Es beginnt selten spektakulär. Eine völlig normale Nachricht im gewohnten Ton, mit der richtigen Anrede, im exakt passenden Timing. „Nur schnell freigeben“, „kurzer Login für das neue HR-Portal“, „Bestätigung der Reisekosten“ – nichts, was Angst macht. Und doch steckt dahinter inzwischen eine neue Qualität von Angriffen: Phishing, generiert und gesteuert von Künstlicher Intelligenz.

Die begleitende Grafik „Phishing mittels KI“ oben zeigt den Ablauf in fünf klaren Schritten: Links der Angreifer, der seine Texte und Täuschungen mithilfe von KI erstellt; in der Mitte die Phishing-E-Mail; rechts der Benutzer, der zieltreu adressiert wird; unten die täuschend echte Phishing-Website, die Zugangsdaten einsammelt; und der entscheidende Rückpfeil, über den die erbeuteten Informationen in Echtzeit zum Angreifer fließen. Dieser Datenstrom ist der Moment, in dem aus einer hübschen Nachricht ein Sicherheitsvorfall wird.

Sofern Arbeitgeber auf den BYOD Trend setzen, war gerade die Erreichbarkeit im Urlaub ein willkommener Benefit. Lange Zeit war das Roaming eine unüberschaubare Kostenfalle für die Arbeitnehmer, die Ihre "Devices" im Urlaub für den Arbeitgeber auf Empfang hatten. Wer im Urlaub telefonierte, mal eben ein paar Fotos vom Strand nach Hause schickte oder gar im Internet surfte wurde oft mit einer horrenden Rechnung konfrontiert. Bereits seit 2007 wurden die preislichen Obergrenzen daher in der EU gesetzlich festgelegt und jährlich gesenkt. Nun ist geplant, die Roaming-Kosten insgesamt innerhalb der EU abzuschaffen. 

Sinkende Preise dank EU

Vorstände lieben klare Ampeln. Grün heißt: weiter so. Rot heißt: sofort handeln. Gelb bedeutet: beobachten, vielleicht ein Projekt starten. Eine Business Impact Analyse (BIA) liefert solche Ampelfarben scheinbar auf Knopfdruck. Sie verrät, welche Prozesse kritisch sind, welche Ausfälle schmerzen, welche RTOs und RPOs gelten sollen. Das Dokument ist sauber, die Prioritäten sind sichtbar, man nickt, unterschreibt – und geht zum Tagesgeschäft über. Wochen später kommt die Frage nach dem Budget für neue Kontrollen, redundant ausgelegte Systeme, Pen-Tests oder Backup-Modernisierung. Und plötzlich wirkt die BIA erstaunlich leise. Sie beantwortet nämlich nicht die Fragen, die jetzt wirklich zählen: Wie groß ist das Risiko? Wie wahrscheinlich ist welches Szenario? Welcher Euro investiert reduziert welchen Verlust um wie viel? Was bleibt als Rest­risiko – und ist das mit unserer Risikobereitschaft vereinbar?

Genau an dieser Stelle fehlt in vielen Organisationen der nächste, entscheidende Schritt: die Risk Impact Analysis – kurz RIA. Unter RIA verstehen wir hier die systematische Übersetzung der BIA-Erkenntnisse in quantifizierte Risiken, konkrete Steuerungsoptionen und belastbare Investitionsentscheidungen. BIA beschreibt, was passiert, wenn etwas ausfällt. RIA zeigt, wie oft das realistischerweise passieren kann, wie teuer das im Erwartungswert und in Extremszenarien wird, welche Maßnahmen welchen Risikoeffekt haben und welches Rest­risiko bewusst zu akzeptieren ist. Wer diesen Schritt auslässt, produziert schöne Folien – aber keine Steuerung.

Ein Sicherheits-Deep-Dive, inspiriert von einer Prozessgrafik – und ergänzt um das, was die Praxis wirklich ausmacht

Wer heute an der Kasse sein Smartphone an das Terminal hält, löst damit ein erstaunlich komplexes Zusammenspiel aus Kryptografie, Hardware-Sicherheitskomponenten, Token-Diensten der Karten­netzwerke, Bankprüfungen und Händler-Backends aus. Von all dem bekommt man in der Regel nichts mit – und das ist gut so. Die eingangs gezeigte Prozessgrafik macht einen wichtigen Punkt sichtbar: Apple Pay und Google Pay verfolgen ähnlichen Zweck, aber unterscheiden sich im Architekturdetail, vor allem bei der Frage, wo sensible Informationen liegen und wie eine Zahlung kryptografisch gebunden wird. Aus dieser scheinbar kleinen Designentscheidung erwachsen spürbare Unterschiede in Angriffsfläche, Datenschutz und Betriebsmodell.

In vielen Unternehmen ist Security Awareness ein Pflichtprogramm, das Mitarbeitende mit derselben Begeisterung erwarten wie eine Steuerprüfung. Jedes Jahr eine Pflichtschulung, ein paar Folien, vielleicht ein Multiple-Choice-Test am Ende – und fertig. Das Problem: Diese Form von Sensibilisierung erreicht selten ihr Ziel. Im besten Fall haken die Teilnehmenden sie ab, im schlimmsten Fall sorgt sie für kollektives Augenrollen und den Eindruck, dass Sicherheit nur Bürokratie ist. Dabei ist Security Awareness einer der entscheidendsten Faktoren für die Informationssicherheit überhaupt. Die meisten Sicherheitsvorfälle haben menschliche Ursachen – sei es ein Klick auf einen schädlichen Link, das Teilen sensibler Daten oder das Ignorieren von Sicherheitswarnungen. Wenn Awareness-Programme nicht hängen bleiben, bleiben Lücken offen, die keine Firewall der Welt schließen kann.

Der Schlüssel zu wirksamer Awareness liegt darin, die Perspektive zu wechseln: weg von der Pflichtveranstaltung, hin zu einer Erfahrung, die relevant, verständlich und einprägsam ist. Genau das verlangt ein didaktisches Re-Design: Storytelling statt Paragrafen, Rollenrelevanz statt Gießkanne, Interaktion statt Vorlesen, Kontinuität statt Jahresmarathon, Vorbild statt Verordnung – und Messbarkeit statt Bauchgefühl.