Cybervize – Cybersecurity Beratung
Alle Artikel

95% Mythos: Warum Schuldzuweisungen Cybersicherheit bremsen

Alexander Busse·13. Juni 2025
95% Mythos: Warum Schuldzuweisungen Cybersicherheit bremsen

Der Mythos der 95 %: Warum Schuldzuweisungen der Cybersicherheit schaden

Heute ist der "Blame Someone Else Day", ein Tag, der jedes Jahr am ersten Freitag, der 13. stattfindet und an Anne Moellers verschlafenen Morgen im Jahr 1982 erinnert. Es geht um jenen allzu menschlichen Reflex, Verantwortung schnell weiterzureichen, wenn etwas schiefläuft. Im Bereich der Cybersicherheit hat sich dieser Reflex längst zum Standard entwickelt.

Eine häufig zitierte IBM-Studie behauptet: "95 % aller Sicherheitsvorfälle gehen auf Menschen zurück." Diese Zahl wird regelmäßig herangezogen, um die Schuld bei Mitarbeitern zu suchen, die auf Phishing-Mails klicken oder schwache Passwörter verwenden. Doch diese Vereinfachung übersieht entscheidende Faktoren und verhindert echte Verbesserungen in der Sicherheitsarchitektur.

Was die 95 %-Statistik verschweigt

Die Realität der Cybersicherheit ist komplexer als eine einzelne Zahl vermuten lässt. Sicherheitsvorfälle entstehen fast nie durch einen einzelnen Faktor, sondern durch das Zusammenspiel von drei kritischen Ebenen:

Technische Ebene: Ungepatchte Schwachstellen

Bevor überhaupt ein Mitarbeiter auf einen verdächtigen Link klickt, haben technische Versäumnisse oft bereits die Tür geöffnet. Ungepatchte Sicherheitslücken in Systemen wie Exchange-Servern, veraltete Betriebssysteme oder falsch konfigurierte Firewalls schaffen Angriffsvektoren, die völlig unabhängig vom menschlichen Verhalten existieren.

Ein Beispiel aus der Praxis: Die ProxyLogon-Schwachstellen in Microsoft Exchange-Servern wurden 2021 massenhaft ausgenutzt, noch bevor viele Unternehmen überhaupt Zeit hatten zu patchen. Hier war nicht menschliches Versagen das Problem, sondern die technische Reaktionsgeschwindigkeit und die Komplexität der Infrastruktur.

Prozessebene: Fehlende Strukturen und Zuständigkeiten

Selbst wenn eine Sicherheitswarnung ausgelöst wird, verpufft sie oft wirkungslos, wenn keine klaren Incident-Response-Prozesse existieren. Wer ist zuständig? Wer wird informiert? Welche Schritte sind in welcher Reihenfolge zu ergreifen?

Ein fehlendes oder unvollständiges Incident-Runbook führt dazu, dass kritische Warnungen ignoriert werden, Eskalationen zu spät erfolgen oder mehrere Teams aneinander vorbeiarbeiten. In einer komplexen IT-Landschaft sind dokumentierte Prozesse, klare KPIs und definierte Eskalationspfade unverzichtbar.

Menschliche Ebene: Credential-Reuse und Social Engineering

Natürlich spielt der Mensch eine Rolle, aber oft unter Bedingungen, die das Unternehmen selbst geschaffen hat. Credential-Reuse beim Single Sign-On (SSO) macht Phishing-Angriffe besonders überzeugend. Wenn Mitarbeiter dieselben Zugangsdaten für mehrere Dienste verwenden müssen oder können, wird ein einzelner kompromittierter Account zum Generalschlüssel.

Zudem fehlt es häufig an regelmäßigen, praxisnahen Security-Awareness-Trainings. Einmalige Pflichtschulungen reichen nicht aus, um ein dauerhaftes Sicherheitsbewusstsein zu schaffen.

Die Angriffskette: Synergie der Schwachstellen

Der entscheidende Punkt ist: Erst die Synergie dieser drei Ebenen (Technik, Prozess, Mensch) schafft eine ineinandergreifende Angriffskette, die erfolgreiche Cyberangriffe ermöglicht. Ein Angreifer nutzt eine ungepatchte Schwachstelle, umgeht durch fehlende Prozesse die Erkennung und nutzt schließlich Social Engineering, um sich lateral im Netzwerk zu bewegen.

Wer Ursachen methodisch untersucht, enträtselt, warum der Wecker klingelt, aber keiner reagiert. Die Frage ist nicht "Wer ist schuld?", sondern "Welche Systemfehler haben diesen Vorfall ermöglicht?"

Hebel, die wirklich wirken

Um Cybersicherheit nachhaltig zu verbessern, müssen Unternehmen auf allen drei Ebenen ansetzen:

1. Technische Härtung: Schwachstellen systematisch beseitigen

Patch-Management ist kein lästiges Übel, sondern eine der wirksamsten Sicherheitsmaßnahmen überhaupt. Kritische Updates sollten innerhalb von maximal 3 Tagen eingespielt werden. Ein strukturierter Patch-Sprint kann dramatische Ergebnisse liefern.

Proof-Point aus der Praxis: Ein mittelständischer Industriekunde führte einen vierwöchigen Patch-Sprint durch, bei dem alle kritischen Schwachstellen systematisch geschlossen wurden. Das Ergebnis: Die Attack Surface reduzierte sich um 95 %. Statt Hunderten potenzieller Einfallstore blieben nur noch wenige, gut überwachte Zugangspunkte.

Weitere technische Maßnahmen:

  • Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme
  • Netzwerksegmentierung, um laterale Bewegungen zu erschweren
  • Vulnerability Scanning mit automatisierter Priorisierung
  • Endpoint Detection and Response (EDR) für schnelle Reaktion

2. Prozessuale Exzellenz: Messbare Strukturen und klare Zuständigkeiten

Sicherheit braucht messbare Prozesse. Definieren Sie klare KPIs wie:

  • Zeit bis zur Erkennung eines Vorfalls (Time to Detect)
  • Zeit bis zur Reaktion (Time to Respond)
  • Patch-Compliance-Rate
  • Erfolgsquote bei Phishing-Simulationen

Eskalationspfade müssen dokumentiert und regelmäßig getestet werden. Wer wird bei welcher Art von Vorfall informiert? Wer hat Entscheidungsbefugnis? Ein jährlicher Tabletop-Exercise hilft, diese Prozesse zu überprüfen und zu verbessern.

Erstellen Sie ein umfassendes Incident-Response-Runbook, das verschiedene Szenarien (Ransomware, Datenleck, DDoS) abdeckt und konkrete Handlungsanweisungen enthält.

3. Menschliche Kompetenz: Kontinuierliche Trainings und Awareness

Security Awareness ist kein Projekt, sondern ein kontinuierlicher Prozess. Effektive Programme zeichnen sich aus durch:

  • Vierteljährliche Auffrischungen statt jährlicher Pflichtveranstaltungen
  • Realistische Phishing-Simulationen mit konstruktivem Feedback
  • Zielwert: Phishing-Erfolgsquote unter 5 %
  • Rollenspezifische Trainings für besonders exponierte Mitarbeiter (Finance, HR, IT)

Wichtig: Trainings sollten nicht bestrafen, sondern befähigen. Schaffen Sie eine Kultur, in der Mitarbeiter verdächtige E-Mails melden können, ohne Konsequenzen zu fürchten.

NIS2: Compliance als Treiber für Security Excellence

Die NIS2-Richtlinie, die ab 2024 in nationales Recht umgesetzt wird, verschärft die Anforderungen erheblich. Unternehmen in kritischen Sektoren und wichtigen Branchen müssen nun deutlich höhere Sicherheitsstandards erfüllen.

Die Konsequenzen bei Nichteinhaltung sind drastisch:

  • Bußgelder bis zu 10 Millionen Euro oder
  • 2 % des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsführung

Rund 30.000 deutsche Unternehmen fallen unter die NIS2-Richtlinie. Für viele bedeutet dies ein grundlegendes Umdenken in der Sicherheitsstrategie. NIS2 verlangt:

  • Risikomanagement und Incident-Response-Pläne
  • Regelmäßige Sicherheitsaudits
  • Supply-Chain-Security
  • Meldepflichten bei Sicherheitsvorfällen (innerhalb von 24 Stunden)

Statt NIS2 als Compliance-Bürde zu sehen, sollten Unternehmen die Richtlinie als Chance zur systematischen Verbesserung ihrer Sicherheitsarchitektur begreifen.

Von der Schuldzuweisung zur Systemverbesserung

Der "Blame Someone Else Day" erinnert uns daran, wie verlockend es ist, einfache Sündenbocke zu suchen. Doch in der Cybersicherheit ist dieser Ansatz nicht nur unproduktiv, sondern gefährlich.

Effektive Cybersicherheit entsteht nicht durch Schuldzuweisungen, sondern durch:

  • Ganzheitliches Denken, das Technik, Prozess und Mensch integriert
  • Messbare Verbesserungen statt vager Absichtserklärungen
  • Kontinuierliche Weiterentwicklung der Sicherheitsarchitektur
  • Positive Fehlerkultur, die Lernen ermöglicht

Die 95 %-Statistik ist nicht falsch, aber unvollständig. Menschen sind Teil des Systems, aber das System bestimmt, wie sicher Menschen agieren können.

Fazit: Priorisierung ist entscheidend

Welche Ebene sollten Sie in diesem Quartal priorisieren? Die Antwort hängt von Ihrer aktuellen Situation ab:

  • Hohe Anzahl ungepatchter Systeme? Starten Sie einen Patch-Sprint.
  • Unklare Verantwortlichkeiten bei Vorfällen? Dokumentieren Sie Ihr Incident-Response-Runbook.
  • Hohe Phishing-Erfolgsrate? Implementieren Sie ein kontinuierliches Awareness-Programm.

Der wichtigste Schritt ist, überhaupt zu beginnen und nicht auf den perfekten Moment zu warten. Cybersicherheit ist ein Marathon, kein Sprint.

Handeln Sie jetzt: Bewerten Sie Ihre aktuelle Sicherheitsarchitektur auf allen drei Ebenen. Definieren Sie messbare Ziele. Und vor allem: Hören Sie auf, Schuld zuzuweisen, und beginnen Sie, Systeme zu verbessern.

Welche Ebene werden Sie in diesem Quartal priorisieren? Teilen Sie Ihre Strategie mit uns oder kontaktieren Sie uns für eine individuelle Beratung zur Verbesserung Ihrer Cybersicherheitsarchitektur.

Zurück zur Übersicht