Warum Digital Trust im Arbeitsalltag beginnt – und nicht in der IT-Abteilung
01. Juli 2026Digital Trust Stories / CybersicherheitMorgens, kurz vor neun. Ein Mitarbeiter loggt sich ins Unternehmensnetzwerk ein – ein paar Klicks, und er hat Zugriff auf vertrauliche Informationen. Abends sitzt er im Zug, arbeitet im öffentlichen WLAN an Präsentationen. So arbeiten heute Millionen Menschen. Doch hinter jedem Login, jeder Verbindung, jeder digitalen Unterschrift steht eine Identität, die Angreifer missbrauchen können. Digitaler Identitätsdiebstahl ist eine ernste Gefahr. Als Chief Information Security Officer (CISO) schafft Dražen Morog bei DEKRA die Rahmenbedingungen für Informations- und Cybersicherheit – und sorgt dafür, dass digitale Identitäten sicher bleiben.
Kleine Bequemlichkeiten sind ein großes Risiko für die digitale Identität
Im digitalen Geschäftsalltag reichen schon kleine Nachlässigkeiten, damit aus Sicherheit ein Risiko wird: Der Bildschirm bleibt für einen Kaffee kurz entsperrt. Mitarbeiter geben Zugangsdaten weiter. Passwörter kleben am Monitor.
Dražen Morog weiß, dahinter stecken weder böse Absichten noch Faulheit. „Die Mitarbeiter möchten ihre Aufgaben so effizient wie möglich erledigen“, sagt er. Aber gerade dieses mangelnde Risikobewusstsein im Arbeitsalltag sei gefährlich, so der CISO. „Angreifer müssen durch digitalen Identitätsdiebstahl keine Firewalls überwinden oder Systeme hacken. Sie übernehmen einfach das digitale Ich des Mitarbeiters und damit alle seine Rechte im System. Alles, was ab diesem Moment geschieht, geschieht im Namen des Mitarbeiters.“
Digitale Identitäten sichern: Informations- und Cybersicherheit muss praxistauglich sein
Der CISO der DEKRA Gruppe kennt die Praxis aus eigener Erfahrung. Er hat zunächst Fernmeldeelektroniker gelernt, später über den zweiten Bildungsweg das Abitur gemacht, Nachrichtentechnik studiert und ist dann in die Informationssicherheit eingestiegen – ab 2010 in CISO‑Rollen bei Unternehmen. Seit 2021 ist Dražen Morog Chief Information Security Officer bei DEKRA. Aufgrund seiner Ausbildung weiß er, worauf es bei der Arbeit ankommt: „Informations- und Cybersicherheit muss vor allem alltagstauglich sein und im Büro genauso funktionieren wie bei den Kollegen im Feld. Wir sind da, um unseren Kollegen zu helfen. Deshalb müssen wir sie verstehen, sonst funktioniert es nicht.“
Für den CISO ist deshalb klar: „Jedes Unternehmen braucht Sicherheitsregeln, die zum Arbeitsablauf passen. Wenn das Sperren des Bildschirms, sorgsamer Umgang mit Passwörtern und das Nicht-Weitergeben von Logins zur Routine werden, schließt sich eine zentrale Lücke im Schutz digitaler Identitäten.“
Durch meine Ausbildung verstehe ich die Kolleginnen und Kollegen, die in der Praxis arbeiten. Denn ich war selbst einer von ihnen. Cybersecurity darf nie bremsen, sie muss ermöglichen, Risiken mindern, Chancen erhöhen. Wir müssen den Nutzen von Informations- und Cybersicherheit sichtbar machen. Das kombiniert mit klaren Regeln und Awareness bringt Unternehmen den besten Schutz und erhöht das Vertrauen.
Dražen Morog, Chief Information Security Officer bei DEKRA
Deepfakes: Wenn wir selbst vertrauten Gesichtern und Stimmen nicht mehr glauben können
Im Zeitalter von Künstlicher Intelligenz (KI) hat sich das Gefahrenszenario verändert. Cyberkriminelle nutzen unser Vertrauen aus. Ein Beispiel: Wir haben Zeitdruck, die Abgabe eines Projekts naht – und genau dann kommt der Anruf des Chefs. Die Stimme klingt vertraut, der Ton ist bestimmt, die Aufgabe angeblich dringend: „Bitte sofort freigeben, das darf nicht warten.“ In solchen Momenten neigen viele dazu, nicht zu hinterfragen, sondern zu handeln. Genau darauf zielen solche Deepfakes, also die digital gestützte Nachahmung von Gesichtern und Stimmen.
Wir hatten einen solchen Fall kürzlich bei einem Kunden. Ein Mitarbeiter war kurz davor, eine angeblich angeordnete Geldüberweisung auszulösen. Aber dann hat er richtig gehandelt: Er hat innegehalten und über einen zweiten Kanal beim Vorgesetzten nachgefragt. Die Anordnung war ein Fake.“ Für Dražen Morog zeigt dieser Fall: Wachsamkeit ist wichtig, reicht aber auf Dauer nicht. Professionelle Cyberkriminelle imitieren Stimmen und digitale Absender mit KI-Unterstützung mittlerweile so glaubwürdig, dass selbst erfahrene Mitarbeiter ins Zweifeln kommen. „Deshalb braucht jedes Unternehmen klare Prüfwege und eine verbindliche Zwei-Kanal-Regel. Das ist keine Empfehlung – das ist Governance. Als globale Prüforganisation ist uns das bei DEKRA mehr als bewusst. Wir können nicht darauf hoffen, dass jemand im richtigen Moment das Richtige tut. Wir müssen ein System bauen, das die Menschen dabei unterstützt.
Hundertprozentige Sicherheit gibt es nicht. Es geht immer um Risikoabwägung: Wie viel Sicherheit brauche ich, damit ich noch effizient arbeiten kann? Informations- und Cybersicherheit darf nie zum Hemmnis werden.
Dražen Morog, Chief Information Security Officer bei DEKRA
Vernetzte Systeme als Ziel von Cyberattacken
Auch aufgrund seiner Praxiserfahrung schaut Dražen Morog nicht bloß auf Büroarbeitsplätze. Denn nicht nur Menschen haben ein digitales Ich – auch Maschinen müssen sich ausweisen. Jedes Steuergerät, jeder Sensor braucht eine verlässliche Identität, damit vernetzte Systeme einander vertrauen können. Moderne Autos sind fahrende Computer, deren Komponenten permanent Daten austauschen. Genau diese Schnittstellen möchten Angreifer ausnutzen. Ihr Ziel: sich in die Kommunikation einschalten oder Schwachstellen bei Zertifikaten und Protokollen finden. Bei Autos ist das nicht nur ein digitales, sondern ein physisches Risiko. Denn bei einer erfolgreichen Attacke können Kriminelle Systeme beeinflussen – vom Eingriff in Steuergeräte bis hin zu Funktionen wie Notbremsung oder teilautonomem Fahren.
Hier hilft DEKRA den Fahrzeugherstellern. In spezialisierten Laboren, unter anderem im spanischen Málaga, prüfen Expertinnen und Experten die Hardware und Kommunikationswege gezielt auf Angreifbarkeit. Ziel ist es, solche Schwachstellen früh zu erkennen, damit Hersteller ihre Produkte nachbessern und die vernetzten Fahrzeuge auf unseren Straßen sicher sind.
Die Europäische Union schärft derzeit ihre Vorgaben mit Regelwerken wie dem Cyber Security Act und dem Cyber Resilience Act, an deren praktischer Umsetzung DEKRA etwa im EU‑Horizon‑Projekt „Custodes“ mitarbeitet. Dr. Jasmin Cosic, verantwortlich für Partnership & BD Cybersecurity bei DEKRA, bringt dabei seine Expertise direkt in das Projekt ein. So entstehen verbindliche Rahmenbedingungen, nach denen Hersteller ihre vernetzten Produkte und Systeme konzipieren, testen und absichern müssen – von Automobilsteuergeräten bis hin zu industriellen IoT‑Lösungen.
DEKRA hat Vorbildfunktion
Als Chief Information Security Officer verantwortet Dražen Morog bei DEKRA die sogenannte „Second Line of Defense“: Während DEKRAs Cybersecurity-Trainer Unternehmen helfen, Angriffe zu erkennen, baut er mit seinem Team das Fundament: Regeln, Strukturen und eine Sicherheitskultur, die tragen. Ein Ansatz dabei: Die Expertenorganisation muss Vorbild sein beim Thema Digital Trust – also dem Vertrauen, dass digitale Systeme und Identitäten sicher und verlässlich funktionieren. „Wir leben das Schutzniveau vor, das wir empfehlen“, betont Dražen Morog. DEKRA arbeitet dabei international, mit Standorten in Europa, Asien-Pazifik sowie Nord- und Südamerika.
Konkret rät der CISO zur Multi-Faktor-Authentisierung als Standard, zu klaren Regeln für die Nutzung von Homeoffice und Unternehmenshardware sowie Vorgaben für externe Mitarbeitende und Dienstleister. Ein häufiger Fehler aus seiner Sicht ist es, private Geräte ohne klare Schutzmaßnahmen ins Unternehmensnetz zu holen – also ein unsicheres „Bring your own device“.
Fünf Praxisregeln, die digitale Identitäten im Arbeitsalltag schützen
1. Rücken freihalten
Gib keine Zugangsdaten ein, wenn andere mitlesen können – etwa im Besprechungsraum, auf dem Flur oder im Zug.
Gib keine Zugangsdaten ein, wenn andere mitlesen können – etwa im Besprechungsraum, auf dem Flur oder im Zug.
2. Bildschirm sperren
Sperre deinen Bildschirm immer, wenn du den Platz verlässt. Das sollte so selbstverständlich sein wie das Abschließen des Autos. Das bleibt auch nicht offen.
Sperre deinen Bildschirm immer, wenn du den Platz verlässt. Das sollte so selbstverständlich sein wie das Abschließen des Autos. Das bleibt auch nicht offen.
3. Logins bleiben persönlich
Behalte deine Zugangsdaten für dich. Wer seine Passwörter teilt, verliert die Kontrolle darüber, was in seinem Namen geschieht. Das ist so, als würde man jemandem mit der eigenen Bankkarte mitsamt PIN zum Einkaufen schicken.
Behalte deine Zugangsdaten für dich. Wer seine Passwörter teilt, verliert die Kontrolle darüber, was in seinem Namen geschieht. Das ist so, als würde man jemandem mit der eigenen Bankkarte mitsamt PIN zum Einkaufen schicken.
4. Passwortmanager nutzen
Viele Zugänge erfordern viele unterschiedliche Passwörter. Passwortmanager helfen dir, diese sicher zu verwalten – ohne Zettel am Monitor.
Viele Zugänge erfordern viele unterschiedliche Passwörter. Passwortmanager helfen dir, diese sicher zu verwalten – ohne Zettel am Monitor.
5. Öffentliche Netze nur mit Schutz verwenden
Nutze möglichst ein VPN, um in Bahnhöfen oder Zügen auf Unternehmensressourcen zuzugreifen. Überlege genau, welche Daten du wo aufrufst.
Nutze möglichst ein VPN, um in Bahnhöfen oder Zügen auf Unternehmensressourcen zuzugreifen. Überlege genau, welche Daten du wo aufrufst.
Diese Verhaltensregeln sind einfach umsetzbar und sie verringern die Angreifbarkeit deutlich. Für Dražen Morog sind sie ein zentraler Baustein von Digital Trust – als Ergänzung zu technischen Schutzmaßnahmen. Dem CISO ist wichtig, dass die Menschen verstehen: Wer sich nicht an Vorgaben hält, geht ein nicht kalkulierbares Risiko ein – für sich selbst und für das Unternehmen.
Die digitale Identität bleibt – Vertrauen entscheidet
Ob Login, digitale Unterschrift oder automatisierter Datenaustausch zwischen Maschinen – ohne verlässliche digitale Identitäten funktioniert heute kein Unternehmen mehr. Der CISO ist sich sicher: „Der Weg in die Digitalisierung und der Einsatz von KI sind unumkehrbar. Wir leben und arbeiten in einer digitalen Welt, darin müssen wir uns zurechtfinden und digitalen Identitätsdiebstahl verhindern.“
Künstliche Intelligenz verschärft die Lage: Angriffe wirken glaubwürdiger, Identitäten lassen sich leichter imitieren. Zugleich kann KI aber auch die Sicherheit verbessern, etwa bei der Erkennung von Auffälligkeiten. Entscheidend ist für Dražen Morog, dass Unternehmen Chancen nutzen und Risiken steuern. „Vertrauen ist kein Zustand, den man einmal erreicht. Wir müssen ihn uns jeden Tag neu verdienen – technisch und im Umgang mit digitalen Identitäten. Dabei hilft DEKRA den Unternehmen“, so der CISO.