← Zurück zum Blog

20. Mai 2026 · 3 Min. Lesezeit

Hört auf, die Mitarbeiter zu beschuldigen

„Menschliches Versagen“ erklärt keinen Phishing-Vorfall, es verdeckt kaputte Technik. Warum zuerst das System dran ist, nicht der Mensch.

AA
Anton Anders
IT-Berater & Entwickler

Kurz vorweg: Wenn bei euch jemand auf eine Phishing-Mail klickt und danach das halbe Netz verschlüsselt ist, war nicht der Klick das Problem, sondern dass ein einziger Klick das halbe Netz verschlüsseln konnte. Der Mensch ist der letzte Punkt einer Kette, die vorher an mehreren Stellen hätte halten müssen. Über die spricht nur kaum jemand.

Die Ausrede vom menschlichen Versagen

Kaum ein Satz fällt in Security-Präsentationen so zuverlässig wie die Behauptung, fast alle Vorfälle gingen auf menschliches Versagen zurück. Eine belastbare Quelle nennt dafür nie jemand — die Prozentzahl dahinter wandert seit Jahren unbelegt von Folie zu Folie. Trotzdem klingt der Satz einleuchtend, und er ist praktisch: Er verkauft Awareness-Abos und verschiebt die Verantwortung auf die Person am Bildschirm. Die eigentliche Frage verdeckt er. Warum konnte ein einzelner Fehlklick überhaupt so viel Schaden anrichten?

Ein Mitarbeiter, der auf einen Link klickt, ist kein Sicherheitsvorfall. Er ist ein Dienstagvormittag. Menschen klicken auf Links, das ist ihr Job. Ein System, in dem dieser Klick reicht, um Zugangsdaten abzugreifen, sich seitlich durchs Netz zu bewegen und Backups mitzuverschlüsseln, ist der Vorfall.

Was Straf-Phishing anrichtet

Der übliche Reflex ist die Phishing-Simulation mit Pranger: Wer klickt, bekommt eine Rüge oder muss zur Nachschulung. Das Ergebnis ist selten mehr Sicherheit. Es ist ein Team, das gelernt hat, Fehler zu verstecken.

Genau das wollt ihr nicht. Die teuerste Stunde in einem Angriff ist die, in der jemand gemerkt hat, dass etwas faul ist, sich aber nicht zu melden traut. Wer Mitarbeiter für Klicks bestraft, trainiert ihnen das Schweigen an. Ihr braucht das Gegenteil: Leute, die in dreißig Sekunden anrufen und sagen „ich glaube, ich habe Mist gebaut”.

Zuerst kommt das System

Bevor ihr einen Cent in Simulationen steckt, sorgt dafür, dass ein einzelner Fehler nicht das ganze Haus kostet:

  • Aktiviert MFA auf allem, was von außen erreichbar ist. Dann ist ein abgegriffenes Passwort allein wertlos — erst recht, wenn Passwörter im Team sauber verwaltet werden statt in einer Excel-Liste zu liegen.
  • Setzt einen Mailfilter davor, der den Großteil der Phishing-Mails abfängt, bevor sie überhaupt jemand sieht.
  • Vergebt wenig Rechte pro Konto. Wer nur seine drei Ordner braucht, soll auch nur an seine drei Ordner kommen.
  • Haltet getestete Backups außer Reichweite, damit ein verschlüsseltes Netz ärgerlich bleibt und nicht existenzbedrohend wird.

Keiner dieser Punkte verlangt vom Menschen, fehlerfrei zu sein. Genau das ist der Punkt. Sicherheit, die davon abhängt, dass niemand je auf den falschen Link klickt, ist keine Sicherheit, sondern eine Wette. Nebenbei ist das ziemlich genau die Liste, deren Umsetzung euch die Cyberversicherung im Antrag abfragt — zwei Fliegen, ein System.

Awareness ja, aber als Hilfe

Damit kein falscher Eindruck entsteht: Aufklärung ist sinnvoll. Leute sollen wissen, wie eine gute Fälschung aussieht und an wen sie sich wenden. Aber als Hilfe, nicht als Drohung, und als Ergänzung zu funktionierender Technik, nicht als deren Ersatz. Der Mensch ist die letzte Verteidigungslinie. Man baut kein Haus, dessen einzige Wand die letzte ist.


Wollt ihr wissen, ob bei euch ein einzelner Klick wirklich so viel anrichten könnte? Schreib mir — in einer unabhängigen Beratung schauen wir uns die Kette an, nicht den Sündenbock.

Häufige Fragen

Ist menschliches Versagen wirklich die Hauptursache für Sicherheitsvorfälle? +

Die oft zitierten Prozentzahlen dazu sind unbelegt. Ein Klick auf eine Phishing-Mail wird erst dann zum Großschaden, wenn Technik und Rechtevergabe dahinter versagen. Die eigentliche Ursache ist das System, das einen einzelnen Fehler eskalieren lässt.

Was hilft besser als Awareness-Schulungen allein? +

MFA auf allen von außen erreichbaren Zugängen, ein Mailfilter, minimale Rechte pro Konto und getestete Backups außer Reichweite. Diese Maßnahmen wirken auch dann, wenn jemand klickt — Schulung ergänzt sie, ersetzt sie aber nicht.

Was ändert eine schuldfreie Fehlerkultur konkret? +

Menschen melden Verdachtsfälle sofort, statt sie zu verstecken. Die teuerste Phase eines Angriffs ist die, in der jemand etwas bemerkt hat und schweigt. Wer Meldungen belohnt, statt Klicks zu bestrafen, verkürzt genau diese Phase.

Klingt nach deinem Thema?

Lass uns unverbindlich darüber reden — kostenlos und ohne Verpflichtung.