Die Cyberlage bleibt angespannt: Ein Großteil der Angriffe startet mit Social Engineering oder Phishing. Auf der it-sa Expo&Congress 2025 wurde wieder deutlich, dass Sicherheit heute weit über Technologie hinausgeht – sie beginnt beim Verhalten. Moderne Phishing-Kampagnen sind täuschend echt, KI-gestützt und gezielt auf menschliche Schwächen ausgelegt. Entscheidend ist daher nicht nur, welche Tools Unternehmen einsetzen, sondern wie gut ihre Mitarbeitenden auf den Ernstfall vorbereitet sind.
Wie gut sind Mitarbeitende wirklich vorbereitet?
Phishing ist heute hochpersonalisiert und täuschend echt: Betrüger imitieren Sprache, Design und Abläufe genau. Hinzu kommt der Druck durch KI-gestützte Angriffe: Mitarbeitende müssen im entscheidenden Moment richtig reagieren. Doch wie gut sind sie darauf vorbereitet?
Die Realität zeigt: Menschen überschätzen ihre Fähigkeiten und auch erfahrene Mitarbeitende fallen auf Social Engineering herein. Effektive Vorbereitung erfordert daher nicht nur Wissen, sondern realistische Übungen, Feedback und kontinuierliches Training.
Auf diese Punkte kommt es an:
- Vertrauen, Stress und Zeitdruck sind die größten Einfallstore.
- Auch erfahrene Mitarbeitende fallen auf Social Engineering herein.
- Realistische Phishing-Simulationen decken blinde Flecken auf.
- Feedback in Echtzeit stärkt die Fähigkeit, Angriffe zu erkennen.
Lassen Sie sich von diesem Beitrag der it-sa Expo&Congress 2025 inspirieren:
Welche Awareness-Maßnahmen wirken langfristig?
Einmalige Trainings und Richtlinien reichen nicht aus. Nachhaltige Awareness entsteht durch kontinuierliche, praxisnahe Lernimpulse direkt dort, wo Risiken auftreten – in Mails, Teams oder Browsern. Micro-Learning, situative Übungen und regelmäßige Erinnerungen festigen das Wissen, während Führungskräfte als Vorbilder die richtige Sicherheitskultur prägen.
Diese Punkte helfen auf jeden Fall weiter:
- Lernnuggets dort platzieren, wo Risiko entsteht – etwa in Mail, Teams oder Browser
- Regelmäßige Erinnerungsimpulse festigen das Wissen
- Führungskräfte prägen Verhalten als Vorbilder
Finden Sie in diesen Beiträgen der it-sa Expo&Congress 2025 spannende Insights und Praxisbeispiele:
Wie oft sollte Awareness trainiert werden?
Verhaltensänderung gelingt nicht durch einmalige Pflichtkurse, sondern durch kleine, regelmäßige Trainings. Studien zeigen, dass Lerninhalte ohne Wiederholung schnell wieder vergessen werden. Kontinuität sorgt dafür, dass Mitarbeitende dauerhaft aufmerksam bleiben und Phishing-Angriffe sicher erkennen.
Diese Learnings können dabei weiterhelfen:
- „Little & Often“ – kleine, regelmäßige Trainings wirken besser als jährliche Pflichtkurse.
- Lernkurven zeigen deutlichen Werteverfall nach wenigen Wochen.
- Kontinuität reduziert die Klickwahrscheinlichkeit messbar.
Vertiefen Sie mit diesem Beitrag der it-sa Expo&Congress 2025 Ihr Wissen:
Was war Ihr letzter Kontakt mit einem Angriff?
Phishing passiert längst auf allen Kanälen: Angriffe erfolgen nicht nur per Mail, sondern auch über Messenger, Cloud-Tools oder mobile Kanäle. Entscheidend ist, dass Mitarbeitende im Moment der Entscheidung unterstützt werden. Echtzeit-Warnungen und kontextabhängige Hinweise reduzieren Fehlhandlungen und erhöhen die Sicherheit im Alltag.
Diese Punkte können dabei helfen:
- Real-time Security unterstützt im Moment der Entscheidung.
- Kontextabhängige Warnhinweise reduzieren Fehlhandlungen spürbar.
Informieren Sie sich in diesen Beiträgen der it-sa Expo&Congress 2025 zu den Details:
Welche Rolle spielt Kultur?
Awareness entsteht nicht allein durch Trainings, sondern durch eine gelebte Sicherheitskultur. Eine offene Fehlerkultur, Empowerment statt Schuldzuweisung und vielfältige Teams fördern, dass Mitarbeitende Angriffe melden, statt sie zu verschweigen. Nur so wird menschliches Risiko wirklich steuerbar.
Diese zwei Grundsätze helfen dabei:
- Fehlerkultur bedeutet Verantwortung, nicht Fahrlässigkeit.
- Vielfalt im Team steigert Lernqualität und Meldebereitschaft.
Finden Sie in diesem Beitrag der it-sa Expo&Congress 2025 spannende Insights:
Wo unterstützt Technologie den Menschen?
Technologie kann menschliche Fehlentscheidungen abfedern, muss aber gezielt eingesetzt werden. Schutzmaßnahmen wie MFA, Zero Trust oder PKI sichern Identitäten und reduzieren die Angriffsfläche, sodass Menschen in kritischen Momenten unterstützt werden.
Diese beiden Punkte sind dabei wichtig:
- MFA, Zero Trust & PKI stärken Schutz für Menschen und Maschinen
- Weniger Passwortabhängigkeit bedeutet weniger Angriffsfläche
Vertiefen Sie mit diesen Beitrag der it-sa Expo&Congress 2025 Ihr Wissen:
Was bedeutet Human Risk Management wirklich?
Human Risk Management macht menschliches Risiko messbar und steuerbar. Datenbasierte KPIs wie Click-, Report- oder Reaktions-Rate helfen, Trainings und Policies dynamisch anzupassen und so kontinuierlich die Sicherheitsresilienz zu erhöhen. Berücksichtigen Sie insbesondere diese beiden Punkte:
- KPIs wie Click-, Report- und Reaction-Rate werden zum Standard.
- Verhaltensdaten steuern Trainings und Policies dynamisch.
Informieren Sie sich in diesem Beitrag der it-sa Expo&Congress 2025:
Vom Risiko zur Ressource – der Mensch als Schlüssel zur Cyberresilienz
Mitarbeitende sind nicht das Problem, sie sind eine Ressource mit Resilienz, wenn Trainings kontinuierlich, kontextbezogen und praxisnah stattfinden. Technologie ergänzt Verhalten, beides zusammen bildet die menschliche Firewall.
Behalten Sie diese Punkte im Hinterkopf:
- Menschen sind Risiko ohne Training, Ressource mit Resilienz.
- Awareness wirkt nur kontinuierlich, praxisnah und kontextbezogen.
- Technologie & Verhalten ergänzen sich – das eine ohne das andere bleibt lückenhaft.
Human Risk Management ist kein Projekt, sondern eine kontinuierliche Entwicklung der wichtigsten Sicherheitskontrolle: der Menschen selbst.
Weiterführende Links
