Cyberangriffe erfolgreich abwehren – mit der richtigen Awareness-Strategie

Cyberangriffe nehmen zu – Prävention bleibt entscheidend

Nach einer Erhebung des Bitkom e. V. belief sich der durch Cyberangriffe verursachte wirtschaftliche Schaden in Deutschland im Jahr 2024 auf 178,6 Milliarden Euro – ein Anstieg um 30 Milliarden Euro im Vergleich zum Vorjahr. Ein Ende dieser Entwicklung ist nicht abzusehen.

Die Angriffsszenarien sind dabei vielfältig: Die größten Schäden richten regelmäßig Ransomware-Angriffe an, bei denen Daten erst exfiltriert und dann verschlüsselt werden und von den Betroffenen mittels Drohung mit Veröffentlichung und kaum möglicher Entschlüsselung ein Lösegeld zu erpressen versucht wird. Aber auch andere Cyber-Angriffe wie Phishing mit anschließendem Business E-Mail Compromise (auch bekannt als CEO Fraud) werden häufiger und (auch dank KI) erfolgreicher und verheerender.

Zur effektiven Prävention von Cyberangriffen ist es entscheidend, die von Angreifern ausgenutzten Schwachstellen systematisch zu identifizieren und gezielt abzusichern. In der Praxis zeigt sich immer wieder: Die größte Schwachstelle ist und bleibt der Mensch.

Der menschliche Faktor – Risiko Nummer 1

Schätzungen zufolge sind rund 90 % aller erfolgreichen Cyberangriffe auf menschliches Fehlverhalten zurückzuführen – insbesondere infolge von Phishing. Die Methoden der Angreifer haben sich dabei erheblich weiterentwickelt. Täuschend echt gestaltete Phishing-E-Mails sind heute keine Seltenheit mehr. Zudem kommen zunehmend alternative Angriffsformen zum Einsatz, etwa durch QR-Codes (Quishing), Telefonanrufe (Vishing) oder SMS (Smishing).

Insbesondere durch Fortschritte im Bereich künstlicher Intelligenz hat sich das Gefährdungspotenzial erhöht. Sprachsynthese-Systeme können anhand kurzer Sprachaufnahmen realistische Imitationen erstellen – mit weitreichenden Missbrauchsmöglichkeiten. Auch nach erfolgreichen Kompromittierungen von E-Mail-Postfächern können Angreifer KI-basiert sehr überzeugende Konversationen vorgaukeln.

Menschliche Fehler lassen sich im Wesentlichen in zwei Kategorien unterteilen:

• Konzentrationsbedingte Fehler: Ausrutscher oder Nachlässigkeiten trotz eigentlich vorhandenen Wissens, sind der menschlichen Natur inhärent und nie vollständig vermeidbar, lassen sich aber durch regelmäßige Trainings überwiegend vermeiden.
• Wissensbedingte Fehler: Fehlendes Wissen oder mangelndes Verständnis, lassen sich gezielt durch Schulungsmaßnahmen adressieren.

Schulungen als Herzstück der Awareness-Strategie

Die wirksamste Maßnahme zur Abwehr von Cyberangriffen ist eine konsequente Prävention. Im Zentrum steht der Aufbau einer nachhaltigen Sicherheitskultur. Mitarbeitende müssen in der Lage sein, Bedrohungen zu erkennen und angemessen zu reagieren. Ziel ist ein sicherheitsbewusster Umgang mit digitalen Arbeitsroutinen – gestärkt durch gezielte Awareness-Maßnahmen.

Verpflichtende Schulungen zu typischen Bedrohungsszenarien – etwa Phishing, möglicherweise gefährlichen Dateien, schwachen Passwörtern, unsicherer Technik (z.B. beim mobilen Arbeiten) oder der unsachgemäße Umgang mit sensiblen Daten – sind hierfür essenziell.

Dabei reicht die jährliche oder schlimmstenfalls einmalige allgemeine Schulung für alle Mitarbeitenden oft nicht aus. Beschäftigte mit sicherheitskritischen Aufgaben, etwa mit erweiterten Zugriffsrechten, benötigen speziell auf ihre Rolle zugeschnittenes Training. Dies erhöht die Relevanz und Effektivität der vermittelten Inhalte. Auch sollten Awareness-Maßnahmen in verschiedenen Formen ergriffen werden, um einen nachhaltigen Lerneffekt zu erzielen.

Cyberangriffe sind auch ein Rechtsproblem

Schulungen sind nicht optional, sondern können verpflichtend sein. Beispielsweise der im Rahmen der Umsetzung der NIS2-Richtlinie geplante § 30 Abs. 2 Nr. 7 BSIG sieht für wichtige und besonders wichtige Einrichtungen Schulungen und Sensibilisierungsmaßnahmen vor.

Auch Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zur Umsetzung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten. Hierzu zählen auch Sensibilisierungs- und Schulungsmaßnahmen für Mitarbeitende.

Im Ernstfall wird man sich darüber hinaus möglicherweise Fragen zum Organisationsverschulden gefallen lassen müssen, wenn die Beschäftigten nicht in ausreichendem Maße geschult wurden und es dadurch zu einem erfolgreichen Cyberangriff kommen konnte.

Sensibilisierung, Tests und Notfallvorbereitung zur Stärkung der Sicherheitskultur

Neben klassischen Schulungen, etwa als Präsenz- oder Remoteschulung können realitätsnahe Simulationen – insbesondere von Social-Engineering- und Phishing-Angriffen – ein weiteres zentrales Element zur Stärkung der Sicherheitskultur sein. Regelmäßig durchgeführte, unangekündigte Phishing-Tests durch interne oder externe Stellen dienen der Überprüfung und Verbesserung der Erkennungsrate und Reaktionsfähigkeit der Mitarbeitenden.

Dabei ist auf Variation zu achten: Die Tests sollten sich in Art, Aufbau und Frequenz unterscheiden, um Gewöhnungseffekte zu vermeiden, die die Wirksamkeit untergraben würden.

Wichtig ist dabei auch die rechtlich saubere Durchführung solcher Tests. Allzu übereifrig dürfen personenbezogene Daten der Beschäftigten nicht ohne Weiteres verarbeitet werden; hier gilt es, das Awareness-Konzept auch rechtlich auf sichere Beine zu stellen.

Auch der Umgang mit Fehlern im Rahmen solcher Tests muss konstruktiv erfolgen. Eine Sanktionierung führt zu einer Kultur des Schweigens bei echten Vorfällen – mit potenziell gravierenden Folgen für das Incident Management. Stattdessen ist eine sachliche Nachbereitung und wertschätzende Kommunikation erforderlich, in der Ursachen analysiert und Verbesserungspotenziale abgeleitet werden.

Zur weiteren Verstetigung des Sicherheitsbewusstseins können begleitende Informationskampagnen eingesetzt werden – etwa durch regelmäßige Newsletter oder knappe Informations-“Häppchen”. Ziel ist es, sicherheitsrelevante Themen dauerhaft im Arbeitsalltag zu verankern, ohne die Beschäftigten mit Informationen zu ermüden und so dafür zu sorgen, dass diese möglichst schnell und im Zweifel ungelesen weggeklickt werden.

Auch ein klar strukturierter und leicht zugänglicher und verständlicher Handlungsleitfaden für den Ernstfall ist essenziell. Er stellt sicher, dass die Beschäftigten im Krisenfall unmittelbar wissen, welche Schritte zu ergreifen sind – oder zumindest, wo sie diese nachlesen können. Dies fördert ein koordiniertes Vorgehen, minimiert Risiken und trägt maßgeblich zu einer effektiven Schadensbegrenzung bei.

Fazit: Awareness- und Fehler-Kultur nachhaltig etablieren

Praktische Erfahrungen aus der Vergangenheit, Ergebnisse aus Simulationen und Test-Phishing-Kampagnen sollten systematisch ausgewertet werden. Dabei ist zu analysieren, in welchen Bereichen besondere Anfälligkeiten bestehen, um zukünftige Maßnahmen gezielt auf diese Schwachstellen ausrichten und Schulungen problembewusst nachschärfen zu können.

Eine tragfähige Awareness-Kultur erfordert zudem Vorbildverhalten durch Führungskräfte. Nur wenn Cybersicherheit auf allen Ebenen ernst genommen und aktiv vorgelebt wird, kann ein entsprechendes Bewusstsein bei den Mitarbeitenden entstehen.

Essenziell ist zudem eine gesunde und nachhaltig gelebte Fehler-Kultur! Nur wenn Beschäftigte nicht befürchten (müssen), dass ihnen sprichwörtlich der Kopf abgerissen wird, wenn sie einen Fehler gemacht haben, werden sie diesen auch zuverlässig und rechtzeitig bei den zuständigen internen Stellen melden, sodass etwaige Schäden noch eingedämmt oder ganz vermieden werden können. Dies erfordert keine reinen Lippenbekenntnisse, sondern gelebte Praxis und einen vertrauensvollen Umgang im Kollegium.

Die Entwicklung nachhaltiger Schulungskonzepte und Konzeptionierung von Schulungen sollte durch erfahrene Fachleute erfolgen bzw. begleitet werden, die sowohl die individuelle Bedrohungslage eines Unternehmens erfassen als auch maßgeschneiderte Awareness-Konzepte auf Basis umfangreicher praktischer Erfahrungen entwickeln können.