Das Cyber-Paradoxon: Warum mehr Technologie allein nicht hilft

Trotz wachsender Ausgaben – Prognosen gehen von über 300 Milliarden US-Dollar weltweit bis 2026 aus – gelingt es vielen Unternehmen nicht, sich effektiv gegen Bedrohungen zu wappnen. Die Cyberangriffe nehmen zu, nicht ab. Warum? Sicherheitsstrategien konzentrieren sich häufig auf technische Maßnahmen und übersehen einen zentralen Risikofaktor: den Menschen.

Kognitive Verzerrungen: Die unsichtbare Schwachstelle im System

Führungskräfte und Sicherheitsexpert:innen treffen Entscheidungen oft unter unsicheren Gegebenheiten und Zeitdruck. Dabei können sie unbewusst auf gedankliche Abkürzungen zurückgreifen – sogenannte kognitive Verzerrungen und Heuristiken. Diese können zu systematischen Fehleinschätzungen führen:

• Optimismus: Unterschätzung der Eintrittswahrscheinlichkeit negativer Ereignisse.
• Fehleinschätzung: Überschätzung der unternehmens-eigenen Abwehrfähigkeit durch technische Maßnahmen.
• Verfügbarkeitsheuristik: Übergewichtung und -bewertung aktueller Ereignisse und Schlagzeilen, nicht objektiver Daten.

Dies kann zu strategischen Fehleinschätzungen führen – insbesondere bei der Bewertung von Risiken, der Priorisierung von Maßnahmen und der Kommunikation von Bedrohungen.

Cyberkriminalität wird industriell: Neue Dynamiken, neue Bedrohungen

Cyberkriminalität ist hoch entwickelt, vernetzt und professionell organisiert. Über das Dark Web floriert ein globaler Schwarzmarkt, auf dem „Cybercrime-as-a-Service“ angeboten wird. Angriffe lassen sich dort einfach und anonym beauftragen – auch von Personen ohne technisches Vorwissen. Das erschwert die Attribution und erhöht die Angriffsfrequenz massiv. Die hohe Dunkelziffer von Ereignissen und Angriffen verzerrt abermals die Wahrnehmung.

Zudem befeuern geopolitische Spannungen den Cyberraum: Staaten setzen gezielt auf Desinformation, Destabilisierung und digitale Sabotage. Anders als klassisch kriminelle Akteure verfolgen sie politische Ziele – mit gravierenden Folgen für kritische Infrastrukturen und Unternehmen sowie Debatten und Meinungsbildung. Da internationale Rechtsnormen für Konflikte im Cyber-Raum noch in der Entwicklung befinden, agieren viele Staaten in rechtlichen Grauzonen.

Unterschätzte Risiken trotz wachsender Awareness

Obwohl 88 Prozent der Unternehmensvorstände Cyber-Sicherheit als relevantes Geschäftsrisiko erkennen, verfügen nur zwölf Prozent über ein entsprechendes Komitee auf Vorstandsebene. Ein Grund dafür: Informationsasymmetrien, fehlende Erfahrungswerte und die Überschätzung technischer Lösungen. In der Praxis zeigt sich häufig: Sichtbare Compliance (z. B. Zertifizierungen) wird echten Schutzmaßnahmen vorgezogen. Das erzeugt ein trügerisches Sicherheitsgefühl.

Zudem glauben viele Führungskräfte, dass mehr Informationen automatisch zu besseren Entscheidungen führen. Doch das Gegenteil ist oft der Fall: Eine Flut an Daten, kombiniert mit fehlender Urteilsfähigkeit, fördert riskantes Verhalten – insbesondere unter Zeitdruck, wie etwa bei Angriffen oder Krisen.

Was Führungskräfte jetzt tun sollten:

Um dem Cyber-Paradox zu entkommen, müssen Unternehmen über Technologie hinausdenken und eine resiliente Sicherheitskultur etablieren:

• Verankerung von Cyber-Sicherheit in der Unternehmensführung: Cyber-Risiken gehören auf die Agenda der obersten Führungsebene.
• Psychologische Kompetenzen fördern: Schulungen zu kognitiven Verzerrungen und Entscheidungspsychologie verbessern die Qualität sicherheitsrelevanter Entscheidungen.
• Simulationen und Fire Drills etablieren: Regelmäßige Krisenübungen trainieren Abläufe, erhöhen Awareness und reduzieren Denkfehler in der Praxis.
• Strukturen hinterfragen: Dezentrale Verantwortung, mangelnde Kommunikation und fehlende Reporting-Wege fördern unsichtbare Risiken.
• Ganzheitliche Risikobewertung: Die wirtschaftlichen Folgen von Angriffen müssen realistisch und umfassend bewertet werden – nicht nur technisch, sondern auch reputativ und strategisch.

Cyber-Resilienz beginnt im Denken – und in der Führung

In einer Zeit, in der Cyberkriminalität zur Industrie geworden ist und geopolitische Spannungen im digitalen Raum ausgetragen werden, reicht Technologie allein nicht mehr aus. Unternehmen müssen lernen, Risiken realistisch zu bewerten, psychologische Fallstricke zu erkennen und ihre Organisationen ganzheitlich auf Widerstandsfähigkeit auszurichten.

Laden Sie sich hier das Paper "Das Cyber-Paradox Warum intelligente Technologie intelligente Köpfe braucht" herunter.