Cybersecurity – Der Mensch als Risiko-Faktor und Chance in der IT-Sicherheit

Mitarbeitende werden beim sogenannten Phishing gezielt durch manipulierte E-Mails dazu verleitet, Anhänge zu öffnen oder auf Links zu klicken. Diese enthalten häufig Malware, die sich unbemerkt im Firmennetzwerk verbreitet. Die verlinkten Seiten wirken auf den ersten Blick seriös, dienen jedoch dem Zweck, Zugangsdaten oder andere sensible Informationen abzugreifen – ein erhebliches Cybersecurity-Risiko.

Absenderadressen lassen sich dabei täuschend echt fälschen (→ Spoofing) oder stammen sogar von kompromittierten Konten von Kollegen oder Geschäftspartnern – was das Vertrauen zusätzlich untergräbt.

Eine besonders perfide Form ist das sogenannte Spear Phishing: Hier werden nicht mehr wahllos, sondern gezielt einzelne Personen oder Gruppen angesprochen – oft auf Grundlage vorab gesammelter Informationen. Auch die Watering-Hole-Methode zielt auf bestimmte Zielgruppen: Dabei infizieren Angreifende gezielt Webseiten, die typischerweise von diesen Gruppen besucht werden, um dort Schadcode einzuschleusen.

Solche Angriffe verdeutlichen, wie wichtig ein hohes Maß an IT-Sicherheitsbewusstsein ist – denn die Schwachstelle bleibt oft der Mensch.

Nicht alle Angriffe erfolgen per E-Mail – zunehmend nutzen Cyberkriminelle auch andere Kommunikationskanäle. Beim sogenannten Voice-Phishing (auch „Vishing“) werden automatisierte Anrufe eingesetzt, um Mitarbeitende zur Herausgabe sensibler Informationen zu bewegen. Auch SMS-Phishing („Smishing“) ist weit verbreitet – dabei werden betrügerische Links oder Aufforderungen direkt per Textnachricht verschickt.

Dank der rasanten Fortschritte im Bereich der künstlichen Intelligenz kommen dabei immer häufiger gefälschte Stimmen zum Einsatz, die sich kaum noch von echten unterscheiden lassen. Auch Deepfakes – also täuschend echte, KI-generierte Video- oder Audioaufnahmen – werden zunehmend genutzt, um gezielt Vertrauen zu erschleichen.

Ein besonders gefährliches Szenario ist der sogenannte CEO-Betrug: Hier geben sich Angreifer als Führungskraft aus und setzen Mitarbeitende unter Druck – etwa mit der Bitte, kurzfristig Geld auf ein angeblich dringendes Konto zu überweisen. Solche Täuschungen sind besonders heimtückisch, weil sie gezielt Hierarchien und Entscheidungsdruck ausnutzen – und somit ein ernstzunehmendes Risiko für die IT-Sicherheit und Integrität eines Unternehmens darstellen.

Diese Methode, auch als Piggybacking bekannt, beschreibt den unbefugten physischen Zutritt zu einem gesicherten Unternehmensbereich – meist durch Vortäuschung einer legitimen Identität. Ein typisches Beispiel ist das sogenannte Tailgating: Dabei folgt eine Person dicht hinter einem Mitarbeitenden ins Gebäude, oft unter einem Vorwand wie „Ich habe gerade die Hände voll – könnten Sie bitte kurz die Tür aufhalten?“.

Ebenso gängig ist das Auftreten als vermeintlicher Paketbote. Eine DHL-Jacke, ein paar Kartons und selbstbewusstes Auftreten reichen häufig aus, um Sicherheitsbarrieren zu umgehen – vor allem dann, wenn Empfangs- oder Sicherheitspersonal überlastet ist.

Solche physischen Täuschungsversuche zeigen, dass Cybersecurity nicht allein im digitalen Raum stattfindet. Auch der Schutz der Unternehmensinfrastruktur vor realen Eindringlingen ist ein wesentlicher Bestandteil ganzheitlicher IT-Sicherheit – und der Mensch bleibt dabei oft das schwächste Glied.

Auch beim sogenannten Pretexting bedienen sich Angreifer falscher Identitäten – sie geben sich etwa als Servicemitarbeitende, Kolleginnen oder Kunden aus, um gezielt Vertrauen zu erschleichen. Anders als bei spontanen Angriffen basiert diese Methode auf intensiver Vorbereitung und Recherche: Cyberkriminelle sammeln Informationen über ihre Zielpersonen, häufig aus öffentlich zugänglichen Quellen wie Social-Media-Profilen, Branchenportalen oder Unternehmenswebsites.

Mit diesem Wissen wird eine glaubwürdige Geschichte konstruiert – ein sogenannter „Pretext“ – und über E-Mails, Anrufe oder Chats eine persönliche Verbindung aufgebaut. Künstliche Intelligenz kann dabei helfen, Kommunikation noch überzeugender zu gestalten. Ziel ist es, das Opfer durch geschickte Gesprächsführung, emotionale Manipulation oder subtile Drohungen zur Preisgabe vertraulicher Informationen zu bringen.

Pretexting zeigt deutlich, wie sehr Cybersecurity-Risiken mit menschlicher Interaktion verbunden sind – und wie wichtig Sensibilisierung und Schulung in der IT-Sicherheit auch jenseits technischer Systeme ist.

Wenn Mitarbeitende ihre Passwörter selbst wählen dürfen, greifen sie oft zu wenig sicheren Varianten. Beliebt sind einfache Kombinationen, die leicht zu merken – und ebenso leicht zu erraten – sind. Häufig werden dieselben Passwörter für mehrere Konten verwendet oder sogar notiert – etwa auf einem Zettel am Schreibtisch oder Monitor. Noch immer zählen Klassiker wie „12345“ oder schlicht „Passwort“ zu den meistgenutzten Zugangscodes in Deutschland – ein enormes Cybersecurity-Risiko.

Doch auch vermeintlich komplexe Passwörter bieten keine absolute Sicherheit: Mithilfe von Brute-Force-Angriffen – bei denen Hochleistungsrechner automatisiert Wörterbücher und Namenslisten durchprobieren – können Zugangsdaten in erstaunlich kurzer Zeit geknackt werden.

Dies unterstreicht, wie entscheidend starke Passwort-Richtlinien und ergänzende Maßnahmen wie Zwei-Faktor-Authentifizierung für die IT-Sicherheit im Unternehmen sind – gerade wenn der Mensch das Einfallstor darstellt

Schatten-IT beschreibt den Einsatz von nicht genehmigter Software, Apps oder Geräten durch Mitarbeitende – außerhalb der offiziellen Firmen-IT. Im Hintergrund entsteht so eine inoffizielle Parallelstruktur, die zwar oft als praktisch oder effizient empfunden wird, gleichzeitig aber ein erhebliches Risiko für die IT-Sicherheit darstellt.

Typische Beispiele: Die Installation von WhatsApp auf dem Diensthandy zur unkomplizierten Kommunikation mit Kolleginnen und Kollegen, das Speichern von Unternehmensdaten in privaten Cloud-Diensten, die Nutzung privater E-Mail-Konten für berufliche Zwecke oder der Einsatz von nicht freigegebenen Geräten wie USB-Sticks, privaten Laptops oder Smartphones.

Vor allem jüngere Mitarbeitende zeigen hier ein risikofreudigeres Verhalten: Laut einer Umfrage gaben rund 40 Prozent der 20- bis 40-Jährigen an, Arbeitsdokumente auf privaten Geräten oder in persönlichen Cloud-Speichern zu verwalten.

Das Problem: Die IT-Abteilung hat auf diese Infrastruktur keinen Zugriff – mögliche Sicherheitslücken bleiben unentdeckt, Schutzmechanismen greifen nicht. Dadurch steigt die Gefahr von Datenlecks, unbefugtem Zugriff oder Verstößen gegen den Datenschutz erheblich.

Ein oft unterschätztes Sicherheitsrisiko sind unzufriedene Mitarbeitende – oder solche, die das Unternehmen bereits verlassen haben. Wer sich übergangen, unfair behandelt oder gekündigt fühlt, kann versucht sein, dem Unternehmen bewusst zu schaden. Besonders kritisch wird es, wenn finanzielle Anreize von außen ins Spiel kommen, etwa im Rahmen gezielter Social-Engineering-Angriffe wie beim Pretexting.

Ein weiteres Problem: Viele Unternehmen versäumen es, beim Austritt von Mitarbeitenden grundlegende Sicherheitsmaßnahmen umzusetzen. Zugangsdaten bleiben aktiv, ID-Karten werden nicht eingezogen – der Zugriff auf das Firmennetzwerk ist oft noch Monate, teils Jahre später möglich.

Im Zuge des flächendeckenden Home-Office wurden viele Systeme auf Fernzugriff ausgelegt – eine praktische Lösung, die aber zusätzliche Angriffsflächen schafft, wenn sie nicht konsequent verwaltet wird. Laut einer Studie hatte rund jeder zweite ehemalige Mitarbeitende später noch Zugriff auf zentrale Unternehmenssysteme.

Gerade bei gekündigten Mitarbeitenden kann daraus ein ernstzunehmendes Cybersecurity-Risiko entstehen – denn auch emotionale Motive wie Rache oder verletzter Stolz sind reale Faktoren in der IT-Sicherheitslage eines Unternehmens.

Bei sogenannten USB-Drop-Angriffen platzieren Angreifer mit Malware infizierte USB-Sticks an öffentlich zugänglichen Orten – in der Hoffnung, dass jemand sie findet, neugierig wird und in einen Unternehmensrechner einsteckt. Diese Methode zielt gezielt auf eine zutiefst menschliche Schwäche: Neugier.

Beliebte Orte für solche Angriffe sind Parkplätze, Kantinen, Loungebereiche oder Konferenzräume von Unternehmen – aber auch Fachmessen und Tagungen. Häufig werden die USB-Sticks optisch aufgewertet, etwa durch Firmenlogos oder Aufschriften wie „Nur für Berechtigte“, „Jahresbericht“ oder besonders hohe Speicherangaben („2TB“ – wer kann da schon widerstehen?). So steigern Angreifer die Wahrscheinlichkeit, dass der Stick tatsächlich verwendet wird.

Besonders perfide: Auf Messen werden solche Geräte teilweise als vermeintliche Werbegeschenke verteilt. In einem bekannten Fall wurden präparierte USB-Sticks sogar per Post verschickt, getarnt als Gutscheine oder Infomaterialien – ein ernstzunehmendes Cybersecurity-Risiko, das zeigt, wie leicht IT-Sicherheitsvorgaben durch menschliche Impulse unterlaufen werden können. Auch zum Thema USB-Angriffe bietet SKYTALE die passende Schulung an