Kaum ein Tag vergeht, an dem nicht über Cybersicherheit geschrieben oder gesprochen wird. Leider ist das kein viraler Trend, sondern das Ergebnis einer sich ernsthaft verschärfenden Bedrohungslage. Die Angriffe nehmen zu. 2024 waren in Deutschland laut Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits mehr als 200 Bot-Netze und 100 Cybercrime-Gruppen aktiv und griffen Unternehmen und Ökosysteme an. Immer häufiger kommt dabei Künstliche Intelligenz (KI) zum Einsatz. Als wären das nicht genügend Herausforderungen, gesellen sich zu den Cyber-Söldnern und der organisierten Kriminalität immer mehr staatlich gelenkte Akteure hinzu.
Die wahre Dimension von Cybercrime
Allein Microsoft verzeichnete von Juli 2023 bis Juli 2024 weltweit täglich mehr als 600 Millionen Angriffe auf seine Kunden – Tendenz steigend. Wäre jeder Angriff eine Patrone, entspräche das jährlich mehr als 200 Milliarden Schuss – das ist rund die doppelte Menge aller im Zweiten Weltkrieg verschossenen Munition.
Angesichts dieser enormen Bedrohungslage wachsen zwangsläufig auch die Ausgaben für die IT-Sicherheit. Und doch bleibt ein entscheidender Faktor auf der Seite der Verteidiger oftmals ungenutzt oder wird als Selbstverständlichkeit vorausgesetzt: die Achtsamkeit der Mitarbeitenden.
Digitale Kultur als Abwehrstrategie
Digitale Achtsamkeit ist die bewusste, eigenverantwortliche und situationsgerechte Nutzung digitaler Technologien. Sie entfaltet eine enorme Hebelwirkung für die Sicherheit von Unternehmen und ist die Grundlage digitaler Resilienz. Sie darf jedoch nicht einfach vorausgesetzt werden, sondern muss aktiv gefördert und kultiviert werden. Technologie kann nur dann wirksam schützen, wenn sie von einer gelebten Sicherheitskultur getragen wird. Das ist die Trumpfkarte zur Stärkung der Abwehrkräfte.
Auch wenn „Achtsamkeit“ ein weicher Begriff ist, braucht es doch konkrete Maßnahmen, um ein Resilienz-Niveau zu erreichen, mit dem das Risiko eines verheerenden Cyberangriffs drastisch reduziert wird. Dafür reichen Investitionen in moderne Hardware allein nicht aus.
Digitale Risikominimierung als Routine
Klassische Sicherheitstrainings sind dabei nur die Grundlage. Viel wichtiger sind konkrete Maßnahmen mit dem Ziel, Risikominimierung zur selbstverständlichen und ständigen Routine zu machen. Dazu gehören unter anderem ausgedehnte Phishing-Trainings, Social-Engineering-Rollenspiele, die Erstellung eines unternehmensspezifischen Zustandsberichts der digitalen Kultur (zum Beispiel in Form des „Digital Savviness Index“), bereichsspezifisches Sicherheits-Mentoring sowie situative Micro Learnings. Sicherheitsorientiertes Handeln muss so selbstverständlich werden wie der Griff zur Kaffeetasse. Für mehr Sicherheit braucht es nicht mehr Features, sondern mehr Haltung.
Resilienz ist das Ergebnis des Zusammenspiels von Technologie und Alltagsverhalten. IT-Sicherheit ist kein Spezialwissen – es ist die gelebte Verantwortung aller in einer Organisation. Deshalb gilt: Wer den Return on Security Invest wirklich steigern will, muss differenziert investieren – in leistungsfähige Systeme und in eine Sicherheitskultur, die so selbstverständlich ist wie der erste Kaffee am Morgen.
Autor
Thomas Kombrecht
Thomas Kombrecht ist Autor für Bechtle Greenfield in Hamburg.