Der Mensch als Schlüssel der Informationssicherheit
Mehr als eine Milliarde Phishing-Mails in zwölf Monaten, generiert von Künstlicher Intelligenz. Was Graham Stanforth in seinen Vorträgen zeigt, lässt Führungskräfte erschrecken. Der Cybersecurity-Experte ist bei DEKRA Teil der Business Line „Information, Cyber Security and AI“ und beobachtet seit Jahren die Bedrohungslage. Immer mehr im Fokus der Kriminellen: der Mensch. „Die technologischen Schutzmaßnahmen werden immer besser, denn Künstliche Intelligenz hilft nicht nur den Angreifern, sondern auch den Verteidigern“, sagt Stanforth. „Was als Angriffsziel bleibt, ist der Mensch.“
Generative KI in der Security: das neue Gefahrenpotenzial der Künstlichen Intelligenz
Graham Stanforth kennt sich mit Cybersicherheit und mit Menschen aus. Der gebürtige Brite diente im Royal Corps of Signals der britischen Streitkräfte, wurde in elektronischer Kampfführung ausgebildet, lebt seit 30 Jahren in Deutschland und wohnt heute mit seiner Frau, seinen zwei Kindern und seinem Hund George in der Nähe von Köln. Wer mit ihm spricht, merkt sofort: Graham weiß, wie man mit Menschen umgeht. In seinen Hacking-Shows führt er seinem Publikum die Gefahren live vor. Sein Ansatz: „Natürlich braucht es fundierte Inhalte – aber ich muss das Publikum packen, nicht nur informieren. Dann kommt die Botschaft an.“
Auf den DEKRA Aviation Days 2024 demonstrierte er, wie dies in einem hochsensiblen und von der Luftfahrtbehörde (LBA) überwachten Umfeld funktioniert. In Anwesenheit von Vertreterinnen und Vertretern der Luftfahrtbranche und der Luftwaffe brachte er ChatGPT mit wenigen Prompts dazu, ein Angriffskonzept preiszugeben, mit dem sich Flughäfen lahmlegen lassen. Das Publikum war sichtlich erschrocken.
Social Engineering: die Bedrohung durch KI und Hacker ist real
Anyone who wants to understand what happens on the internet every second should simply open a publicly available Cyber Threat Map, Stanforth advises. These maps visualize attacks on IT systems worldwide in real time – and the figures are alarming. Security experts register almost six million attacks per hour on just one German IT provider. And these are only the attacks that have been detected and diverted into virtual traps (honeypots). Purely technical attacks – known as cyber engineering using generative AI – are indeed a threat, but according to Stanforth they can also be repelled with technical means that also implemented generative AI. “Even more dangerous, however, is social engineering, where criminals use their soft skills to gain access to systems,” says the expert. In his view, the five most dangerous types of attacks are:
| Häufigkeit | Angriffsart | |
| 1 | Phishing | Gefälschte E-Mails, die zu Klicks auf Links oder zum Öffnen von Anhängen führen |
| 2 | Cyber hacking | Technischer Angriff auf Systemschwächen |
| 3 | Deepfake | KI-generierte Stimmen/Videos imitieren echte Personen |
| 4 | USB | Infizierte Datenträger werden in Unternehmensrechner gesteckt |
| 5 | BEC | Business E-Mail Compromise (Betrüger geben sich als Führungskraft aus und veranlassen Geldüberweisungen) |
Die Angreifer nutzen bei vier der fünf häufigsten Angriffsszenarien Vertrauen, Hilfsbereitschaft und Respekt vor Autorität aus. Das sind keine Schwächen, sondern soziale Eigenschaften. Wir müssen deshalb die Menschen befähigen, das zu durchschauen.
Graham Stanforth – Head of Information Security Training.
Was in der Theorie einfach klingt, kann unter Stress schwer sein. Ein Anruf vom vermeintlichen Vorgesetzten, eine harmlos aussehende E-Mail, ein Kollege, der kurz Hilfe braucht – genau das nutzt Social Engineering eiskalt aus. Stanforths wichtigste Botschaft lautet deshalb: „Informationssicherheit geht uns alle an.“
EU NIS2-Richtlinie: im Ernstfall schnell reagieren
Wer trotz aller Vorsicht auf eine Phishing-Mail geklickt hat, sollte reagieren. „Wichtig ist, den Vorfall sofort zu melden. Dann lässt sich der Schaden begrenzen und dazu ist man verpflichtet“, sagt der Experte. Denn seit Dezember 2025 ist in Deutschland die europäische NIS2-Richtlinie als nationales Recht in Kraft. Die schreibt vor, dass Unternehmen Vorfälle innerhalb von 24 Stunden dem Bundesamt für Sicherheit (BSI) in der Informationstechnik melden müssen. Nach 72 Stunden muss ein detaillierter Bericht folgen, und nach Klärung des Problems, innerhalb von 30 Tagen, ein Abschlussbericht
Phishing-Tests und Awareness: Menschen zum Schutzschild machen
Mit seinem Team von DEKRA Spezialisten setzt Stanforth vor allem auf Sensibilisierung, wenn sie im Auftrag von Unternehmen Penetration-Tests durchführen. Dabei senden sie Phishing-Test-Mails an Mitarbeitende. „Wir erfassen die Klickraten anonym und analysieren die Prozentzahlen. Keine Person wird namentlich erfasst, aber sie bekommen einen automatisierten Hinweis, dass sie auf eine Fake-Mail geklickt haben.“ Bei breit gestreuten Mails liege Branchendaten zufolge die Klickrate von Phishing-Mails zwischen fünf und zehn Prozent. „Bei unseren Tests betragen die Klickraten 13 Prozent und mehr.“
In die Test-Mails baut das DEKRA Team bewusst Hinweise ein, die auf einen unseriösen Absender deuten. Schreibfehler bei Namen oder Positionen beispielweise. Die Aufgabe der Mitarbeitenden: die E-Mails erkennen und melden.
Wir möchten, dass die Menschen lernen. Dann wird aus einem Risikofaktor ein Schutzschild. Dafür muss die Unternehmenskultur stimmen. Es darf keine ‚Wall of Shame‘ geben. Unternehmen brauchen eine ‚Wall of Fame‘.
Graham Stanforth – Head of Information Security Training
Eine sensibilisierte Belegschaft ist für Stanforth ein zentraler Schlüssel zu mehr Sicherheit. Denn wo früher Phishing-Mails häufig leicht erkennbar waren, generiert heute die Künstliche Intelligenz echt erscheinende Nachrichten in Sekunden. Während sie damit auf technischer Seite zu einem Wettrüsten zwischen Angreifern und Verteidigern führt, bleibt der Mensch die entscheidende Variable.
Cybersecurity-Maßnahmen: Sicherheit braucht Balance
Oft wird der Faktor Mensch bei der Informationssicherheit unterschätzt. Beispielsweise darf der technische Schutz nicht den Arbeitsalltag sabotieren: Bei DEKRA gibt es eine automatische Bildschirmsperre nach 15 Minuten. „Das kann eine lange Zeitspanne sein. Aber es macht keinen Sinn, die Zeitspanne zu kurz zu setzen“, sagt Stanforth und erinnert sich an einen Fall, wo ein Unternehmen die Zeit auf zwei Minuten festlegte. Die Folge: Die Mitarbeitenden konnten kaum eine E-Mail lesen. Ständig mussten sie sich neu einloggen. Also wurden sie kreativ und stellten fest, dass sie durch das Anbringen von Analoguhren unter ihren Computermäusen – der Sekundenzeiger simulierte eine Bewegung – die Sperre vollständig umgehen konnte. Dadurch wurden die Arbeitsplätze anfällig für Angriffe.
Cybersecurity vorleben ist Führungsaufgabe
Der Faktor Mensch ist noch in einem weiteren Punkt zentral. „Entscheidungsträger haben Vorbildfunktion. Wenn das Management Informationssicherheit vorlebt und an Schulungen teilnimmt, ziehen die Mitarbeitenden mit“, sagt Stanforth. DEKRA hat diese Funktion deshalb in der Service Division „PPO – People, Processes and Organization“ verankert – nicht als IT-Thema, sondern als Frage von Kultur und Organisation.
Wie sieht der bestmögliche Schutz vor Cyberangriffen aus? Für Stanforth ist die Antwort klar: „Die Systeme müssen dem neuesten Stand der Technik entsprechen und durch geeignete technische Maßnahmen geschützt sein. Zudem brauchen Unternehmen eine Kultur des Lernens, des Lobens und nicht der Schuldzuweisungen.“ Denn wenn Mitarbeitende aufmerksam sind, Auffälligkeiten zeitnah melden, sich gegenseitig helfen – dann könne aus dem Risiko Mensch ein Schutzschild erwachsen. „Diese Art von Kultur ist das Ziel, das wir bei der DEKRA leben und das Unternehmen brauchen“, so der Experte.
Pflicht zu Schutzmaßnahmen für Cyber-Sicherheit an überwachungsbedürftigen Anlagen
Mehr erfahren
Das Cybersicherheitspaket von DEKRA wurde dafür konzipiert, Ihre Produkte und Systeme durch eine Bewertung der Produkt-Cybersicherheit und Zertifizierung zu sichern.
Mehr erfahren