top of page
Suche

Cyber Security in Organisationen: Warum der menschliche Faktor über Sicherheit entscheidet

  • Autorenbild: Silvia Hildebrandt
    Silvia Hildebrandt
  • 1. Jan.
  • 7 Min. Lesezeit

Die Organisation in dem heutigen Beispiel hat alles gemacht, was in vielen Audit-Checklisten steht. Aktuelle Firewalls, segmentierte Netze, Backup-Konzept, Penetrationstests, Zertifizierungen.

Trotzdem trifft sie ein Ransomware-Angriff. Die Schadsoftware hätte früh erkannt und begrenzt werden können. Die technischen Systeme melden Auffälligkeiten. Niemand reagiert rechtzeitig.


Der Grund: weil Verhalten, Entscheidungslogiken und Kommunikation in der Organisation nicht zur Sicherheitsarchitektur passen.

Forschung zu Human Factors in der Cyber Security zeigt seit Jahren, dass der Engpass selten die Technik ist, sondern die Art, wie Menschen unter Stress wahrnehmen, entscheiden und zusammenarbeiten.


In diesem Beitrag geht es darum:

  • warum Regeln, Awareness und Technik allein nicht schützen

  • welche menschlichen und organisationalen Muster Sicherheitsvorfälle eskalieren lassen

  • weshalb Cyber Security falsch verortet ist, wenn sie als IT-Thema läuft

  • und auf welcher Ebene du in deiner Organisation ansetzen musst


Hacker am Laptop
Bild eines Mannes mit Maske am Laptop


1. Der Cyber Security Vorfall in einer technisch „reifen“ Organisation


Stell dir eine Organisation mit solider Cyber-Security-Architektur vor. Die Tools sind gut konfiguriert. Das Monitoring läuft und es gibt Richtlinien und Awareness-Trainings.


Eines Morgens klickt eine Mitarbeiterin auf eine gezielt formulierte Phishing-Mail. Credentials werden abgegriffen und erste ungewöhnliche Logins erscheinen im Monitoring. Es gibt Alarme.

Im ersten Level-Support sitzt jemand, der die Meldung sieht. Er ist unsicher, ob es ein echter Vorfall ist oder nur ein Fehlalarm. Die Schicht ist unterbesetzt. Niemand möchte den Betrieb durch „Überreaktion“ stören.

Also beobachtet man weiter. Die Zeit vergeht.

Nach einigen Stunden sind zentrale Systeme verschlüsselt. Erst jetzt wird die Geschäftsführung informiert. Die Frage, wer entscheidet, bleibt offen. IT, Fachbereich, Recht, Kommunikation, Geschäftsführung ringen um Prioritäten.

Die Technik hätte geholfen. Die Organisation nicht.


2. Warum Regeln, Awareness und Technik allein nicht schützen

Viele Organisationen investieren in drei Linien:


  1. Sicherheitsregeln und Policies

  2. Awareness-Schulungen

  3. Technische Schutzmaßnahmen und Monitoring


Alle drei sind notwendig. Sie reichen aber nicht.

Studien zu Sicherheitskultur zeigen, dass reine Awareness-Kampagnen Wissen erhöhen, Verhalten aber nur begrenzt verändern. Entscheidend ist, welche Signale Führung sendet und wie stark Sicherheit in Entscheidungen wirklich zählt.


Typische Brüche:

  • Mitarbeitende wissen, wie sie Phishing erkennen sollten, melden aber nichts, weil sie sich nicht sicher fühlen.

  • Führung delegiert Security an die IT, signalisiert gleichzeitig, dass Verfügbarkeitsziele und Effizienz wichtiger sind als konsequente Reaktion.

  • Teams kennen die Regeln, sehen aber im Alltag, dass diese bei Zeitdruck regelmäßig umgangen werden.

Technik verstärkt diese Muster oft. Ein weiteres Tool kommt hinzu, das zusätzliche Alarme erzeugt. Wenn die Organisation nicht weiß, wie sie mit Schwellwerten, Prioritäten und Verantwortung umgeht, entsteht Alarmmüdigkeit.

Sicherheitsarchitekturen scheitern dann nicht an den Komponenten. Sie scheitern daran, dass niemand konsequent entscheidet, wie mit ihren Signalen gelebt wird.


3. Menschliche und organisationale Faktoren, die Cyber Security umgehen


3.1 Fehlentscheidungen unter Druck

In Sicherheitsvorfällen entsteht hoher Zeitdruck. Forschung zu Incident Response zeigt, dass Teams unter Stress zu Tunnelblick, Routinen und Risikoabwehr neigen.

Typische Muster:

  • Man sucht krampfhaft nach Anzeichen, dass „es halb so wild“ ist.

  • Man verschiebt Entscheidungen, um keine Verantwortung zu übernehmen.

  • Man unterschätzt die Dynamik des Vorfalls, weil ähnliche Alarme früher harmlos waren.

Entscheidungsfindung unter Stress braucht Struktur. Ohne vorbereitete Entscheidungslogik greifen Personen auf Intuition, Statusdenken und persönliche Risikoneigung zurück. Das ist im Ernstfall zu wenig.


3.2 Schweigen und Verzögerung

Menschen schweigen in Organisationen aus Gründen:

  • Angst, als Verursacher dazustehen

  • Sorge, „unnötig Alarm“ zu schlagen

  • Erfahrung, dass Boten schlechter Nachrichten sanktioniert werden

Studien zur Sicherheitskultur betonen, dass offene Kommunikation über Fehler ein zentraler Faktor für Cyber Resilience ist.


Wenn Beschäftigte erleben, dass Fehlervertuschung belohnt wird und frühe Meldungen zu Schuldzuweisungen führen, melden sie verdächtige Beobachtungen spät oder gar nicht.

Damit verwandelt sich ein lokaler Vorfall in eine systemische Krise.


3.3 Verantwortungsdiffusion

Ein häufiger Satz in Interviews zu Sicherheitskultur lautet:„Eigentlich ist die IT verantwortlich.“

In der Praxis bedeutet das oft:

  • Der Fachbereich wartet auf die IT.

  • Die IT wartet auf Freigabe durch die Führung.

  • Die Führung geht davon aus, dass „die Experten“ schon handeln.

So entsteht eine Lücke, in der niemand sich zuständig fühlt, Entscheidungen zu treffen. Die Verantwortung verteilt sich so breit, dass sie faktisch niemand trägt.


Alte Telefone hängen an der Wand
Telefone

3.4 Kommunikationsfehler

Incident Response auf Organisationsebene ist Kommunikation. Zwischen Fachbereichen, IT Security, Recht, Kommunikation und Geschäftsführung.

Forscherinnen, die die Sicherheitskultur und das Meldeverhalten bei Phishing untersucht haben, zeigen, dass Kommunikation zweischneidig sein kann. Gute, leicht zugängliche Kommunikation erhöht zwar die Meldungen, kann aber gleichzeitig das Gefühl persönlicher Verantwortung senken.

Wenn Security-Kommunikation

  • fachlich unverständlich

  • unregelmäßig

  • oder widersprüchlich zu anderen Prioritäten ist,

werden Regeln zum Hintergrundrauschen. Im Vorfall fehlen dann klare, gemeinsame Bilder davon, was jetzt wichtig ist.


4. Warum Cyber Security als IT-Thema falsch verortet ist


Viele Organigramme platzieren Cyber Security im IT-Bereich. Formell ist das nachvollziehbar. Operativ ist es gefährlich.

Cyberangriffe betreffen immer das ganze System. Produktion, Vertrieb, HR, Compliance, Kommunikation, Geschäftsführung, Aufsichtsorgane. Sicherheitsforschung spricht daher von „organisationaler Cybersecurity-Kultur“ statt von isolierter IT-Sicherheit.


Wenn Cyber Security als IT-Thema verortet ist, passiert oft:

  • strategische Entscheidungen zu Risiko und Investitionen bleiben an der Peripherie

  • Fragen zu Kundentransparenz, Haftung und Reputationsrisiken werden zu spät gestellt

  • Trade-offs zwischen Verfügbarkeit, Vertraulichkeit und Integrität werden nicht auf Geschäftsführungsebene entschieden

Kurz gesagt: Die Organisation behandelt ein systemisches Risiko wie ein Technikmodul.

Doch Cyber Security betrifft Werte, Vertrauen, Geschäftsmodell und Kultur. Damit ist sie unweigerlich Führungsaufgabe.


5. Cyber Security als Führungs-, Entscheidungs- und Kommunikationsaufgabe


Wenn der Fokus von Technik auf Organisation rückt, verschiebt sich die Leitfrage. Nicht mehr: „Welche Lösungen setzen wir ein?“Sondern: „Wie treffen wir im Vorfall gute Entscheidungen und wie sprechen wir darüber?“


Drei Ebenen sind zentral:


Führung: Führung entscheidet, ob Sicherheit im Alltag Gewicht hat. Sie verankert Security in Zielen, legt Toleranzen fest und schützt Personen, die früh melden. Sie sorgt dafür, dass das Thema nicht nur in Krisen sichtbar wird.

Entscheidungslogik: Gute Incident Response braucht vorbereitete Entscheidungsregeln. Wer entscheidet bei welchem Schadbild über welche Schritte. Welche Kriterien gelten für Systemabschaltungen, externe Meldungen, Beiziehung von Behörden.

Kommunikation: Kommunikation übersetzt technische Lagen in verständliche Bedeutungen. Wer informiert wen, in welcher Frequenz, auf welchem Detailniveau. Wie wird intern über Unsicherheit gesprochen, ohne Panik oder Beschwichtigung.

Forschung zu Human Factors betont, dass diese drei Ebenen zusammen gedacht werden müssen, damit Technik wirksam wird.


6. Wo Organisationen konkret ansetzen sollten


6.1 Rollen für Cyber Security klären


Eine Organisation braucht klare Rollen für Cyber Security, nicht nur Stellenbezeichnungen. Zum Beispiel:

  • Wer verantwortet die Sicherheitsstrategie?

  • Wer führt im Vorfall als Incident Manager durch die Lage?

  • Wer wird bei Geschäftsrisiken eingebunden, etwa Recht und Kommunikation?


Wichtig ist, dass diese Rollen bereits vor dem Vorfall akzeptiert sind. Sonst beginnt im Ernstfall eine unsichtbare Auseinandersetzung um Deutungshoheit.


6.2 Eskalationslogik und Schwellen definieren


Eskalation ist keine spontane Kunst.Sie braucht einfache, bekannte Schwellen.

Zum Beispiel:

  • ab welchem Verdachtsgrad muss ein Vorfall ans Security-Team gehen?

  • welche Zeitfenster gelten für Reaktion?

  • welche Informationen müssen in einer Meldung enthalten sein?

Diese Logik sollte in der Organisation eingeübt werden. Nicht nur dokumentiert.


6.3 Krisenkommunikation vorbereiten


Krisenkommunikation im Cyberkontext betrifft interne und externe Anspruchsgruppen. Mitarbeitende, Kundschaft, Partner, Aufsicht, Medien.

Organisationen sollten im Vorfeld klären:

  • wer die Kernbotschaften verantwortet

  • wie offen man über Art und Umfang des Vorfalls sprechen will

  • wie man intern Unsicherheit adressiert, ohne Gerüchte zu verstärken


Krisenkommunikation kann den technischen Schaden nicht ungeschehen machen. Sie entscheidet aber, wie stark der Vertrauensschaden wird.

6.4 Entscheidungsfähigkeit trainieren


Entscheidungslogiken bleiben theoretisch, wenn sie nicht geübt werden. Tabletop-Übungen und Simulationsläufe helfen Organisationen, ihre Incident Response auf Organisationsebene realistisch zu testen.

Ziel solcher Übungen ist weniger Perfektion, sondern Erkenntnis. Wo stocken Entscheidungen.? Wo fehlen Informationen? Wo entstehen Konflikte zwischen Security, Leistungserbringung und Kommunikation?

Die Erkenntnisse daraus sollten direkt in Rollen, Prozesse und Sicherheitskultur einfließen.


Frau steht vor Wand mit Datenprojektionen
Bildhaft verschlüsselte Daten

Szenario bei einem unserer Kunden: Ein Ransomware-Angriff


Ein mittelständisches Unternehmen im Produktionsbereich. Die Cyber-Security-Organisation ist formal etabliert: CISO, Incident-Response-Playbooks, Monitoring.

Eines Nachts breitet sich eine Ransomware über ein ungepatchtes System aus. Das Monitoring erkennt verdächtige Aktivitäten. Die Meldung landet in einer allgemeinen Support-Queue. Dort sortiert eine überlastete Fachkraft Tickets nach Dringlichkeit.

Die Person entscheidet, zunächst die Störung im ERP zu priorisieren, weil der Vertrieb sonst stillsteht. Der Security-Alarm wirkt abstrakt. Es gibt keine klare Vorgabe, dass solche Meldungen priorisiert an das Security-Team gehen.

Vier Stunden später sind zentrale Produktionssysteme verschlüsselt. Die Geschäftsführung erfährt vom Vorfall über einen Anruf des Betriebsrats.

Die ersten Fragen lauten:

  • Wer entscheidet über das Abschalten weiterer Systeme?

  • Wer spricht mit den Kunden?

  • Wer kommuniziert mit der Presse?


Niemand fühlt sich zuständig. Der CISO sieht die technische Verantwortung, möchte aber keine Aussagen über Kundenauswirkungen treffen. Die Kommunikation wartet auf Freigabe durch die Geschäftsführung. Diese möchte „erst die Lage klären“, bevor sie öffentlich wird.

Im Nachgang zeigt sich:Technisch hätte der Vorfall früher erkannt und eingegrenzt werden können. Der eigentliche Eskalationspunkt waren Verhaltensmuster, Entscheidungslogik und Kommunikationskultur.

Wir kommen während des Sicherheitsvorfalls dazu und Erarbeiten mit der Organisation danach:

  • eine klare Eskalationskette für sicherheitsrelevante Meldungen zu definieren

  • einen Incident Manager zu benennen, der bereichsübergreifend entscheiden darf

  • und Kommunikationslinien vorzubereiten, die Verantwortung sichtbar machen

Der Angriff wird damit zum Spiegel der Organisation. Nicht nur ihrer Infrastruktur.


Fazit: Cyber Security als Ergebnis von Haltung

Cyber Security in Organisationen scheitert selten an fehlender Technik. Sie scheitert eher dort, wo Verantwortung unklar, Reaktionen zögerlich und Führung unsichtbar bleiben.

Wer Sicherheit ernst nimmt, verschiebt den Fokus. Weg von der Frage, welches System noch fehlt. Hin zur Frage, wie Menschen unter Druck entscheiden, wie sie sprechen und wie Verantwortung gestaltet ist.


Seit Ihr vorbereitet, wenn euch ein Angriff trifft? Wenn nicht, schaut gern hier vorbei: Crisis Simulation Lab


FAQ

Warum scheitert Cyber Security so oft am menschlichen Faktor?

Weil Menschen in Organisationen nicht in einem Vakuum handeln.

Sie orientieren sich an Rollen, Anreizen, gelebter Praxis und gezeigter Führung.

Wenn Sicherheit formal wichtig, praktisch aber zweitrangig ist, passen sich Menschen an diese Realität an.

Das Problem sind daher weniger „unaufmerksame Nutzer“, sondern widersprüchliche Signale im System.

Reicht gute Awareness, um Sicherheitsvorfälle zu vermeiden?

Awareness ist ein Anfang, kein Schutzschild.

Wissen allein führt nicht automatisch zu konsequentem Verhalten, vor allem nicht unter Stress oder Zeitdruck.

Entscheidend ist, ob Führung Sicherheit im Alltag priorisiert, Meldungen schützt und Entscheidungen unterstützt.

Ohne diese Einbettung bleibt Awareness ein kognitives Projekt, das im Ernstfall verpufft.

Was unterscheidet Sicherheitskultur von Sicherheitsregeln?

Regeln beschreiben, was formal gelten soll.

Sicherheitskultur beschreibt, was im Alltag tatsächlich gelebt wird.

In einer reifen Sicherheitskultur werden Regeln nicht nur akzeptiert, sondern auch dann eingehalten, wenn niemand zusieht und die Lage unklar ist.

Das erfordert Vertrauen, Vorbildverhalten und Raum für offene Kommunikation über Fehler.

Welche Rolle spielt Krisenkommunikation bei einem Cyberangriff?

Krisenkommunikation entscheidet, wie verständlich und vertrauenswürdig eine Organisation in der Krise bleibt.

Sie bündelt Informationen, macht Verantwortung sichtbar und hilft, Gerüchte zu begrenzen.

Gute Kommunikation ersetzt keine technische Lösung, sie stabilisiert aber Orientierung und Handlungsfähigkeit.

Ohne klare Kommunikationslinie verstärken sich Unsicherheit, Spekulationen und interne Konflikte.

Silvia Hildebrandt, Geschäftsführerin Hilstayn
Foto der Autorin

Quellen (Auswahl)

Da Veiga, A. (2017): Human Factors in Information Security Culture – A Literature Review.

Alshaikh, M. et al. (2024): Towards a Cybersecurity Culture–Behaviour Framework. Computers & Security.

Da Veiga, A. (2021): An empirical analysis of the information security culture key factors. Computers & Security.

ENISA (2017): Cyber Security Cultures in Organisations.

MIT Sloan: Building a Model of Organizational Cybersecurity Culture (OCCM).

Kearney, J. et al. (2024): Human Factors Make or Break Cybersecurity!

Parsons, K. et al. (2025): Information Security Culture and Phishing-Reporting Model. Cybersecurity.

Phong, D. (2023): Catch the Phish – A Study on Decision-making and Reporting Behavior for Phishing Emails. TU Delft.



bottom of page