Warum operative Abläufe der blinde Fleck der IT-Sicherheit sind und was Sie als Geschäftsführer jetzt tun können
Cyberangriffe kosten die deutsche Wirtschaft jährlich über 178 Milliarden Euro. Die meisten Unternehmen reagieren darauf mit Technik: Firewalls, Endpoint-Schutz, Penetrationstests. Alles richtig. Und alles unvollständig. Denn die Schwachstellen, die Angreifer heute bevorzugt ausnutzen, liegen nicht in Systemen. Sie liegen in Freigabeprozessen, in unkontrollierten Zugängen und in der Art, wie Mitarbeitende KI-Tools nutzen. Verhalten, Prozesse und KI bilden ein Angriffsdreieck, das technische Schutzmaßnahmen systematisch umgeht.
25 Millionen Dollar durch einen Videocall
Anfang 2024 nahm ein Mitarbeiter des Ingenieurbüros Arup an einer Videokonferenz teil. Sämtliche Teilnehmer waren KI-generierte Deepfakes. 25,6 Millionen Dollar flossen ab. Der Mitarbeiter war zunächst misstrauisch, aber der Videocall mit vertrauten Gesichtern räumte seine Zweifel aus.
Im selben Jahr versuchten Betrüger denselben Trick bei Ferrari. Ein Manager stellte eine persönliche Rückfrage, die nur der echte CEO hätte beantworten können. Der Angriff scheiterte. Der Unterschied zwischen 25 Millionen Verlust und null war keine Firewall sondern eine organisatorische Regel.
Drei Lücken, die wir immer wieder sehen
- Freigaben ohne Gegenprüfung.
Ein Telekommunikationsunternehmen genehmigte sechsstellige Zahlungen per E-Mail – ein Prozess, der nie für KI-gestützte Täuschung designed wurde. Dass 60 Prozent aller Sicherheitsvorfälle ein menschliches Element involvieren, überrascht vor diesem Hintergrund nicht. - Zugänge, die niemand abschaltet.
Bei einem Automobilzulieferer war der VPN-Zugang eines externen Beraters acht Monate nach Projektende noch aktiv. Im Audit tauchte das nicht auf, weil Pentests Netzwerkports prüfen, nicht Vertragslaufzeiten. - KI als Schatten-Werkzeug.
Ein Versicherungsunternehmen stellte fest, dass Sachbearbeiter Kundendaten in öffentliche KI-Tools kopierten. Keine Richtlinie, keine Alternative. Bei Samsung führte dasselbe Muster innerhalb von 20 Tagen zu drei separaten Datenlecks.
In keinem dieser Fälle hätte ein Pentest etwas gefunden. Die Schwachstelle war jedes Mal ein fehlender Prozess.
Warum das jetzt Chefsache ist
Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz. § 38 BSIG macht Cybersicherheit zur persönlichen, nicht delegierbaren Pflicht der Geschäftsleitung. Bußgelder bis zehn Millionen Euro, Haftung mit dem Privatvermögen, Beweislastumkehr. Wenn ein Angriff über eine Prozesslücke gelingt, die Sie hätten adressieren müssen, tragen Sie die Verantwortung.
Was Sie diese Woche noch ändern können
Die wirksamsten Gegenmaßnahmen sind weder teuer noch technisch komplex. Sie lassen sich sofort umsetzen.
- Prüfen Sie Ihre Freigabeprozesse.
Wo reicht heute ein einziger Kanal, um eine Zahlung oder Entscheidung auszulösen? Genau dort setzen Angreifer an. Eine Rückrufpflicht über einen zweiten Kanal hätte den Arup-Angriff verhindert. Kosten: null Euro. - Schaffen Sie Klarheit bei KI-Tools.
Ihre Mitarbeitenden nutzen KI-Werkzeuge. Die Frage ist, ob mit oder ohne Leitplanken. Definieren Sie in einem einseitigen Dokument, welche Tools erlaubt sind und welche Daten nicht eingegeben werden dürfen. Das muss kein Richtlinienwerk sein, ein klarer Einseiter reicht als erster Schritt. - Räumen Sie verwaiste Zugänge auf.
Lassen Sie eine Liste aller externen Zugänge erstellen und gleichen Sie sie mit laufenden Verträgen ab. Was nicht aktiv gebraucht wird, wird deaktiviert. Das erfordert einen Abgleich zwischen Einkauf, Projektleitung und IT, denn genau diese Schnittstelle ist der blinde Fleck.
Und morgen? Wenn der KI-Agent selbst zum Risiko wird
Heute werden Menschen getäuscht. Die nächste Stufe zeichnet sich ab: KI-Agenten die Rechnungen prüfen und Zahlungen freigeben, werden selbst zum Angriffsziel. Eine präparierte E-Mail kann einen überberechtigten Agenten dazu bringen, eine Überweisung auszulösen und zwar innerhalb seiner legitimen Rechte, ohne menschliche Beteiligung. Das Prinzip bleibt dasselbe: Die Schwachstelle ist der Prozess, der einem Akteur zu viel Spielraum lässt.
IT-Sicherheit ist längst kein technisches Thema mehr, sondern ein organisatorisches. Unternehmen, die nur ihre Systeme schützen, aber ihre Abläufe nicht hinterfragen, lassen die Tür offen. Nicht für den Hacker, der eine Firewall knackt. Sondern für den Anruf, der sich anhört wie der Geschäftsführer.