Gemeint sind meist Managed Security Services, also Leistungen wie Firewall-Management, E-Mail-Filterung, Endpoint Protection oder automatisierte Backups – angeboten von IT-Dienstleistern, Systemhäusern oder Branchenlösungen.
Diese Services sind gut. Sie sind wichtig. Und sie schützen Sie trotzdem nicht vor dem häufigsten Einfallstor für Cyberangriffe.
Was schützt Ihr IT-Dienstleister – und was nicht?
Managed Security Services schützen Ihre technische Infrastruktur: Firewall, E-Mail-Filter, Endpoint-Protection, Backups, Patch-Management. Sie erkennen bekannte Bedrohungsmuster zuverlässig. Was sie nicht schützen: das Verhalten Ihrer Mitarbeiter – denn das liegt außerhalb jedes technischen Kontrollbereichs.
Konkret bedeutet das:
✅ Schutz vor bekannten Schadsoftware-Signaturen
✅ Filterung verdächtiger E-Mail-Anhänge und Links
✅ Erkennung ungewöhnlicher Netzwerkaktivitäten
✅ Automatisierte Backups und Wiederherstellungsprozesse
✅ Patch-Management für Betriebssysteme und Software
Das ist die technische Schutzschicht. Sie funktioniert gut gegen automatisierte Angriffe und bekannte Bedrohungsmuster.
Was sie nicht kann: in den Kopf Ihrer Mitarbeiter schauen.
Wo die Technik aufhört
Das BSI dokumentiert jährlich, dass über 80 Prozent aller erfolgreichen Cyberangriffe auf menschliches Fehlverhalten zurückzuführen sind – nicht auf technische Lücken. (BSI Lagebericht 2024)
Die Angreifer wissen das. Deshalb haben sich ihre Methoden grundlegend verändert. Moderne Phishing-Mails sind keine schlechten Übersetzungen mehr mit nigerianischem Absender. Sie imitieren die Stimme Ihres Geschäftspartners, die Optik Ihrer Hausbank, die interne Kommunikation Ihres Unternehmens – personalisiert, kontextbezogen, überzeugend.
Ein Beispiel aus der Praxis: Ein Mitarbeiter eines Maschinenbauunternehmens erhält eine E-Mail, die scheinbar vom Geschäftsführer stammt. Dringend, plausibel, mit korrektem Namen und bekannter Grußformel. Er überweist einen mittleren fünfstelligen Betrag. Die Firewall hat die Mail nicht gefiltert – weil sie technisch unauffällig war.
Der Schaden: 67.000 Euro. Die Technik war auf dem neuesten Stand.
| Was Technik schützt | Was Technik nicht schützt |
|---|---|
| Bekannte Malware | Social Engineering |
| Unsichere Netzwerkzugriffe | CEO-Fraud und Identitätstäuschung |
| Unverschlüsselte Datenübertragung | Phishing mit echten Absender-Domains |
| Veraltete Software-Schwachstellen | Passwort-Weitergabe durch Mitarbeiter |
Wer haftet, wenn ein Mitarbeiter auf eine Phishing-Mail hereinfällt?
Das Unternehmen – nicht der IT-Dienstleister. Verantwortlicher im Sinne der DSGVO ist das Unternehmen, das personenbezogene Daten verarbeitet. Meldepflicht, Dokumentationspflicht und Haftung liegen beim Unternehmen, unabhängig davon, wer die Infrastruktur betreut. Das steht so in jedem Dienstleistungsvertrag.
Hier wird die Frage auch finanziell relevant.
Dasselbe gilt für die Anforderungen vieler Cyberversicherungen: Wer im Schadensfall nachweisen muss, dass er „angemessene Schutzmaßnahmen“ getroffen hat, kommt mit einem Firewall-Zertifikat seines IT-Dienstleisters allein nicht weit. Versicherer fragen zunehmend konkret nach dokumentierten Mitarbeiterschulungen.
Reichen jährliche Mitarbeiterschulungen zu Cybersicherheit aus?
Nein. Die Wirkung einmaliger Schulungen lässt nachweislich nach wenigen Wochen nach. Laut HDI (2024) schulen 53 Prozent der deutschen KMU ihre Mitarbeiter weniger als einmal pro Jahr – oder gar nicht. Wirksame Mitarbeitersensibilisierung für Cybersicherheit funktioniert nur kontinuierlich, in kurzen, regelmäßigen Einheiten.
Mitarbeitersensibilisierung – von Experten auch als Security Awareness bezeichnet – schließt die Lücke, die Technik offen lässt. Sie verändert das Verhalten der Menschen, die täglich mit Ihren Systemen arbeiten.
Das ist kein Ersatz für technische Schutzmaßnahmen. Es ist die notwendige Ergänzung.
In der Praxis bedeutet das: Mitarbeiter lernen, eine Phishing-Mail zu erkennen, bevor sie klicken. Sie wissen, wie sie mit ungewöhnlichen Zahlungsanfragen umgehen. Sie kennen die Regeln für sichere Passwörter und den Umgang mit vertraulichen Daten.
Was das für Sie konkret bedeutet
Wenn Ihr IT-Dienstleister gute Arbeit macht, haben Sie eine solide technische Basis. Das ist gut – und es ist keine Kritik an Ihrem Dienstleister, wenn Sie feststellen, dass sein Leistungsumfang an einer bestimmten Stelle endet. Er kann nur das schützen, was er kontrolliert. Das menschliche Verhalten Ihrer Mitarbeiter gehört nicht dazu.
Sprechen Sie trotzdem eine Frage offen an:
„Was passiert, wenn einer meiner Mitarbeiter auf eine Phishing-Mail klickt?“
Wenn die Antwort ausschließlich technischer Natur ist – Sandboxing, E-Mail-Filter, Endpointschutz – dann haben Sie die Antwort auf die eigentliche Frage noch nicht bekommen.
Denn die Antwort, die zählt, beginnt nicht mit Technologie. Sie beginnt damit, dass Ihr Mitarbeiter die Mail erkennt und sie gar nicht erst öffnet.
Wenn Sie nicht sicher sind, wo Ihr Unternehmen hier aktuell steht: In einem kostenlosen 30-Minuten-Gespräch finden wir das gemeinsam heraus →
Das Versprechen
In einem 30-minütigen Gespräch schauen wir uns gemeinsam an, wo Ihr Unternehmen aktuell steht – und ob Mitarbeitersensibilisierung für Cybersicherheit für Sie ein relevantes Thema ist.
Kein Verkaufsgespräch. Keine Verpflichtung. Nur eine ehrliche Einschätzung.
👉 Kostenloses Erstgespräch vereinbaren – es dauert 2 Minuten
Weitere Beiträge zum Thema: