Cyber Security – Schwachstelle Mensch
14. Oktober 2025
Cyber Security erinnert an Doping: Die Bösen scheinen den Guten immer einen Schritt voraus zu sein – trotz aller Vorsichtsmaßnahmen und Regulierung. Mehr Fokus auf Cyber Awareness könnte Abhilfe schaffen.
Cyber Security erinnert an Doping: Die Bösen scheinen den Guten immer einen Schritt voraus zu sein – trotz aller Vorsichtsmaßnahmen und Regulierung. Mehr Fokus auf Cyber Awareness könnte Abhilfe schaffen.
Die Einschläge werden immer dichter: Zwanzigfaches Wachstum von Deepfake-Angriffen zwischen 2021 und 2024 – die meisten bei Banken, FinTechs und Versicherungsunternehmen; eine Verdreifachung der Klicks auf Phishing-Mails in 2024 – 84 % aller Phishing-Angriffe haben zum Ziel, Authentifizierungsdaten zu stehlen. Das Bundesamt für Sicherheit in der Informationstechnik BSI resümiert nüchtern: „Die Bedrohungslage im Cyberbereich ist höher als je zuvor.“
Eine Antwort auf diese wachsende Bedrohung liefert die EU mit DORA. Die Verordnung soll die Resilienz von Finanzunternehmen stärken und hat dazu einheitliche Standards für das Management von Informations- und Kommunikationstechnologien geschaffen. Doch – so gut die Organisationen und Systeme auch gerüstet sind – Michael Donnert von der TH Deggendorf weiß: „Bei der Mehrheit aller Sicherheitsvorfälle ist menschliches Verhalten beteiligt.“ Der Experte für Informationssicherheit rät daher, den Fokus auch darauf zu legen, digitale Risiken zu erkennen und zu vermeiden und eine Unternehmenskultur zu verankern, die einen konstruktiven Umgang mit Cybergefahren fördert. „Viele der aktuellen Awareness-Maßnahmen in Unternehmen verpuffen“, so Donnert. „Sie werden als leidige Pflicht wahrgenommen und zielen zu sehr auf Wissensvermittlung und zu wenig auf Verhaltensänderung. Auch psychologische Faktoren werden oft ignoriert." Die Folge: Die Melderate in vielen Unternehmen geht bei Phishing-Attacken gegen Null. Die notwendige Awareness für das Thema ist also nicht vorhanden.
Cyber Awareness als Prozess verstehen
Vor allem singuläre Phishing-Simulationen, wie sie viele Unternehmen praktizieren, bleiben wirkungslos. Sie schaffen zwar kurzfristige Aufmerksamkeit, aber keine langfristige Sensibilisierung. Donnert: „Man muss Cyber Awareness als dauerhaften Prozess verstehen und definieren. Aufmerksamkeit schaffen, dann Wissen vermitteln und Einstellung verändern, positives Verhalten bestärken – z. B. über Gamification – und schließlich mit dem Thema auch in die Öffentlichkeit gehen.“ Diese Wirkungsschleife müsse stetig wiederholt werden, um Cyber Awareness wirklich in der Unternehmenskultur zu verankern.
Wie wichtig Donnerts Rat ist, wird angesichts des massiven Wachstums an Deepfake-Angriffen deutlich. Deepfake-Techniken nutzen Text, Bild, Video und Audio, um z. B. andere Identitäten vorzutäuschen. „Sogar Video-Ident-Verfahren, über die ein Bankkonto mit falschem Namen eröffnet werden kann, könnten sich heute mit KI möglicherweise durchführen lassen“, erklären Lukas Graner und Paul Ranly vom Fraunhofer-Institut für sichere Informationstechnologie. Auch die Simulation von bekannten Stimmen ist problemlos möglich. Auf der Cyber Security-Tagung des Bank-Verlags berichteten Graner und Ranly kürzlich von dem Fall eines Unternehmens, in dem ein Schaden von 25 Millionen Euro entstand. Ein Mitarbeiter ließ sich dabei in einem Video-Call durch gefälschte Stimmen und Gesichter täuschen und löste die Überweisung aus. Graner: „Die Technologien entwickeln sich rasant weiter, die Darstellungen in Bild und Video werden immer realistischer und die Technologien für jedermann zugänglicher.“
Viele Angreifer:innen setzen auf Psychologie
Bislang kann man Deepfakes bei genauerem Hinsehen auf die Schliche kommen. In Bildern und Videos finden sich Unschärfen, unnatürliche Übergänge oder visuelle Artefakte. Vorsicht gilt bei unbekannten Herkünften von Mails oder Telefonnummern sowie bei Anfragen zu ungewöhnlichen Zeiten. „Sehr häufig arbeiten die Angreifenden auch mit psychologischen Komponenten“, so Graner. „Sie üben Zeitdruck aus, drohen, geben sich als Autoritätsperson aus oder agieren außergewöhnlich emotional.“ Auch Michael Donnert kennt diese Techniken, die immer wieder ziehen: „Hilfsbereitschaft, Vertrauen und Respekt sind die üblichen Köder des Social Engineerings. Da ist höchste Alarmbereitschaft geboten.“
Die Einschläge werden immer dichter: Zwanzigfaches Wachstum von Deepfake-Angriffen zwischen 2021 und 2024 – die meisten bei Banken, FinTechs und Versicherungsunternehmen; eine Verdreifachung der Klicks auf Phishing-Mails in 2024 – 84 % aller Phishing-Angriffe haben zum Ziel, Authentifizierungsdaten zu stehlen. Das Bundesamt für Sicherheit in der Informationstechnik BSI resümiert nüchtern: „Die Bedrohungslage im Cyberbereich ist höher als je zuvor.“
Eine Antwort auf diese wachsende Bedrohung liefert die EU mit DORA. Die Verordnung soll die Resilienz von Finanzunternehmen stärken und hat dazu einheitliche Standards für das Management von Informations- und Kommunikationstechnologien geschaffen. Doch – so gut die Organisationen und Systeme auch gerüstet sind – Michael Donnert von der TH Deggendorf weiß: „Bei der Mehrheit aller Sicherheitsvorfälle ist menschliches Verhalten beteiligt.“ Der Experte für Informationssicherheit rät daher, den Fokus auch darauf zu legen, digitale Risiken zu erkennen und zu vermeiden und eine Unternehmenskultur zu verankern, die einen konstruktiven Umgang mit Cybergefahren fördert. „Viele der aktuellen Awareness-Maßnahmen in Unternehmen verpuffen“, so Donnert. „Sie werden als leidige Pflicht wahrgenommen und zielen zu sehr auf Wissensvermittlung und zu wenig auf Verhaltensänderung. Auch psychologische Faktoren werden oft ignoriert." Die Folge: Die Melderate in vielen Unternehmen geht bei Phishing-Attacken gegen Null. Die notwendige Awareness für das Thema ist also nicht vorhanden.
Cyber Awareness als Prozess verstehen
Vor allem singuläre Phishing-Simulationen, wie sie viele Unternehmen praktizieren, bleiben wirkungslos. Sie schaffen zwar kurzfristige Aufmerksamkeit, aber keine langfristige Sensibilisierung. Donnert: „Man muss Cyber Awareness als dauerhaften Prozess verstehen und definieren. Aufmerksamkeit schaffen, dann Wissen vermitteln und Einstellung verändern, positives Verhalten bestärken – z. B. über Gamification – und schließlich mit dem Thema auch in die Öffentlichkeit gehen.“ Diese Wirkungsschleife müsse stetig wiederholt werden, um Cyber Awareness wirklich in der Unternehmenskultur zu verankern.
Wie wichtig Donnerts Rat ist, wird angesichts des massiven Wachstums an Deepfake-Angriffen deutlich. Deepfake-Techniken nutzen Text, Bild, Video und Audio, um z. B. andere Identitäten vorzutäuschen. „Sogar Video-Ident-Verfahren, über die ein Bankkonto mit falschem Namen eröffnet werden kann, könnten sich heute mit KI möglicherweise durchführen lassen“, erklären Lukas Graner und Paul Ranly vom Fraunhofer-Institut für sichere Informationstechnologie. Auch die Simulation von bekannten Stimmen ist problemlos möglich. Auf der Cyber Security-Tagung des Bank-Verlags berichteten Graner und Ranly kürzlich von dem Fall eines Unternehmens, in dem ein Schaden von 25 Millionen Euro entstand. Ein Mitarbeiter ließ sich dabei in einem Video-Call durch gefälschte Stimmen und Gesichter täuschen und löste die Überweisung aus. Graner: „Die Technologien entwickeln sich rasant weiter, die Darstellungen in Bild und Video werden immer realistischer und die Technologien für jedermann zugänglicher.“
Viele Angreifer:innen setzen auf Psychologie
Bislang kann man Deepfakes bei genauerem Hinsehen auf die Schliche kommen. In Bildern und Videos finden sich Unschärfen, unnatürliche Übergänge oder visuelle Artefakte. Vorsicht gilt bei unbekannten Herkünften von Mails oder Telefonnummern sowie bei Anfragen zu ungewöhnlichen Zeiten. „Sehr häufig arbeiten die Angreifenden auch mit psychologischen Komponenten“, so Graner. „Sie üben Zeitdruck aus, drohen, geben sich als Autoritätsperson aus oder agieren außergewöhnlich emotional.“ Auch Michael Donnert kennt diese Techniken, die immer wieder ziehen: „Hilfsbereitschaft, Vertrauen und Respekt sind die üblichen Köder des Social Engineerings. Da ist höchste Alarmbereitschaft geboten.“
Zu den Personen
Micheal Donnert
ist Dozent an der Technischen Hochschule Deggendorf und verfügt über 16 Jahre Erfahrung als Director für IT-Operations. Von 2017 bis Januar 2025 verantwortete er bei der Aareal Bank in der Second Line of Defence die Bereiche Cybersecurity und Security Awareness. Seine wissenschaftliche Neuausrichtung des unternehmensweiten Awareness-Programms hat nachhaltig die Sensibilisierung der Mitarbeitenden gestärkt.
Lukas Graner
ist seit sechs Jahren als wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Sichere Informationstechnologie tätig. Mit einem NLP-Hintergrund ist er in eine Vielzahl von Forschungs- und Industrieprojekten eingebunden, die den Einsatz künstlicher Intelligenz in sicherheitsrelevanten Bereichen untersuchen. Dazu zählen unter anderem die Identifikation verdächtiger Finanztransaktionen wie Geldwäsche oder auch die Analyse und Aufdeckung von Deepfakes, welche zunehmend realistischer und leichter verfügbar werden.
Paul Ranly
ist als wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) beschäftigt. Seine Forschungsschwerpunkte liegen in der Schnittstelle zwischen Natural Language Processing (die Verarbeitung natürlicher Sprache) und KI. Primär forscht er an neuen Möglichkeiten, um mithilfe von KI aktuelle Probleme im Umgang mit Text- und Transaktionsdaten lösen zu können. Dies umfasst beispielsweise Herausforderungen wie eine datenschutzkonforme Anonymisierung und Verarbeitung von Datenströmen oder die Erkennung von Desinformationen.
Das könnte Sie auch interessieren
Resilienz-Tests unter DORA
Testen digitaler operationaler Resilienz unter DORA: Unternehmen des Finanzsektors müssen ein DOR-Testprogramm etablieren. Worauf Sie dabei achten sollten, welche grundlegenden Tests dazugehören und wann man sie auslagern sollte, darüber sprechen wir mit Alexandros Manakos, Cyber Security-Experte und Geschäftsführer von Apollon Security.
DOR-Testprogramm
DORA legt den Fokus auf Cybersicherheit im Finanzsektor. Wie testen Sie, ob Ihr Unternehmen resilient gegenüber Angriffen ist? Alexandros Manakos hat bereits zahlreiche Banken und Versicherungen dabei unterstützt, eine effektive Cyberabwehr auf- und auszubauen. Der Cyber Security-Experte erklärt, welche Resilienz-Tests gemäß DORA erforderlich sind und welche ausgelagert werden können.
Mehr erfahren
Entdecken Sie weitere Facetten des Bank-Verlags
Unser Magazin & Newsletter BV connect
Sie wollen erfahren, was gerade in der Finanzbranche diskutiert wird? In unserem Magazin finden Sie Hintergründe, Interviews, Podcasts und aktuelle Fachveranstaltungen.
Unser Podcast: BV durch die bank
Der Podcast zur Digitalisierung der Finanzbranche. Wir gehen hinter die Buzzwords und bitten Experten zum Gespräch. Entdecken Sie unsere Podcastfolgen.
Akademie
Die aktuellen Herausforderungen der Finanzbranche sind spannend und chancenreich. Erhalten Sie wertvolle Wissens-Upgrades und inspirierende Angebote, die Sie professionell weiterbringen.