Die größte Sicherheitslücke im Unternehmen sitzt vor dem Bildschirm

„Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht.“ (Rober Mueller, ehem. FBI-Direktor)

Dieses oft zitierte Statement bringt ein unangenehmes Thema auf den Punkt:
Sicherheit scheitert selten an Technik – sondern am Menschen.

Tatsächlich werden rund 88% aller Cyberangriffe mit durch menschliche Faktoren ermöglicht (Quelle: Cyberkriminalität | Studie 2025). Und genau hier liegt für Unternehmen das größte und gleichzeitig am meisten unterschätzte Risiko.

Studien zeigen ein bemerkenswert klares Bild:
Fast ein Viertel der Mitarbeitenden würde sensible Informationen weitergeben, wenn das Risiko selbst als gering eingeschätzt wird. Und rund 13 % würden dies machen, um ihre Aufgaben effizienter zu erledigen (Quelle: dell-end-user-security-survey-2017.pdf). Wie ist die Bereitschaft der Mitarbeitenden heute?

Das Problem ist also nicht fehlende Technik, sondern eine falsche Einschätzung im Alltag.

Die meisten Sicherheitslücken entstehen nicht durch hochkomplexe Angriffe, sondern durch ganz alltägliche Situationen im Unternehmen.

Ein kurzer Realitätscheck:

• Unbekannte Personen bewegen sich frei im Büro/Gebäude
• Serverräume oder sensible Bereiche sind frei zugänglich
• Aktenschränke bleiben unverschlossen
• Ausdrucke und Papiermüll sind offen einsehbar
• Bürotüren sind nicht abgeschlossen
• Bildschirme sind nicht gesperrt
• Passwörter sind sichtbar notiert oder weisen keine Varianz und entsprechende Länge auf
• Externe Datenträger werden unkontrolliert genutzt
• Die geschäftliche E-Mailadresse wird für private Zwecke genutzt

Das Problem: Genau diese Situationen sind keine Ausnahme, sondern Alltag in vielen Organisationen.

Viele Organisationen investieren in technische Maßnahmen, verfügen jedoch kaum über belastbare Erkenntnisse darüber, wie sicher ihr tatsächlicher Arbeitsalltag wirklich ist.

Denn die entscheidende Frage lautet nicht:

• Welche Systeme sind im Einsatz?
• Welche Richtlinien existieren? 

Sondern:

• Wie wird im konkreten Moment gehandelt?
• Werden Regeln im Alltag tatsächlich eingehalten?
• Erkennen Mitarbeitende kritische Situationen überhaupt? 

Genau hier entsteht eine gefährliche Lücke zwischen Konzept und Realität.

Was im Alltag banal erscheint, ist oft der Einstiegspunkt für gezielte Angriffe.

Beispiel 1: Der unbeaufsichtigte Arbeitsplatz
Ein kurzer Gang in die Küche, der Bildschirm bleibt ungesperrt. Ein „externer Dienstleister“ nutzt die Gelegenheit und verschafft sich Zugriff auf interne Systeme.

Beispiel 2: Die scheinbar harmlose E-Mail
Eine täuschend echte Nachricht vom „IT-Support“ fordert zur Passwortänderung auf. Ein Klick genügt und Zugangsdaten sind kompromittiert.

Beispiel 3: Der freundliche Anruf
Ein Anrufer gibt sich als Führungskraft aus und bittet um schnelle Hilfe. Unter Zeitdruck werden sensible Informationen weitergegeben.

In allen Fällen gilt: Der eigentliche Angriff beginnt nicht im System, sondern im Moment der falschen Entscheidung.

Studien zeigen ein klares Bild:

• 23 % der Mitarbeitenden würden sensible Informationen weitergeben, wenn sie das Risiko für gering halten
• 13 % würden es tun, um ihre Arbeit effizienter zu erledigen

Das bedeutet: Sicherheitslücken entstehen dabei nicht aus böser Absicht, sondern aus Bequemlichkeit, Zeitdruck oder einer falschen Einschätzung von Risiken.

Viele Unternehmen investieren in:

• Firewalls
• Antivirensoftware
• Zugriffssysteme

Das ist wichtig, aber nicht ausreichend.

Denn moderne Angriffe zielen auf den Menschen ab.
Ein Klick auf einen falschen Link oder eine unbedachte Auskunft am Telefon reicht oft aus, um technische Schutzmaßnahmen zu umgehen.

Die entscheidende Frage ist daher nicht:
„Wie sicher ist unsere IT?“

sondern: „Wie sicher handeln Ihre Mitarbeitenden im Alltag?“

Angreifer nutzen gezielt menschliche Verhaltensmuster aus:

• Hilfsbereitschaft
• Autoritätsgläubigkeit
• Zeitdruck
• Routine

Diese Form der Manipulation wird als Social Engineering bezeichnet.

Beispiel: Ein unbeaufsichtigter Arbeitsplatz + ein scheinbar berechtigter Besucher = Datenabfluss ohne jede IT-Hürde.

Viele Organisationen haben kein klares Bild ihres tatsächlichen Risikos.

Ein erster Selbstcheck:

• Sind die Bildschirme konsequent auch bei kurzer Abwesenheit gesperrt?
• Gibt es klare und verständliche Sicherheitsregeln?
• Werden Mitarbeitende regelmäßig geschult?
• Ist der Umgang mit Besuchern geregelt?
• Gibt es klare Prozesse für Auskünfte nach außen?
• Werden Social-Engineering-Angriffe aktiv thematisiert?

Wenn Sie mehrere Fragen nicht eindeutig mit „Ja“ beantworten können, besteht konkreter Handlungsbedarf.

Diese Risiken lassen sich deutlich reduzieren, mit den richtigen Maßnahmen.

1. Sicherheitsbewusstsein schaffen (Awareness)
Regelmäßige Schulungen helfen, Risiken überhaupt zu erkennen.

2. Klare und einfache Richtlinien definieren
Komplexe Richtlinien werden ignoriert.
Einprägsame Grundregeln funktionieren besser.

3. Verhalten trainieren, nicht nur informieren
Wissen allein reicht nicht.
Mitarbeitende müssen lernen, situativ richtig zu handeln. Strukturierte Datenschutz- und Awareness-Schulungen helfen!

4. Prozesse und Verantwortlichkeiten festlegen
Wer darf auf welche Daten zugreifen?
Wer gibt Auskünfte nach außen?

Durch Audits oder strukturierte Bestandsaufnahmen erhält man ein gutes Bild der IST-Situation.

5. Sicherheitskultur etablieren
Sicherheit darf kein „IT-Thema“ sein, sondern gelebter Teil der Organisation.

Das größte Sicherheitsrisiko im Unternehmen ist kein technisches, sondern ein menschliches.

Genau deshalb liegt hier auch die größte Chance:

Unternehmen, die ihre Mitarbeitenden gezielt sensibilisieren und einbinden, reduzieren Risiken erheblich, oft schneller und effektiver als durch rein technische Maßnahmen.

Warum sind Mitarbeitende das größte Sicherheitsrisiko?
Weil viele Angriffe gezielt auf menschliches Verhalten abzielen und gar nicht auf Technik.

Was ist Social Engineering einfach erklärt?
Die gezielte Manipulation von Personen, um vertrauliche Informationen zu erhalten oder Sicherheitsmechanismen zu umgehen.

Welche Maßnahmen helfen am schnellsten?
Awareness-Schulungen, klare Regeln und praxisnahe Trainings.

Welche Rolle spielt das Thema bei NIS-2?
Die Richtlinie fordert explizit Maßnahmen zur Sensibilisierung und Schulung von Mitarbeitenden.

Wie real ist das Risiko in Ihrer Organisation?

Die entscheidende Frage ist nicht, ob Schwachstellen existieren, sondern ob Sie diese kennen.

Viele Organisationen sind überrascht, wie groß die Lücke zwischen verabschiedeter Richtlinie und Realität tatsächlich ist.

Eine strukturierte Bestandsaufnahme zeigt Ihnen schnell:

• wo konkrete Risiken bestehen
• wie Ihre Mitarbeitenden in kritischen Situationen handeln
• und welche Maßnahmen wirklich Wirkung entfalten 

Lassen Sie uns gemeinsam einen realistischen Blick auf Ihre Sicherheitslage werfen