In den vergangenen Tagen habe ich ausgewählte Vorträge des Deutscher IT-Sicherheitskongress verfolgt. Die Themen reichten von der Psychologie in der Informationssicherheit bis hin zu aktuellen Entwicklungen in der Sicherheitsarchitektur und dem Einsatz von Künstlicher Intelligenz im Security Operations Center (SOC).
So unterschiedlich die Perspektiven waren, ein zentrales Muster hat sich durch nahezu alle Beiträge gezogen.
IT-Sicherheit ist kein reines Technikthema.
Und sie scheitert in der Praxis selten an fehlenden Tools.
Der entscheidende Faktor liegt an anderer Stelle: in der Organisation und in funktionierenden Prozessen.
Sicherheit beginnt beim Menschen
Ein Schwerpunkt lag auf der psychologischen Dimension von Sicherheit. Angriffe wie Phishing oder Social Engineering zielen nicht primär auf technische Schwachstellen, sondern auf menschliches Verhalten.
Dabei geht es nicht um mangelnde Intelligenz oder fehlendes Wissen. Vielmehr nutzen Angreifer gezielt emotionale Trigger wie Zeitdruck, Autorität oder Unsicherheit.
Wissen allein führt nicht zu sicherem Verhalten.
In vielen Organisationen wird Awareness dennoch genau so verstanden: als einmalige Schulung, häufig in Form eines standardisierten Online-Trainings mit anschließender Wissensabfrage. Die praktische Wirkung bleibt dabei oft gering.
Warum Schulungen in der IT-Sicherheit oft nicht wirken
In der Praxis zeigt sich immer wieder ein ähnliches Bild.
Mitarbeitende werden zwar geschult, können aber grundlegende sicherheitsrelevante Situationen nicht sicher einordnen.
Ein Beispiel ist die Unterscheidung zwischen einem Sicherheitsereignis und einem Sicherheitsvorfall.
Ein Sicherheitsereignis liegt vor, wenn etwas Auffälliges passiert, aber keine negativen Auswirkungen entstanden sind, beispielsweise eine Phishing-Mail, auf die niemand reagiert hat.
Ein Sicherheitsvorfall hingegen bedeutet, dass tatsächlich ein Schaden oder eine Beeinträchtigung eingetreten ist.
Diese Differenzierung ist zentral für den richtigen Umgang mit Situationen, wird aber in der Praxis häufig nicht sicher beherrscht.
Das zeigt: Schulung ist vorhanden, aber oft nicht praxisnah genug.
Social Engineering als reale Bedrohung für Unternehmen
Ein weiterer Punkt, der in der Praxis regelmäßig unterschätzt wird, ist die Vorbereitung von Angriffen durch Social Engineering.
Angreifer nutzen öffentlich verfügbare Informationen gezielt aus. Über Plattformen wie LinkedIn lassen sich beispielsweise Strukturen im Unternehmen, Rollen oder persönliche Situationen nachvollziehen.
Ein realistisches Szenario zeigt, wie einfach das funktioniert.
Eine neue Mitarbeiterin in der Buchhaltung erhält eine scheinbar dringende Anfrage der Geschäftsleitung. Der Kontext wirkt plausibel, der Druck ist hoch und die Wahrscheinlichkeit einer Fehlentscheidung steigt.
Solche Angriffe sind nicht technisch komplex, aber organisatorisch hochwirksam.
KI in der IT-Sicherheit und im SOC
Auch der Einsatz von Künstlicher Intelligenz im Sicherheitsumfeld wurde intensiv beleuchtet.
Die Potenziale sind klar erkennbar. KI kann Prozesse beschleunigen, Analysen unterstützen und bei der Priorisierung von Vorfällen helfen.
Gleichzeitig zeigt sich jedoch deutlich.
KI ersetzt keine organisatorische Reife.
Wenn Prozesse unklar sind oder Verantwortlichkeiten fehlen, verstärkt der Einsatz von KI bestehende Schwächen, anstatt sie zu beheben.
Zudem müssen Ergebnisse überprüfbar bleiben und dürfen nicht ungeprüft übernommen werden.
Prozesse als entscheidender Erfolgsfaktor der IT-Sicherheit
Sowohl die Impulse aus den Vorträgen als auch die Erfahrungen aus der Praxis zeigen deutlich, dass IT-Sicherheit in Unternehmen maßgeblich von klaren Prozessen abhängt.
Typische Probleme sind:
- unklare Zuständigkeiten
- fehlende oder ungetestete Notfallpläne
- Unsicherheit im Umgang mit Vorfällen
- fehlende Transparenz über Systeme und Anwendungen
In vielen Unternehmen ist nicht einmal vollständig bekannt, welche Systeme im Einsatz sind, welche Softwarestände vorliegen oder ob private Geräte für geschäftliche Zwecke genutzt werden.
Besonders kritisch ist, dass Notfallszenarien häufig nicht praktisch getestet werden.
Awareness in der IT-Sicherheit muss praxisnah sein
Ein einmal jährlich durchgeführtes Online-Training reicht nicht aus, um nachhaltiges Sicherheitsverhalten zu erreichen.
Wirksame Awareness-Maßnahmen müssen:
- regelmäßig stattfinden
- praxisnah gestaltet sein
- interaktive Elemente enthalten
- Mitarbeitende aktiv einbeziehen
Ziel ist es, Sicherheit in den Arbeitsalltag zu integrieren.
IT-Sicherheit ganzheitlich betrachten
Ein weiterer Aspekt wird häufig unterschätzt.
Nicht alle Risiken entstehen durch Angriffe von außen.
Auch äußere Faktoren wie Hitze, Stromausfälle oder Umweltbedingungen können IT-Systeme erheblich beeinträchtigen. Diese Aspekte müssen in einer modernen Sicherheitsstrategie berücksichtigt werden.
Fazit: Prozesse sind der Schlüssel zur IT-Sicherheit
Die Diskussion um IT-Sicherheit wird häufig stark technologiegetrieben geführt.
Die Praxis zeigt jedoch ein anderes Bild.
Ohne klare Prozesse, ohne organisatorische Reife und ohne praxisnahe Sensibilisierung bleibt Sicherheit unvollständig.
Der entscheidende Hebel liegt nicht in der nächsten Technologie.
Er liegt in der Fähigkeit, Sicherheit strukturiert, verständlich und alltagstauglich umzusetzen.