Cyberbedrohungen
Sicherheitswissen als Kultur etablieren
Der Mensch als Schwachstelle der Sicherheit gilt als Allgemeinplatz. Doch nicht nur der prominente Phishing-Angriff auf prominente Politiker über Signal regt zum Nachdenken an. Wir müssen digitale Kompetenz als selbstverständlichen Teil unseres Lebens etablieren!
Save to Folio
In der IT-Security haben wir nicht nur eine ganz eigene Sprache entwickelt, nein, wir nutzen auch sehr, sehr viele Abkürzungen. Und eine dieser Abkürzungen kennen wir alle – auch wenn wir sie selten laut aussprechen: PEBCAK. "Problem exists between chair and keyboard".
Das klingt nach Insider-Witz. Ist es aber nicht. Es ist eine der ehrlichsten Beschreibungen, die unsere Branche kennt. Denn die größte Schwachstelle in jedem System ist nicht die Software. Es ist der Mensch – und das kann jeder sein. Und trotzdem tun wir so gut wie nichts, um das systematisch zu ändern. Dabei wird dieses Problem mit jedem Tag drängender.
Und dann passiert genau das, was passieren muss. Hochrangige Politiker, Ministerinnen und Journalisten waren von einem Phishing-Angriff über den Messinger Signal betroffen, der seit Wochen im politischen Berlin für Unruhe sorgt. Es ist nicht der Messinger, der unsicher ist, sondern Angreifer haben die Schwachstelle Mensch ausgenutzt: eine gut gefälschte Nachricht, ein QR-Code, ein Klick – zack, Account kompromittiert, sensible Daten in den falschen Händen.
Die automatische Reaktion? Den Messenger verbieten, auf andere Produkte setzen. Kein Tool der Welt löst ein Problem, das vor dem Bildschirm sitzt.
Was viele nicht wissen – oder nicht wahrhaben wollen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und auch das Bundesamt für Verfassungsschutz (BfV) hatten bereits am 6. Februar 2026 öffentlich vor genau dieser Angriffskampagne gewarnt – schriftlich und offiziell mit konkreten Handlungsanweisungen. Die Warnung wurde sogar im Intranet des Bundestages veröffentlicht. Fraktionen und Parteien wurden persönlich kontaktiert. Und trotzdem passierte es.
Das Handelsblatt bringt es unbequem, aber klar auf den Punkt: Das Sicherheitsrisiko ist nicht der Messenger – es sind wir, die Nutzer. Wir müssen es beim Namen nennen: Es war kein Hack. Es war Ignoranz. Der Journalist Falk Steiner kommentiert bei Heise: Der Vorgang ist ein klassischer Layer-8-Angriff – der Mensch ist das Ziel. Und Phishing ist im Bundestag spätestens seit der Ghostwriter-Kampagne 2021 alles andere als eine unbekannte Größe.
Das Problem im Umgang mit Sicherheit
Fahrlässigkeit im Umgang mit digitalen Werkzeugen ist kein persönliches Versagen Einzelner. Es ist ein strukturelles Problem, das eigentlich noch tiefer liegt. IT-Sicherheit ist unsichtbar, nicht greifbar oder richtig fühlbar. Und sie kostet - Geld, Zeit, Aufmerksamkeit. Was abstrakt bleibt, wird verdrängt. Das ist zwar menschlich, aber es ist auch gefährlich. Denn es geht längst nicht mehr nur um persönliche Daten oder Unternehmensgeheimnisse. Es geht um unsere kritischen Infrastrukturen – Stromversorgung, Wasserwerke, Krankenhäuser, Verkehrssteuerung. Sie alle laufen zum Großteil auf Software. Ein erfolgreicher Angriff trifft nicht den IT-Leiter. Er trifft uns alle.
Deswegen muss IT-Sicherheit endlich entmystifiziert werden, das heißt raus aus dem Serverraum, aus der Fachsprache und aus dem Kreis der Eingeweihten. Digitale Sicherheit ist kein Thema für Spezialisten allein – sie ist zu einer Grundkompetenz geworden, so wie Lesen und Rechnen. Und sie muss genauso selbstverständlich vermittelt werden.
Und das ist erst der Anfang. Denn der Signal-Angriff ist technisch gesehen noch vergleichsweise einfach, es handelte sich um eine gefälschte Nachricht, einen QR-Code. Was jetzt kommt, ist schwerer zu erkennen und schwerer zu erklären. Es wächst eine neue Bedrohung heran: KI-gestützte Deepfakes, also gefälschte Videos, synthetische Stimmen, täuschend echte Identitäten. Deepfake-Verifikationsversuche nahmen 2025 in Deutschland um 53 Prozent zu.
Auf der TrendAI Spark Tour 2026 hat Robert McArdle binnen weniger Minuten ein wirklich überzeugendes und echt wirkendes Deepfake-Videos generiert und dabei gesagt: „Das Deprimierende daran ist: Die Deepfakes, die wir heute sehen, sind die schlechteste Qualität und die teuersten, die wir je haben werden. Von hier aus wird es nur besser – und billiger.“
Digitale Kompetenz
McArdles Satz zeigt, dass die Bedrohung von heute nur der Anfang ist. Und wer heute nicht vorbereitet ist, wird morgen noch leichter zum Ziel. Denn digitale Sicherheit ist kein Zustand, den man einmal erreicht und abhakt. Sie ist ein Prozess – kontinuierlich, unbequem und nie wirklich abgeschlossen. Wer aufhört zu lernen, fällt zurück. Wer aufhört zu investieren, wird zum Ziel. Das gilt für Einzelpersonen genauso wie für Organisationen und ganze Staaten.
Digitale Kompetenz ist kein Nice-to-have. Sie ist ein zentraler Faktor für die Zukunftsfähigkeit von Unternehmen, die Millionen schützen wollen, von einer Verwaltung, die Daten von Millionen managt und von einer Gesellschaft, die beides nicht verlieren darf. Digitale Kompetenz entsteht nicht durch eine App oder ein Seminar, nein, sie wächst langsam. Und wer heute beginnt, sieht die Wirkung in zehn oder zwanzig Jahren.
Ich nehme mich selbst nicht aus, denn ich lerne noch, jeden Tag. Und dabei frage ich mich: Was haben meine Kinder davon je in der Schule mitbekommen? Wie erkennen sie ein Deepfake? Wie schützen sie sich vor Phishing? Die Antwort ist unbequem – denn diese Themen waren schlicht nicht Teil ihres Unterrichts.
Wir verstecken Wissen hinter Fachbegriffen. Bauen Mauern aus Abkürzungen. Und wundern uns, dass Menschen auf Angriffe hereinfallen, die niemand ihnen je wirklich erklärt hat. Eine Gesellschaft, die die Sprache der digitalen Welt nicht versteht, kann sie auch nicht schützen.
Und genau das ist das eigentliche Problem. Es ist eine Frage der Verantwortung – für uns alle. Und ganz besonders für die Politik.
Die Politik muss hier endlich Verantwortung übernehmen. Digitale Kompetenz gehört in Lehrpläne – verbindlich, frühzeitig und flächendeckend und nicht als Wahlfach oder als Projekt. Wer heute Kinder ohne digitale Grundkompetenz in die Welt entlässt, handelt fahrlässig – genauso wie jene, die eine offizielle Sicherheitswarnung ignorieren und trotzdem auf einen unbekannten QR-Code klicken.
Fazit
Ich bin überzeugt: Sicherheit beginnt nicht mit einem neuen Tool, sondern damit, dass wir aufhören, Wissen zu verstecken – und anfangen, es zu teilen. Wir müssen IT-Sicherheit entmythifizieren und digitale Kompetenz als Kultur etablieren. Phishing-Simulationen und Security-Trainings darf mehr nicht als lästige Pflicht empfunden werden, sondern als selbstverständlicher Teil des Arbeitsalltags. Und lasst uns in der eigenen Organisation heute damit anfangen – ohne auf die Politik zu warten.