Seit Jahren hat die Cybersicherheit mit einem unangenehmen Widerspruch zu kämpfen.
Mitarbeiter werden regelmäßig als das größte Risiko für Unternehmen bezeichnet, doch die meisten Unternehmen haben noch immer nicht die Systeme, Unterstützungsstrukturen oder Betriebsmodelle eingerichtet, die erforderlich sind, um den Mitarbeitern zu helfen, sich in ihrem Arbeitsumfeld sicher zu verhalten.

Genau dieser Konflikt steht im Mittelpunkt der Herausforderungen, mit denen viele CISOs zu kämpfen haben. Laut MetaCompliance-Studie, 68 % geben an, dass die Mitarbeiter das größte Cybersicherheitsrisiko für ihr Unternehmen darstellen. Gleichzeitig sind 75 % der Ansicht, dass ihre Mitarbeiter die Rolle, die sie bei der Verhinderung von Vorfällen spielen, nicht vollständig verstehen, während 77 % zugeben, dass ihnen ein klares Konzept zur Minderung des durch Menschen verursachten Cyberrisikos fehlt.
Es besteht zweifellos Einigkeit darüber, dass Cyberrisiken durch menschliches Versagen eine wichtige Rolle spielen; was jedoch fehlt, ist das Vertrauen darin, wie man diese Risiken effektiv bewältigen kann.
Warum Schuldgefühle fortbestehen
Wenn sich ein Cybervorfall ereignet, ist es nur natürlich, dass sich Unternehmen auf den sichtbaren Moment konzentrieren, in dem etwas schiefgelaufen ist.
Ein Mitarbeiter hat auf einen bösartigen Link geklickt. Jemand hat vertrauliche Informationen an die falsche Person weitergegeben. Ein Deepfake hat interne Kontrollen umgangen.
Der Einzelne rückt in den Mittelpunkt, da menschliches Handeln leichter zu erkennen ist als die dahinterstehenden operativen Schwachstellen. Dadurch entsteht eine vereinfachte Darstellung, bei der das Problem auf schlechte Entscheidungen zurückgeführt wird und nicht auf die Unternehmenskultur, die Prozessgestaltung, konkurrierende Prioritäten oder eine fragmentierte Verantwortungsverteilung im gesamten Unternehmen.
Viele Organisationen handeln zudem nach wie vor nach einer Denkweise, die man als „Schwachstelle“-Denken bezeichnen könnte. Menschen gelten im Vergleich zu technischen Kontrollmaßnahmen als unberechenbar, weshalb Sicherheitsprogramme sich naturgemäß darauf konzentrieren, Fehler der Mitarbeiter durch Schulungen, Sensibilisierung und die Durchsetzung von Richtlinien zu reduzieren.
Die Herausforderung besteht darin, dass Mitarbeiter nicht in kontrollierten Umgebungen arbeiten und nicht alle denselben Risiken oder demselben Druck ausgesetzt sind, wie sie in den meisten Schulungsprogrammen zur Sensibilisierung für Sicherheitsfragen dargestellt werden. Ein Mitarbeiter in der Finanzabteilung, der Rechnungen bearbeitet, ist ganz anderen Bedrohungen ausgesetzt als ein Entwickler, der KI-Tools einsetzt, eine Führungskraft, die häufig auf Reisen ist, oder ein Kundensupport-Team, das sensible Daten in hohem Tempo verarbeitet.
Sicherheitsentscheidungen werden mitten im Arbeitsalltag getroffen, während die Mitarbeiter konkurrierende Prioritäten gegeneinander abwägen müssen und Entscheidungen oft innerhalb von Sekunden, unter Druck und ohne vollständige Informationen getroffen werden.
Das ist einer der Gründe, warum Schuldzuweisungen so lange anhalten. Menschliche Fehler sind greifbar und unmittelbar spürbar, während organisatorische Mängel schwerer zu messen sind und sich oft über mehrere Teams erstrecken.
Warum Schuldzuweisungen das Risiko nicht verringern
Schuldzuweisungen führen selten zu einer sinnvollen oder nachhaltigen Verhaltensänderung. Die meisten Mitarbeiter gehen nicht absichtlich Risiken ein. Tatsächlich versuchen viele, das Richtige zu tun, obwohl sie in einem Umfeld arbeiten, in dem es schwierig ist, sich sicher zu verhalten.
Wenn sich Unternehmen auf Maßnahmen zur Sensibilisierung für Sicherheitsfragen konzentrieren, ohne die allgemeinen Rahmenbedingungen zu berücksichtigen, unter denen die Mitarbeiter arbeiten, werden Sicherheitsschulungen zu einer Pflichtübung, anstatt die Entscheidungsfindung in risikoreichen Situationen tatsächlich zu unterstützen.
Unsere Untersuchungen deuten darauf hin, dass sich CISOs dieser Diskrepanz zunehmend bewusst werden. 81 % sind der Ansicht, dass Schulungen zur Sensibilisierung für Sicherheitsfragen scheitern, weil sie zu allgemein gehalten sind, um für den Einzelnen relevant zu sein, während 83 % angeben, dass sie das durch menschliches Versagen verursachte Cyberrisiko schneller verringern könnten, wenn sie über bessere Möglichkeiten verfügten, Prioritäten zu setzen, wer welche Maßnahmen wann benötigt.
Gleichzeitig verfolgen nur 24 % der Unternehmen einen ausgereiften, integrierten Ansatz für das Personalrisikomanagement, und kein einziges Unternehmen gab an, dynamische Sensibilisierungsinhalte bereitzustellen, die auf die spezifischen Risiken zugeschnitten sind, denen die Mitarbeiter tagtäglich ausgesetzt sind.
Diese Lücke ist von Bedeutung, da das Bewusstsein nur bis zu einem gewissen Grad wirken kann, wenn die umgebenden Systeme unverändert bleiben.
Mitarbeiter mögen die Sicherheitsgrundsätze zwar theoretisch verstehen, doch ihre Umsetzung in der Praxis gestaltet sich weitaus schwieriger, wenn die Arbeitsbelastung hoch ist, Abläufe unklar sind oder der Betriebsdruck Schnelligkeit vor Vorsicht priorisiert.
Schuldzuweisungen haben zudem unbeabsichtigte kulturelle Folgen. Mitarbeiter zögern zunehmend, Fehler zu melden oder Bedenken zu äußern, wenn sie Kritik oder Konsequenzen befürchten. Mit der Zeit schwächt dies das Vertrauen zwischen den Sicherheitsteams und der übrigen Belegschaft, wodurch es schwieriger wird, Risiken aufzudecken.
Die verhaltenswissenschaftlichen Hintergründe menschlicher Cyberrisiken
Eine der größten Veränderungen im Bereich der Cybersicherheit ist die zunehmende Erkenntnis, dass Verhalten durch das Umfeld beeinflusst wird.
Menschen treffen Entscheidungen selten unabhängig von Arbeitsbelastung, Unternehmenskultur, Anreizen, Kommunikationsstilen oder operativem Druck. Die Verhaltensforschung hat gezeigt, dass Menschen unter Stress oder bei kognitiver Überlastung dazu neigen, sich auf Bequemlichkeit, Schnelligkeit und Gewohnheiten zu verlassen.
Das ist wichtig, da viele Unternehmen von ihren Mitarbeitern erwarten, dass sie immer raffiniertere Bedrohungen erkennen, während sie in Umgebungen arbeiten, die eine sorgfältige Entscheidungsfindung erschweren.
Die KI verschärft diese Herausforderung noch. Von den Mitarbeitern wird nun erwartet, dass sie hochgradig personalisierte Phishing-E-Mails und sich ständig weiterentwickelnde Social-Engineering-Taktiken erkennen und dabei dennoch schnell und effizient arbeiten.
Unsere Untersuchung ergab, dass 46 % der CISOs, die sich beim Umgang mit Cyberrisiken durch menschliches Verhalten weniger sicher fühlen als noch vor 12 Monaten, KI-gestütztes Social Engineering als einen der Hauptgründe dafür nennen. Die Angriffe werden immer überzeugender, zielgerichteter und im Arbeitsalltag weitaus schwerer zu erkennen.
78 % der CISOs gaben an, dass hochrangige Entscheidungsträger die von Mitarbeitern ausgehenden Sicherheitsrisiken nicht vollständig verstehen. Diese Diskrepanz führt zu einer schwierigen Situation, in der die Verantwortung für die Minderung menschlicher Cyberrisiken auf den Einzelnen abgewälzt wird, ohne dass den übergeordneten organisatorischen Faktoren, die das Verhalten beeinflussen, ausreichend Beachtung geschenkt wird.
Tatsache ist, dass Mitarbeiter stark von den Systemen in ihrem Umfeld beeinflusst werden. Sind Arbeitsabläufe zu komplex, sind Berichtsprozesse unklar oder wird Produktivität konsequent vor Sicherheit priorisiert, passen die Menschen ihr Verhalten natürlich entsprechend an.
Sicheres Verhalten fällt leichter, wenn Unternehmen es im Arbeitsalltag als relevant darstellen und fördern.
Wie ein unterstützungsorientiertes Modell aussieht
Zukunftsorientierte Unternehmen beginnen, das durch Menschen verursachte Cyberrisiko anders anzugehen.
Anstatt Mitarbeiter als eine zu kontrollierende Risikoquelle zu betrachten, beginnen sie, sie als Akteure in einem umfassenderen Sicherheitsökosystem zu sehen, das kontinuierliche Unterstützung und Stärkung benötigt.
Dies verändert die Sichtweise von Unternehmen auf Schulungen zur Sicherheitssensibilisierung grundlegend.
Anstatt sich auf breit angelegte, allgemeine Kampagnen zu verlassen, die unternehmensweit einheitlich durchgeführt werden, gehen Sicherheitsteams zunehmend zu kontextbezogenen und verhaltensorientierten Ansätzen über. Tatsächlich stimmen 81 % der CISOs zu, dass eine gezieltere Ausrichtung – und nicht mehr Schulungen – die Lösung ist, während 83 % angeben, dass sie das durch menschliches Versagen bedingte Cyberrisiko schneller reduzieren könnten, wenn sie über bessere Methoden verfügen würden, um zu priorisieren, wer wann welche Maßnahmen benötigt.
Schulungen werden zunehmend rollenspezifischer und stärker auf die tatsächliche Risikoexposition abgestimmt. Dennoch haben viele Unternehmen nach wie vor Schwierigkeiten mit der Transparenz: 76 % der CISOs geben an, dass nach wie vor unklar ist, welche Maßnahmen für verschiedene Rollen oder Risikoprofile am besten geeignet sind.
Diese Organisationen legen zudem großen Wert auf Messbarkeit und Transparenz. Sie möchten nachvollziehen, wo sich die durch Menschen verursachten Cyberrisiken konzentrieren, welche Verhaltensweisen die größten Risiken mit sich bringen und wo zusätzliche Unterstützung erforderlich ist.
Genau hier gewinnt das Risikomanagement im Personalbereich zunehmend an Bedeutung.
Wir bei MetaCompliance beobachten, dass Unternehmen über reine Sensibilisierungsmaßnahmen hinausgehen und zunehmend ausgereiftere Strategien verfolgen, die Erkenntnisse zum Verhalten, gezielte Maßnahmen und eine messbare Risikominderung miteinander verbinden. Der Schwerpunkt verlagert sich vom Nachweis, dass Schulungen absolviert wurden, hin zur Frage, ob sich das Sicherheitsverhalten im Laufe der Zeit verbessert.
Dies erfordert zudem eine engere Abstimmung zwischen den Bereichen Sicherheit, Personalwesen, Führungsebene und operativen Teams. Das durch Menschen verursachte Cyberrisiko kann nicht allein den Sicherheitsabteilungen angelastet werden, da das Verhalten der Mitarbeiter von der Unternehmenskultur, den Systemen, der Kommunikation und den geschäftlichen Prioritäten geprägt wird.
Die Unternehmen, die die größten Fortschritte erzielen, sind diejenigen, die andere Fragen stellen. Anstatt sich ausschließlich darauf zu konzentrieren, warum Mitarbeiter Fehler gemacht haben, untersuchen sie, welche Umstände diese Fehler überhaupt erst begünstigt haben.
Cyberrisiken durch menschliches Versagen erfordern eine andere Denkweise
Cyberrisiken durch menschliches Versagen werden nicht verschwinden. Wenn überhaupt, werden sie immer komplexer und sind immer enger mit dem täglichen Geschäftsbetrieb verflochten.
Unternehmen, die weiterhin vorrangig auf Schuldzuweisungen als Reaktion auf Cyberbedrohungen setzen, könnten Schwierigkeiten haben, nennenswerte Fortschritte zu erzielen, da Schuldzuweisungen keinen Fahrplan für Verbesserungen bieten.
Die Organisationen, die sich am schnellsten weiterentwickeln, werden diejenigen sein, die ihre Mitarbeiter nicht länger als ein Problem betrachten, das es zu lösen gilt, sondern das von Menschen ausgehende Cyberrisiko als gemeinsame organisatorische Herausforderung ansehen, die gemeinsam bewältigt werden muss.
Denn Schuldzuweisungen sind kein Mittel zur Kontrolle.
Möchten Sie die vollständigen Ergebnisse einsehen?
Laden Sie die vollständige Version herunter Bericht „Rethinking Human Cyber Risk“ und erfahren Sie, wie 200 CISOs in ganz Europa das Thema Sicherheitsbewusstsein, Verhaltensrisiken und die Zukunft des menschlichen Risikomanagements neu überdenken.