Jedes Jahr befragt das SANS Institute Tausende von Sicherheitsexperten auf der ganzen Welt, um zu vergleichen und besser zu verstehen, wie Unternehmen das Risiko des menschlichen Faktors managen. Anhand der Umfragedaten wird ein kostenloser Bericht erstellt, der Erkenntnisse und datengestützte Maßnahmen enthält, die wiederum Unternehmen für sich nutzen können.
Für Cyberkriminelle auf der ganzen Welt ist der Mensch und nicht die Technologie der größte Schwach- und damit der erste Angriffspunkt in den Unternehmen.
(Bild: Kiattisak - stock.adobe.com)
Als Best Practices sollte jede Organisation einmal im Jahr eine Übung mit dem Security Awareness Maturity-Modell durchführen, um den Reifegrad ihres Security Awareness- bzw. Security Culture-Programms zu messen. Die Ergebnisse dieser Übung dienen dazu, die Faktoren zu identifizieren, die den größten Einfluss auf die Reife und den Erfolg Ihres Programms haben. Dreh- und Angelpunkt für den Reifegrad des Programms ist die Anzahl der Vollzeitbeschäftigten im Cybersecurity-Team, die sich mit Security Awareness beschäftigen.
Das Management menschlicher Risiken ist letztlich ein menschliches Problem, dass sich auch nur mit Menschen lösen lässt. IT-Security Verantwortliche können dieses Thema nicht einfach mit mehr Technologie bekämpfen und erwarten, dass diese die Risiken schon in den Griff bekommen. Je mehr Menschen in der IT-Sicherheitsabteilung arbeiten, desto effektiver können sie ihre Mitarbeiter einbinden, ihr Verhalten ändern und letztendlich eine starke Sicherheitskultur schaffen und diese bemessen.
Um ein Security Awareness-Team zu vergrößern, muss in der Führungsebene zunächst der Mehrwert vermittelt werden, den ein größeres Team tagtäglich für das Unternehmen erbringt. Der häufigste Fehler, den diese Teams aber machen, besteht darin, dass sie nur über die von ihnen durchgeführten Schulungsmaßnahmen sprechen. Stattdessen müssen Security Awareness-Teams kommunizieren, wie sie mit menschlichen Risiken umgehen und wie das Programm die strategischen Prioritäten der Unternehmensleitung unterstützt und darauf abgestimmt ist. Im Folgenden werden Maßnahmen beschrieben, wie dies gelingt.
Die vier größten menschlichen Risiken
1. Phishing/Smishing/Vishing
Diese Kategorie bezieht sich auf die drei häufigsten Social-Engineering-Angriffe: E-Mail-basiertes Phishing, SMS-basiertes Smishing und sprachbasiertes Vishing. Diese Risiken wurden von den Befragten bei weitem am häufigsten als menschliches Risiko eingestuft. Mit den Möglichkeiten der künstlichen Intelligenz wird es für Cyber-Bedrohungsakteure noch einfacher, maßgeschneiderte Phishing-Angriffe mit weniger Rechtschreib- oder Grammatikfehlern und in jeder beliebigen Sprache zu erstellen. Es sollte bedacht werden, dass dies nicht nur für E-Mails oder Messaging gilt: KI kann jetzt ebenso leicht jede menschliche Stimme synthetisieren, die ein Angreifer gebrauchen könnte. Sprachfetzen eines mitgeschnittenen Telefonats eines CEOs oder eines Familienangehörigen reichen in Zukunft wahrscheinlich schon aus. In vielerlei Hinsicht ist die KI damit der neue Treibstoff für Cyber-Bedrohungsakteure, so dass Unternehmen mit einer Zunahme sowohl der Raffinesse als auch des Umfangs dieser Arten von Angriffen rechnen können.
2. Passwörter & Authentifizierung
Überraschend war dieses Top-Risiko nicht, jedoch wäre zu erwarten gewesen, dass dieses Risiko viel höher eingestuft wird, gleichwertig mit Phishing. Ein Grund dafür, dass Passwörter vergleichsweise als ein viel geringeres Risiko wahrgenommen werden, ist der aktive Einsatz von Passwort-Managern, die starke Passwörter einfacher machen und die Einführung von stärkeren Authentifizierungskontrollen wie der Multi-Faktor-Authentifizierung (MFA).
3. Erkennung & Reporting
Überraschend ist, dass der Bereich Erkennung und Reporting in der Risikoeinstufung gleichauf mit Passwörtern und Authentifizierung liegt. Dass die Befragten die Erkennung und Berichterstattung als wichtigstes Anliegen identifiziert haben, ist eine positive Entwicklung. Sie bedeutet, dass die Unternehmen bei ihren Security Awareness-Programmen über die reine Prävention einer menschlichen Firewall hinausgehen. Sie setzen auf die Entwicklung eines menschlichen Sensors als Detection-Mechanismus, der den Unternehmen hilft, die Verweildauer der Angreifer im Netzwerk bzw. auf den kompromittierten Geräten zu reduzieren. Der Schlüssel zur Entwicklung eines menschlichen Sensornetzwerks liegt nicht nur darin, Mitarbeiter darin zu schulen, worauf sie achten müssen, sondern auch darum, die Meldung eines vermuteten Vorfalls so einfach wie möglich zu gestalten. Außerdem ist es wichtig, die bisherige Sicherheitskultur zu verstehen. Wie wahrscheinlich ist es, dass die Mitarbeiter einen Vorfall melden, selbst wenn sie wissen, dass sie ihn verursacht haben? In einer Sicherheitskultur, in der großes Vertrauen herrscht, ist die Wahrscheinlichkeit, dass die Mitarbeiter einen Vorfall melden, sehr viel größer. In einer toxischen Sicherheitskultur in der Fehlverhalten bestraft wird, ist eher das Gegenteil der Fall und es kommt eher dazu, dass Mitarbeiter einen Vorfall nicht melden oder sogar versuchen, ihn zu vertuschen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
4. Fehlkonfiguration in der IT-Administration
Diese Risikokategorie taucht immer häufiger als Problem auf. IT-Administratoren verwalten sensible Systeme und Daten immer häufiger in der Cloud. Das Problem ist, dass die Cloud eine sehr verwirrende Umgebung sein kann. In dem Moment, in dem sich die Administratoren endlich einen Überblick verschafft haben, entwickelt sich die Technologie weiter, die Funktionen ändern sich oder neue werden hinzugefügt. Mit anderen Worten: Es ist sehr leicht, einen Fehler zu machen. Sind IT-Administratoren verwirrt, sind die Auswirkungen eines Vorfalls weitaus größer zum Beispiel durch eine versehentliche Veröffentlichung eines hochsensiblen Datensatzes. Daraus leitet sich eine große Nachfrage nach speziellen Schulungen für IT-Administratoren und Entwicklern ab, um ihnen zu vermitteln, wie sie die Cloud sicher verwalten und nutzen können.
Überraschend ist nicht, dass Social Engineering die Liste der größten Risiken anführt, sondern dass es als viel größeres Risiko als alle anderen menschlichen Risiken wahrgenommen wird. Unabhängig von der Identität des Cyberangreifers, seinen Fähigkeiten, technischen Möglichkeiten oder seiner Motivation ist Social Engineering für die meisten Cyberangreifer der einfachste und effektivste Weg, um in einem Unternehmen Fuß zu fassen.
Gehalt & Karriere
Eine häufig gestellte Frage von angehenden Security Awareness-Beauftragten dreht sich um die Frage, wie viel Gehalt er verdienen wird. In den USA und Kanada verdienen Security Awareness-Manager das meiste, nämlich im Durschnitt 116.000 US-Dollar und in Ozeanien (Australien und Neuseeland) am zweitmeisten mit 112.000 US-Dollar Jahresgehalt. In Europe liegt das durchschnittliche Salär bei 79.000 US-Dollar.
Ein weiteres interessantes Ergebnis der diesjährigen Umfrage ist, dass Security Awareness-Experten, die sich auf menschliche Risiken spezialisieren (wie in ihrer Berufsbezeichnung definiert), zum ersten Mal mehr verdienen als diejenigen, deren Berufsbezeichnung nicht auf menschliche Risiken ausgerichtet ist. Weltweit liegt das Gehalt von Awareness-Experten, deren Titel einen Fokus auf menschliche Risiken widerspiegelt, bei durchschnittlich 104.000 US-Dollar, verglichen mit 97.000 US-Dollar für Experten mit allen anderen Rollen.
Fazit
Der Mensch ist zum Hauptangriffsvektor geworden. Für Cyber-Bedrohungsakteure auf der ganzen Welt ist der Mensch und nicht die Technologie der größte Schwach- und damit der erste Ansatzpunkt in den Unternehmen. Programme zur Förderung der Security Awareness und die Fachleute, die sie verwalten, sind der Schlüssel zur Abschwächung des Risikos des menschlichen Faktors. Der Reifegrad der Profession des Security Awareness-Beauftragten ist daher eine der wichtigsten Entwicklungen in der gesamte IT-Sicherheits-Community.
Über den Report: Die 8. Ausgabe des SANS Security Awareness Report 2023 enthält Daten von fast 2.000 Sicherheitsexperten aus über 80 Ländern.
Über den Autor: Lance Spitzner ist Senior Instructor und Security Awareness-Experte beim SANS Institute.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/b8/20/b8205ed10ad1f5ad5dad7af6f4e85ef9/0126221876v2.jpeg "Das SANS Institut gibt Unternehmen Empfehlungen an die Hand, mit denen sie Security-Awareness-Programme effizienter und erfolgreicher machen können. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/b8/fcb8b494876985131b5bbc98b5a26497/0128528821v2.jpeg "Wenn Führung und Mitarbeitende kontinuierliche Awareness gemeinsam leben und Trainingserfolge sichtbar machen, steigt die Meldebereitschaft und die Cyberresilienz im Arbeitsalltag. (Bild: © peopleimages.com - stock.adobe.com)")