Beim Thema Cybersicherheit wird der Faktor Mensch häufig unterschätzt. Um sich gegen Hackerangriffe zu schützen, setzen Unternehmen auf hochkomplexe und technische Maßnahmen wie etwa KI-Systeme. Doch technische Lösungen allein reichen nicht aus, um das Sicherheitsbewusstsein im Unternehmen zu fördern. Lesen Sie hier, wie Security-Verantwortliche Mitarbeitende als Teil der Sicherheitsstrategie einbinden können und welche Rolle Weiterbildung spielt – sowohl für die Verantwortlichen als auch die Mitarbeitenden über alle Bereiche hinweg.
Je ausgefeilter die Täuschungsmanöver der Hacker werden, umso leichter fallen wir darauf herein. Es gibt mittlerweile Betrugsmaschen, die im Internet fast schon Kultstatus erreichen – wie etwa der berühmte „Nigerianischen Prinz“, der angeblich ein großes Erbe überweisen möchte.
Man möchte meinen, dass solche Tricks heute niemanden mehr täuschen – besonders im beruflichen Kontext. Doch weit gefehlt: Social-Engineering-Angriffe gehören immer noch zu den beliebtesten Einfallstoren für Hacker.
Gerade deshalb ist es wichtig, Mitarbeitende für subtile Manipulation zu sensibilisieren und klare und praxisnahe Richtlinien vorzugeben, wie sie sich sicherheitskonform verhalten und zu aktiven Gestaltern werden. Das Problem: Sind die Richtlinien für die Mitarbeitenden im Arbeitsalltag unpraktisch, weil sie effizientes Arbeiten ausbremsen, oder werden sie unzureichend kommuniziert, sinkt ihre Wirksamkeit – und die Zusammenarbeit zwischen IT und Fachbereichen leidet. Um den Faktor Mensch zu stärken, braucht es deshalb einerseits sichere, verständliche und leicht umsetzbare Regeln und anderseits gezielte Schulungen.
Die Methoden moderner Angreifer
In einer Bitkom-Studie aus dem Jahr 2024 gab fast die Hälfte der Unternehmen an, dass es Social-Engineering-Attacken auf die eigene Organisation gegeben habe. Doch wie genau sehen solche Angriffe in der Praxis aus?
Was einst mit dem „Nigerianischen Prinzen“ begann, ist heute hochprofessionell. Social-Engineering-Angriffe nutzen gezielte Taktiken, um Vertrauen zu gewinnen. Beim sogenannten CEO-Fraud, auch Chef-Trick genannt, geben sich Täter als Führungskraft aus, setzen Mitarbeitende unter Druck und fordern sensible Daten oder Überweisungen – oft unter dem Vorwand geheimer Vorgänge. Das erzeugt Loyalität und verhindert kritisches Hinterfragen.
Für ihre Angriffe nutzen Social Engineers vielfältige Taktiken wie Pretexting und geben sich mit falscher Identität wie etwa als IT-Support oder externe Dienstleister aus. Oder sie nutzen Voice Phishing (Vishing) – also täuschend echte Anrufe mit manipulierten Absendernummern. Spear-Phishing setzt auf personalisierte E-Mails, oft KI-gestützt formuliert. Mithilfe öffentlich zugänglicher Infos imitieren Angreifer realistisch Sprache, Tonfall und Verhalten – und platzieren so glaubwürdige Täuschungen direkt im Arbeitsalltag.
Der Beitrag der CISOs: Alltagstaugliche Richtlinien
Sicherheitsmaßnahmen greifen nur, wenn Mitarbeitende sie verstehen, akzeptieren und im Alltag anwenden. Genau hier setzt ein kommunikationsorientierter Ansatz an: Security-Verantwortliche sollten nicht nur Sicherheitsrichtlinien definieren, sondern diese auch strategisch vermitteln – und das mit Empathie, Klarheit und dem Blick für Effizienz und reale Arbeitsbedingungen. Wer Zielkonflikte ernst nimmt, Richtlinien verständlich erklärt und Mitarbeitende frühzeitig einbindet, legt den Grundstein für eine gelebte Sicherheitskultur und richtige Entscheidungen im Alltag.
Doch dieser mitarbeiterzugewandte Ansatz will gelernt sein: Mit einem gezielten Training lernen CISOs, IT-Sicherheitsrichtlinien so zu gestalten und zu kommunizieren, dass sie von Mitarbeitenden akzeptiert und umgesetzt werden – durch empathisches Policy-Engineering, strategische Kommunikationsmethoden und Konfliktprävention, die Widerstände abbauen und die Zusammenarbeit zwischen IT und Fachbereichen stärken.
Trainings, die Mitarbeitende zu Verteidigern machen
Um bei den Mitarbeitenden die Gefahr durch Social Engineering zu minimieren, empfiehlt der Branchenverband Bitkom regelmäßige Schulungen für die gesamte Belegschaft – nicht nur für das IT-Fachpersonal. Denn meist sind Mitarbeiter und Führungskräfte Ziel solcher Angriffe. Und das Bauchgefühl reicht nicht aus, um die immer raffinierteren Maschen lückenlos zu erkennen. Regelmäßige Trainings sensibilisieren für aktuelle Methoden und reduzieren das Risiko deutlich. Ziel ist es, dass Mitarbeitende nicht nur potenzielle Bedrohungen erkennen, sondern mit erhöhter Wachsamkeit aktiv zur Schutzstrategie der Organisation beitragen.
Die immersive Simulationsumgebung macht komplexe IT-Angriffe und Abwehrstrategien anschaulich und für alle Zielgruppen erlebbar. © Ludmilla Parsyak, Fraunhofer IAO
Schulungen: Darauf sollten Unternehmen achten
Um die Mitarbeitenden zu Sicherheitsverantwortung zu motivieren, kommt es maßgeblich auf die Qualität der Schulungen an. Doch auf welche Aspekte sollten Unternehmen bei der Auswahl der Weiterbildungsangebote achten?
- Möglichst realitätsnahe Beispiele: Neben technischem Grundlagenwissen ist es wichtig, dass die Lernenden anhand möglichst realitätsnaher Szenarien trainieren, um Angriffsversuche frühzeitig zu erkennen. Erhöhte Wachsamkeit entwickeln Mitarbeiter am besten anhand praktischer Übungen. Die immersive Simulationsumgebung lässt die Teilnehmer Angriffe erleben und zeigt mithilfe von Demonstratoren, welche Angriffsformen aktuell und künftig möglich sind.
- Neuestes Forschungswissen: Die Angriffsmethoden werden immer ausgefeilter. Deshalb müssen nicht nur IT-Fachkräfte, sondern auch nicht-technisches Personal stets auf dem neuesten Stand sein und subtile Manipulationsversuche erkennen. Beim Lernlabor Cybersicherheit der Fraunhofer Academy werden Schulungen von Cybersicherheitsforschern entwickelt und durchgeführt. Das Besondere: Die Weiterbildungsangebote werden konstant anhand der neuesten Forschungsergebnisse weiterentwickelt.
- Organisationsspezifische Analyse von Schwachstellen: Jede Organisation und jede Abteilung ist anders. Umso sinnvoller ist es, organisations- und abteilungsspezifische Sicherheitslücken zu analysieren und die Schulungsinhalte gezielt auf den Arbeitsalltag abzustimmen. Je spezifischer die Schulungen, desto besser können die heterogenen Zielgruppen erreicht werden wie beispielsweise Controller, die eine Schulung zu CEO-Fraud erhalten. Gemeinsam mit den Experten des Fraunhofer-Instituts für Arbeitswirtschaft und Organisation IAO und der Hochschule Heilbronn haben Unternehmen die Möglichkeit, die Schulung der Mitarbeitenden und des Führungspersonals passgenau mit der Analyse der eigenen spezifischen Schwachstellen zu verknüpfen.
- Balance zwischen Sicherheit und Effizienz: Ein wirkungsvolles Awareness-Programm richtet sich nach klar definierten Sicherheitsrichtlinien, die so gestaltet sind, dass Mitarbeitende sie als hilfreiche Unterstützung im Arbeitsalltag begreifen. Im Zentrum jeder Schulung sollten daher Selbstwirksamkeit und Effizienz stehen. Sicherheitsmaßnahmen dürfen nicht als Hürde erscheinen, sondern als integraler Bestandteil und Voraussetzung für reibungslose Geschäftsprozesse – greifbar, nachvollziehbar und praxisnah vermittelt.
Den Faktor Mensch in der IT-Sicherheit stärken
Menschen bleiben für Hacker nach wie vor ein lohnendes Einfallstor. Regelmäßige und praxisnahe Schulungen verwandeln vermeintliche Schwächen in Stärken – sie fördern ein Sicherheitsklima, in dem sich alle verantwortlich und kompetent fühlen. Auch erfahrene Mitarbeiter profitieren von praxisnaher Auffrischung und neuen Perspektiven.
Das Fraunhofer IAO rückt mit seinem Lernlabor Cybersicherheit den Faktor Mensch in den Fokus und bietet ein umfassendes Angebot. Dabei wenden die Experten aktuelles Forschungswissen an, um Mitarbeiter auch gegen die neuesten Social-Engineering-Angriffe zu schützen. So wird das Risiko eines Angriffs reduziert und Mitarbeiter können aktiv und bewusst zur Sicherheitsstrategie des Unternehmensbeitragen.
Mehr zum Lernlabor Cybersicherheit „Sicherheitsfaktor Mensch“ am Fraunhofer IAO und der Hochschule Heilbronn erfahren Sie in diesem Video:
Das Lernlabor Cybersicherheit ist ein Weiterbildungsprogramm, in dem Experten und Expertinnen von Fraunhofer und ausgewählten Fachhochschulen aktuellste Erkenntnisse auf dem Gebiet der Cybersicherheit vermitteln. Fach-und Führungskräfte aus Industrie und öffentlicher Verwaltung können so ihre Kompetenzen zu IT-Sicherheit aktualisieren und spezialisieren. An zahlreichen Standorten in Deutschland erhalten Sie eine kompakte Qualifizierung in hochwertigen Laboren. Die Präsenzphasen der Seminare dauern nur ein bis drei Tage und sind mit Online-Angeboten ergänzt, so dass die Kurse berufsbegleitend belegt werden können.