Mehr Selbstvertrauen als Wissen: Die Diskrepanz zwischen gefühlter Cyber-Resilienz und Wirklichkeit
Warum Unternehmen und Behörden Cybersicherheit nicht am Sicherheitsgefühl ihrer Beschäftigten messen dürfen.
Der Faktor Mensch bleibt eine der kritischsten Variablen in der IT-Infrastruktur von Unternehmen und Behörden. Eine aktuelle Studie des Compliance-Schulungsanbieters Skillcast zeigt eine deutliche Diskrepanz zwischen dem subjektiven Sicherheitsbewusstsein von Beschäftigten im öffentlichen Dienst und ihrem tatsächlichen Verhalten im Arbeitsalltag.
Während viele Befragte überzeugt sind, Cyberrisiken zuverlässig erkennen zu können, stellen unzulängliches Training und riskante Routinen, insbesondere beim mobilen Arbeiten, erhebliche Einfallstore für professionelle Angreifer dar.
Zwischen Selbstüberschätzung und Schulungsdefiziten
Die Basis der Untersuchung bildet eine Befragung von 200 Angestellten im öffentlichen Sektor. Die Ergebnisse zeichnen ein widersprüchliches Bild: 85 Prozent der Befragten sind zuversichtlich, selbst hochentwickelte Phishing-Versuche im Arbeitsumfeld erkennen zu können.
Dem steht jedoch eine deutliche Schulungslücke gegenüber: Mehr als ein Viertel der Umfrageteilnehmer gab an, in den vergangenen zwölf Monaten – oder noch nie – ein wirksames Cybersecurity-Training erhalten zu haben.
Der Bericht dokumentiert zudem Verhaltensweisen, die für behördliche IT-Systeme und sensible Datenbestände ein unmittelbares Risiko darstellen:
- Knapp 17 Prozent der Befragten verbinden ihr geschäftliches Endgerät mit öffentlichen, unverschlüsselten WLAN-Netzwerken in Cafés oder Verkehrsmitteln.
- Fast die Hälfte (45 Prozent) nutzt die Hardware des Arbeitgebers zumindest gelegentlich für private E-Mails oder soziale Medien.
- 82 Prozent der Mitarbeiter gaben an, mit den IT-Sicherheits- und Datenschutzrichtlinien ihrer Organisation vertraut zu sein. 16 Prozent sind sich deren Existenz lediglich vage bewusst. Zwei Prozent agieren vollkommen ohne Kenntnis dieser Vorgaben.
Die Zahlen spiegeln nicht nur individuelles Fehlverhalten wider. Eine ergänzende Freedom-of-Information-Anfrage (FoI) von Skillcast ergab, dass lediglich 10 Prozent der lokalen Kommunalverwaltungen über robuste und ausgereifte Cybersicherheitsrichtlinien verfügen – obwohl gerade diese Behörden täglich hochsensible Bürgerdaten verarbeiten.
Auch in Deutschland lassen hohe Schäden auf überschätzte Resilienz schließen
Auch in deutschen Organisationen scheint es eine gefährliche Lücke zwischen Risikowahrnehmung und tatsächlicher Widerstandsfähigkeit zu geben. Bitkom beziffert den Schaden durch Datendiebstahl, Industriespionage und Sabotage in der deutschen Wirtschaft auf 289,2 Milliarden Euro. 87 Prozent der befragten Unternehmen waren laut der Studie “Wirtschaftsschutz 2025” in den vergangenen zwölf Monaten betroffen. Rund 70 Prozent des Gesamtschadens entfielen auf Cyberangriffe. Nur jedes zweite Unternehmen schätzte sich als sehr gut auf Cyberattacken vorbereitet ein, während 59 Prozent ihre Existenz durch ebendiese gefährdet sehen.
Ein ähnliches Bild zeichnet die TÜV-Cybersecurity-Studie 2025: 15 Prozent der deutschen Unternehmen wurden 2024 Opfer eines erfolgreichen Cyberangriffs, vier Prozentpunkte mehr als in der Vergleichsstudie 2023. Phishing war dabei mit 84 Prozent die mit Abstand häufigste Angriffsmethode. Gleichzeitig halten 91 Prozent der Unternehmen ihre Cybersicherheit für gut – ein Selbstbild, das angesichts steigender Angriffszahlen nur bedingt belastbar ist. Hinzu kommt ein Lieferkettenrisiko: 10 Prozent der Unternehmen wurden über Zulieferer oder Kunden attackiert, während nur 32 Prozent Sicherheitsanforderungen an Partner stellen.
Der BSI-Lagebericht 2025 zeigt ebenfalls eine weiterhin angespannte Gesamtlage. Das Bundesamt verweist auf unzureichend geschützte Angriffsflächen in Wirtschaft und Verwaltung mit Ransomware, staatlich unterstützten APT-Gruppen sowie Botnetzen als zentrale Bedrohungen.
Für Organisationen – privatwirtschaftlich wie auch öffentliche Hand – bedeutet das: Awareness-Programme allein reichen nicht aus. Sie müssen mit belastbarem Schwachstellenmanagement, klaren Meldewegen, regelmäßigen Notfallübungen, Identity-Security und einer konsequenten Absicherung von Lieferketten verbunden werden.
Social Engineering im Aufwind
Die von Skillcast für den angelsächsischen Raum erhobenen Daten passen damit in eine breitere Entwicklung: Social Engineering bleibt ein zentraler Angriffsvektor, weil es nicht allein technische Schwachstellen ausnutzt, sondern Entscheidungsdruck, Routinen und Vertrauen. Gerade in komplexen Enterprise-Umgebungen mit hybriden Arbeitsmodellen, Cloud-Diensten und zahlreichen externen Partnern steigt dadurch die operative Angriffsfläche.
Auch im globalen Maßstab spiegelt sich das von Skillcast skizzierte Risiko wider. Der aktuelle Verizon Data Breach Investigations Report (DBIR) zeigt, dass der Faktor Mensch weiterhin an einem erheblichen Teil bestätigter Sicherheitsvorfälle beteiligt ist – etwa durch Fehlkonfigurationen, gestohlene Anmeldedaten oder das Klicken auf schadhafte Links.
Im Kontext der Skillcast-Ergebnisse ist vor allem eine Erkenntnis aus dem DBIR relevant: Die Klickrate bei Phishing-Simulationen lässt sich durch klassische Awareness-Kampagnen nur begrenzt senken.
Das spricht gegen punktuelle Pflichtschulungen als alleinige Maßnahme. Wirksamer sind kontinuierliche Trainings, kurze Feedbackschleifen und klare Meldeprozesse, die Beschäftigte nicht nur informieren, sondern im Arbeitsalltag zu sicherem Verhalten befähigen.
Experten fordern agile und kontinuierliche Schulungskonzepte
Sofia Chaqiri, Senior Client Partner für den öffentlichen Sektor bei Skillcast, warnt vor der zunehmenden Professionalisierung der Angreifer: „Cyberangriffe werden immer ausgeklügelter und flächendeckender.“ Der öffentliche Sektor sei aufgrund der enormen Datenmengen und der potenziellen Störung lebenswichtiger Dienste – etwa im Gesundheits- oder Transportwesen – ein primäres Ziel.
Chaqiri verwies auf den strategischen „Cyber Action Plan“, mit dem die Regierung zu Beginn des Jahres Entschlossenheit im Kampf gegen diese Bedrohungen signalisiert habe. Zugleich betonte sie die akuten Trainingslücken in den Organisationen. „Dass manche Mitarbeiter seit mindestens zwölf Monaten kein effektives Training erhalten haben, ist besonders besorgniserregend“, sagte Chaqiri.
In der Theorie mögen Risiken verstanden werden; unter Zeitdruck oder beim privaten Surfen im Homeoffice sinke die Wachsamkeit jedoch schnell. Compliance-Training müsse sich daher von starren, jährlichen Frontalschulungen lösen und stärker auf interaktive Formate wie Quizzes und Phishing-Simulationen mit direktem Feedback setzen. Zudem seien personalisierte, auf die jeweilige Rolle zugeschnittene Schulungen notwendig, da administrative Kräfte an der Front anderen Risiken ausgesetzt seien als das Linienmanagement.
Dr. John Kingston, Senior Lecturer für Cyber Security an der Nottingham Trent University und Mitautor des Berichts, stützt diese Einschätzung. Da Bildung Zeit benötige, um wirksam zu werden, gelinge es Angreifern häufig, Organisationen defensiv zu überlisten. Daraus folge jedoch nicht, auf Schulungen zu verzichten, sondern sie systematisch weiterzuentwickeln. Institutionen könnten es sich nicht leisten, stehenzubleiben, weil sich Technologien und cyberkriminelle Taktiken zu schnell veränderten. „Regelmäßige und tiefgehende Schulungen, die reale Szenarien widerspiegeln, sind für Organisationen der beste Weg, um agil zu bleiben“, konstatierte Kingston. Cybersicherheit müsse als kontinuierliches Top-Thema verankert werden – nicht, um Angst zu schüren, sondern um rationale Wachsamkeit in der Belegschaft zu etablieren.
Das Risiko der Complacency
Trotz der identifizierten Schwachstellen liefert der Skillcast-Bericht auch positive Indikatoren. Im Vergleich zu anderen Wirtschaftszweigen verzeichnete der öffentliche Sektor einen Rückgang der an die britische Datenschutzbehörde (ICO) gemeldeten Vorfälle um 77 Prozent in einem Zeitraum von zwei Jahren. Zudem wies die Branche die niedrigsten Klickraten bei echten Phishing-Kampagnen auf.
Aus Enterprise-Perspektive darf dieser Trend jedoch nicht zu gefährlicher Sorglosigkeit (Complacency) führen. Angreifer nutzen zunehmend generative KI (GenAI), um maßgeschneiderte Spear-Phishing-Kampagnen und Deepfakes zu erstellen, die administrative Sicherheitsfilter umgehen und menschliche Entscheidungsträger gezielt täuschen können.
Best Practices: Risikominimierung im Mobile Office
Um Risiken vor allem durch mobiles Arbeiten und unzureichende Awareness auf Enterprise-Ebene zu reduzieren, sollten IT-Sicherheitsverantwortliche in Behörden und Unternehmen folgende organisatorische und technische Regeln konsequent umsetzen:
- Verbot offener und fremder WLAN-Netzwerke: Offene Funknetze in Cafés, Hotels oder Zügen bieten keine garantierte Verschlüsselung und können leicht von Cyberkriminellen imitiert oder manipuliert werden. Der Zugriff auf Unternehmensressourcen sollte ausschließlich über mandantenfähige, Always-on-VPN-Tunnel oder über mobile Mobilfunk-Hotspots (LTE/5G-Tethering) des Dienstgeräts erfolgen.
- Ausschluss öffentlicher Ladestationen („Juice Jacking“): USB-Ladestationen an Flughäfen oder Bahnhöfen oder auf Veranstaltungen bergen das Risiko des unbemerkt im Hintergrund ablaufenden Datenabflusses oder der Schadsoftware-Injektion über die Datenadern des Kabels. Mobile Endgeräte sollten besser über eigene Netzteile an klassischen Steckdosen oder via Powerbank geladen werden. Für Notfälle können Datenschutzadapter (sogenannte „USB-Kondome“) ausgegeben werden.
- Einsatz von Sichtschutzfolien (Privacy Filter): Visuelle Spionage (Shoulder Surfing) ist an öffentlichen Plätzen – dazu gehören explizit Sitzplätze im Zug (auch in der 1. Klasse!) sowie Flughafen-Lounges – ein permanentes Risiko. Blickschutzfolien auf Notebooks, Tablets und Smartphones schränken den Betrachtungswinkel so ein, dass sensible Geschäftsdaten oder Zugangsdaten für Dritte nicht lesbar sind.
- Konsequente Multi-Faktor-Authentifizierung (MFA): Identitätsdiebstahl und Credential-Verkauf im Darknet sind primäre Angriffsvektoren. Eine lückenlose MFA-Pflicht für sämtliche Cloud-Dienste, Remote-Zugänge (VPN) und administrative Konten sichert die Infrastruktur auch dann ab, wenn Passwörter kompromittiert wurden.
- Mobile Device Management (MDM) und Containerisierung: Um der privaten Nutzung von Dienstgeräten (wie Social-Media-Nutzung oder privaten E-Mails) kontrolliert zu begegnen, müssen geschäftliche Daten strikt in verschlüsselten Containern isoliert werden. Ein Abfluss von Unternehmensdaten in den privaten Speicherbereich wird dadurch systemseitig unterbunden.
- Kurzzyklische Phishing-Simulationen: Anstelle jährlicher Pflichtschulungen sollten Unternehmen auf kontinuierliche, automatisierte Mikrolerneinheiten und unangekündigte Phishing-Simulationen setzen. Das unmittelbare Feedback bei Fehlverhalten steigert nachweislich die langfristige Wachsamkeit und erhöht die Melderate von Anomalien im IT-Betrieb. Moderne Trainingsmethoden mit Gamification-Elementen und individuelle Lernmodule helfen, das Sicherheitsbewusstsein hochzuhalten