DUP UNTERNEHMER-Magazin: Cyberangriffe gelten inzwischen als das größte Geschäftsrisiko – mit teilweise verheerenden Folgen für Unternehmen. Wie hat sich die Bedrohungslage aus Ihrer Sicht in den vergangenen Jahren verändert, und warum wird die menschliche Komponente dabei immer relevanter?
Christian Bruns: Die Bedrohungslage hat sich in den vergangenen Jahren deutlich verschärft. Die zunehmende Digitalisierung führt dazu, dass immer mehr Geschäftsprozesse vollständig von IT abhängen – und damit auch verwundbarer werden. Jede neue Anwendung und jede zusätzliche Schnittstelle vergrößert die Angriffsfläche. Gleichzeitig hat sich die Angreiferseite hoch professionalisiert: Cyberkriminelle agieren heute wie Unternehmen, nutzen Dienstleistungsmodelle wie „Ransomware-as-a-Service“ und können Expertise kurzfristig zukaufen – ähnlich wie Firmen externe Beratung in Anspruch nehmen. Das erhöht das Potenzial krimineller Aktivitäten erheblich.
Während technische Schutzmaßnahmen immer besser, günstiger und leichter integrierbar werden, ist das Sicherheitsbewusstsein vieler Organisationen nicht im gleichen Maße gewachsen. Angreifer setzen daher gezielt auf Social Engineering und psychologische Manipulation, weil hier die größte Schwachstelle liegt. Genau deshalb muss der menschliche Faktor stärker in den Fokus rücken: Kompetenzaufbau, Sensibilisierung und eine gelebte Sicherheitskultur entscheiden zunehmend darüber, wie widerstandsfähig ein Unternehmen tatsächlich ist.
Hacker agieren oft hochstrategisch – mit ausgeklügelter Manipulation. Welche psychologischen Mechanismen nutzen Cyberkriminelle gezielt aus, um ihre Opfer zu täuschen oder unter Druck zu setzen?
Bruns: Ein zentraler Mechanismus ist Handeln unter Druck. Angreifer erzeugen künstliche Dringlichkeit – etwa durch angebliche Zahlungsfristen, Sicherheitswarnungen oder vermeintliche Chefanweisungen. In Stresssituationen handeln Menschen impulsiver und prüfen Informationen seltener.
Ebenso nutzen Angreifer unsere natürliche Hilfsbereitschaft aus. Viele Angriffe beginnen mit einer höflichen Bitte oder einem vertraulich klingenden Anliegen, das Mitarbeitende dazu verleitet, Informationen preiszugeben oder Zugänge freizuschalten.
Hinzu kommt die enorme Zunahme der Nachrichtenflut über E-Mail, Messenger, Telefon oder Collaboration-Tools. Die Aufmerksamkeitsspanne sinkt, Entscheidungen werden schneller getroffen, und ungewöhnliche Anfragen fallen weniger auf. Genau in dieser Überlastung platzieren Angreifer ihre Botschaften – perfekt getarnt zwischen Meetings, Aufgaben und Benachrichtigungen. Das macht Social Engineering heute so erfolgreich.
Nicht jeder Hacker hat die gleichen Ziele oder Beweggründe. Welche unterschiedlichen Täterprofile begegnen Ihnen in der Praxis – vom Hobby-Hacker bis zur organisierten Cybercrime-Gruppe?
Bruns: Im Unternehmenskontext begegnen uns vor allem organisierte kriminelle Gruppen und zunehmend auch politisch motivierte Akteure. Das hängt unmittelbar mit der gestiegenen Bedrohungslage zusammen: Es gibt viel Geld zu verdienen, und politische Botschaften lassen sich digital sehr effektiv verbreiten.
Hobby-Hacker spielen kaum noch eine Rolle. Warum genau, lässt sich nur vermuten: Entweder bremsen moderne Sicherheitsstandards sie aus, oder betroffene Unternehmen wenden sich gar nicht erst an Security-Dienstleister. Staatliche Akteure treten im Alltag seltener in Erscheinung, was sie jedoch nicht weniger gefährlich macht. Viele Aktivitäten bleiben im Verborgenen oder werden erst relevant, wenn ihre Werkzeuge und Taktiken in den Untergrund abwandern und dort breiter verfügbar werden.
Viele Angriffe starten nicht mit einer technischen Lücke, sondern mit einem Klick. Warum ist Social Engineering so effektiv – und welche typischen Denkfehler oder Verhaltensmuster machen Mitarbeitende anfällig?
Bruns: Angreifer nutzen gezielt Situationen, in denen Menschen unter Zeitdruck stehen, viele Entscheidungen parallel treffen oder schlicht hilfsbereit sein wollen. Diese Verhaltensmuster machen Mitarbeitende anfällig. Wir reagieren schneller, wenn etwas dringend klingt, wir wollen Kolleginnen und Kollegen unterstützen, und wir prüfen weniger gründlich, wenn Postfach, Messenger oder Telefon ohnehin überlaufen.
Ich würde hier weniger von Denkfehlern sprechen als von antrainiertem Verhalten, das im Arbeitsalltag hilfreich und sogar erwünscht ist. Angreifer nutzen genau diese Routinen schamlos aus.
Gleichzeitig greift eine weitere menschliche Schwäche: Das Gehirn gleicht neue Informationen mit bekannten Mustern ab. Deshalb können wir Texte problemlos lesen, selbst wenn Buchstaben vertauscht sind. Für Angreifer ist das eine ideale Grundlage, um bekannte Markennamen oder Absender zu imitieren – und so den einen Klick zu viel zu provozieren.
Technische Sicherheitsmaßnahmen allein reichen oft nicht mehr aus. Wie nehmen Sie die Awareness-Kultur in deutschen Unternehmen wahr? Gibt es ein wachsendes Verständnis für die psychologischen Hintergründe von Cyberangriffen?
Bruns: Positiv ist, dass Cyber Security heute deutlich mehr Relevanz hat als noch vor wenigen Jahren. Neue gesetzliche Vorgaben, klare Haftungsregelungen und die mediale Präsenz erfolgreicher Angriffe sorgen dafür, dass Vorstände und Geschäftsleitungen das Thema nicht mehr als theoretische Bedrohung abtun. Dieses Bewusstsein ist ein wichtiger Fortschritt.
Gleichzeitig zeigt die Praxis jedoch eine große Lücke: Vielen Unternehmen fehlt noch immer das Verständnis für ihre eigene digitale Abhängigkeit. IT wird häufig als Unterstützungsfunktion statt als integraler Bestandteil der Wertschöpfung gesehen. Das ist ein branchenübergreifendes Problem.
Der Vergleich mit der Arbeitssicherheit macht das deutlich: Für physische Gefahren existieren etablierte Gesetze, Routinen und ein hohes Verständnis für Schulungen und Schutzmechanismen. Security-Budgets hingegen sind oft ein Ringkampf und fließen vor allem in Technik statt in organisatorische Maßnahmen. Dabei ist klar: Technische Investitionen sind unverzichtbar, doch im Bereich Security Awareness besteht weiterhin erheblicher Nachholbedarf.
Um wirksam zu sein, müssen Awareness-Maßnahmen mehr leisten als reine Informationsvermittlung. Wie lassen sich nachhaltige Verhaltensänderungen bei Mitarbeitenden erreichen – und welche Rolle spielt dabei das Thema Psychologie?
Bruns: Nachhaltige Verhaltensänderungen entstehen nicht durch mehr Informationen, sondern dadurch, dass Verhalten in realen Entscheidungssituationen beeinflusst wird. Wissen schützt nur dann, wenn es in stressigen, schnellen und oft unklaren Momenten auch abrufbar ist.
In der Praxis wirken Maßnahmen besonders gut, wenn sie alltagsnah, emotional anschlussfähig und wiederholbar sind. Dazu zählen kurze Trainings, realistische Phishing-Simulationen, Beispiele aus dem eigenen Arbeitsumfeld oder positive Verstärkung, wenn etwas richtig gemacht wurde. So entsteht eine schützende Routine.
Psychologie ist dabei die Brücke zwischen „wissen, was richtig wäre“ und „es im entscheidenden Moment auch tun“. Wenn Awareness-Programme diese Faktoren berücksichtigen, werden sie wirksam.
Cybersecurity ist nicht nur ein IT-Thema, sondern auch eine Frage der Unternehmenskultur. Welche Verantwortung tragen Führungskräfte, wenn es um Sicherheitsbewusstsein und psychologische Resilienz im Unternehmen geht?
Bruns: Führungskräfte tragen eine zentrale Verantwortung für Sicherheitsbewusstsein und psychologische Resilienz. Sie prägen die Kultur und damit das Verhalten ihrer Teams. Wenn Sicherheit ernst genommen, offen kommuniziert und vorgelebt wird, entsteht ein starkes Signal. Diese Vorbildfunktion kann kein Training ersetzen.
Gleichzeitig reicht Vorbildsein allein nicht aus. Es braucht Rahmenbedingungen und Anreize, die sicheres Verhalten unterstützen. Wenn Führungskräfte Zeit für Sicherheit einräumen, Fragen stellen und das Melden von Vorfällen ohne Angst vor Sanktionen ermöglichen, entsteht Resilienz. Werden dagegen ausschließlich Effizienz und Geschwindigkeit belohnt, gerät Sicherheit ins Hintertreffen.
Sicherheit muss sichtbar gelebt werden – dann wird sie Teil der Unternehmenskultur und nicht nur eine technische Pflicht.
Mit Blick auf die Zukunft: Wie lassen sich psychologische Erkenntnisse noch gezielter nutzen, um Unternehmen besser gegen Cyberbedrohungen zu wappnen?
Bruns: Awareness sollte noch stärker an realen Verhaltenssituationen ausgerichtet werden. Kurze Impulse im Arbeitsalltag, Trainings in typischen Stressmomenten und Simulationen, die echte Entscheidungsdynamiken abbilden, sind hier besonders wirksam.
Darüber hinaus können Unternehmen ihre Organisation psychologisch robuster machen – durch offene Kommunikation, klare Erwartungen und ein Umfeld, in dem Fehler frühzeitig gemeldet werden dürfen.
Langfristig sollten wir stärker auf präventive Verhaltenspsychologie setzen: Wie reduzieren wir Stress? Wie gestalten wir Systeme so, dass der sichere Weg der einfache Weg ist? Wenn diese Erkenntnisse gezielt genutzt werden, stärken wir nicht nur die Kompetenz der Mitarbeitenden, sondern die Widerstandsfähigkeit der gesamten Organisation.
