Kurz vorweg: Wenn bei euch jemand auf eine Phishing-Mail klickt und danach das halbe Netz verschlüsselt ist, war nicht der Klick das Problem, sondern dass ein einziger Klick das halbe Netz verschlüsseln konnte. Der Mensch ist der letzte Punkt einer Kette, die vorher an mehreren Stellen hätte halten müssen. Über die spricht nur kaum jemand.
Die Ausrede vom menschlichen Versagen
Kaum ein Satz fällt in Security-Präsentationen so zuverlässig wie die Behauptung, fast alle Vorfälle gingen auf menschliches Versagen zurück. Eine belastbare Quelle nennt dafür nie jemand — die Prozentzahl dahinter wandert seit Jahren unbelegt von Folie zu Folie. Trotzdem klingt der Satz einleuchtend, und er ist praktisch: Er verkauft Awareness-Abos und verschiebt die Verantwortung auf die Person am Bildschirm. Die eigentliche Frage verdeckt er. Warum konnte ein einzelner Fehlklick überhaupt so viel Schaden anrichten?
Ein Mitarbeiter, der auf einen Link klickt, ist kein Sicherheitsvorfall. Er ist ein Dienstagvormittag. Menschen klicken auf Links, das ist ihr Job. Ein System, in dem dieser Klick reicht, um Zugangsdaten abzugreifen, sich seitlich durchs Netz zu bewegen und Backups mitzuverschlüsseln, ist der Vorfall.
Was Straf-Phishing anrichtet
Der übliche Reflex ist die Phishing-Simulation mit Pranger: Wer klickt, bekommt eine Rüge oder muss zur Nachschulung. Das Ergebnis ist selten mehr Sicherheit. Es ist ein Team, das gelernt hat, Fehler zu verstecken.
Genau das wollt ihr nicht. Die teuerste Stunde in einem Angriff ist die, in der jemand gemerkt hat, dass etwas faul ist, sich aber nicht zu melden traut. Wer Mitarbeiter für Klicks bestraft, trainiert ihnen das Schweigen an. Ihr braucht das Gegenteil: Leute, die in dreißig Sekunden anrufen und sagen „ich glaube, ich habe Mist gebaut”.
Zuerst kommt das System
Bevor ihr einen Cent in Simulationen steckt, sorgt dafür, dass ein einzelner Fehler nicht das ganze Haus kostet:
- Aktiviert MFA auf allem, was von außen erreichbar ist. Dann ist ein abgegriffenes Passwort allein wertlos — erst recht, wenn Passwörter im Team sauber verwaltet werden statt in einer Excel-Liste zu liegen.
- Setzt einen Mailfilter davor, der den Großteil der Phishing-Mails abfängt, bevor sie überhaupt jemand sieht.
- Vergebt wenig Rechte pro Konto. Wer nur seine drei Ordner braucht, soll auch nur an seine drei Ordner kommen.
- Haltet getestete Backups außer Reichweite, damit ein verschlüsseltes Netz ärgerlich bleibt und nicht existenzbedrohend wird.
Keiner dieser Punkte verlangt vom Menschen, fehlerfrei zu sein. Genau das ist der Punkt. Sicherheit, die davon abhängt, dass niemand je auf den falschen Link klickt, ist keine Sicherheit, sondern eine Wette. Nebenbei ist das ziemlich genau die Liste, deren Umsetzung euch die Cyberversicherung im Antrag abfragt — zwei Fliegen, ein System.
Awareness ja, aber als Hilfe
Damit kein falscher Eindruck entsteht: Aufklärung ist sinnvoll. Leute sollen wissen, wie eine gute Fälschung aussieht und an wen sie sich wenden. Aber als Hilfe, nicht als Drohung, und als Ergänzung zu funktionierender Technik, nicht als deren Ersatz. Der Mensch ist die letzte Verteidigungslinie. Man baut kein Haus, dessen einzige Wand die letzte ist.
Wollt ihr wissen, ob bei euch ein einzelner Klick wirklich so viel anrichten könnte? Schreib mir — in einer unabhängigen Beratung schauen wir uns die Kette an, nicht den Sündenbock.