und jetzt auch die Manipulation von Sprachassistenten mit speziell gestalteten Prompts, um Unternehmensinformationen zu filtern.

Eine solide Cybersicherheitskultur entsteht nicht durch Technologie und wird nicht durch interne Richtlinien verordnet. Sie wird Tag für Tag mit Führung, Konsequenz und Vorbild aufgebaut. Sie zeigt sich, wenn Mitarbeiter einen Phishing-Versuch melden, ohne geklickt zu haben, wenn der Vorstand fragt, ob Zugriffe geprüft sind, oder wenn ein Vertriebsmitarbeiter weiß, dass das Teilen eines Angebots mit Dritten Verschlüsselung und digitale Signatur erfordert.

Vom „Ich wusste es nicht“ zum „Ich falle nicht darauf rein“ zu kommen, bedeutet, die Wahrnehmung von Sicherheit zu verändern: von bürokratischer Bremse zu Vertrauenshebel.

Was ist ab heute zu tun?

Wenn du ein IT-Team leitest, als CISO arbeitest oder einfach Teil des Getriebes bist, das dein Unternehmen schützt, hier einige kritische Maßnahmen:

• Überprüfe dein aktuelles Sensibilisierungsprogramm: Ist es auf die aktuellen Bedrohungen aktualisiert? Ist es profilspezifisch?

• Führe Gamification, Simulationen und Krisenübungen ein: lernen durch Tun, nicht nur durch Zuhören.

• Binde die Führungskräfte jeder Abteilung ein: die Kultur beginnt in der Führungsebene, nicht in PowerPoint-Präsentationen.

• Passe die Schulung an die digitale Realität von heute an: hybrides Arbeiten, persönliche Geräte, Mobilität, generative KI und unkontrollierte SaaS-Anwendungen.

Denk daran, dass die beste Firewall immer noch ein geschulter, bewusster und engagierter Mitarbeiter ist. Denn das schwächste Glied kann auch der erste Schutzschild sein, wenn wir ihm die richtigen Werkzeuge geben.

Und du, wirst du weiterhin nur auf Technologie setzen… oder trainierst du auch die, die sie benutzen?

Beatriz Díaz, Verantwortliche für Schulung und Sensibilisierung bei Grupo Cybertix.