Der Mensch bleibt das Einfallstor
Die Selbstberuhigung vieler Unternehmen beginnt mit einem Irrtum. Man hält Cybersicherheit für ein technisches Problem und delegiert sie daher an die IT. Firewalls, Zugriffsrechte, verschlüsselte Geräte, sichere Infrastrukturen – all das ist notwendig, aber es reicht nicht. Der entscheidende Satz, den Dr. Viktoria Schmittmann im Messe-TV-Gespräch auf der Zukunft Personal Nord formulierte, zielt auf den Kern der Sache: Am Ende sitzt immer ein Mensch vor dem Notebook.
Darin liegt die eigentliche Schwierigkeit. Technik lässt sich aufrüsten, Prozesse lassen sich definieren, Standards lassen sich einkaufen. Nur verschwindet damit das größte Einfallstor nicht. Es sitzt nicht im Serverraum, sondern im Arbeitsalltag. Im Klick auf den falschen Anhang. Im gut gemachten Telefonanruf. In der plausibel klingenden Bitte um eine Überweisung. In jener Mischung aus Routine, Zeitdruck und Gutgläubigkeit, aus der erfolgreiche Angriffe heute ihre Kraft beziehen.
Wer über Cybersecurity spricht, muss deshalb über Verhalten sprechen. Über Aufmerksamkeit. Über Organisation. Über die Frage, wie Sicherheitsanforderungen überhaupt in eine Arbeitswirklichkeit übersetzt werden, die nicht aus Idealfällen besteht, sondern aus Fristen, Abkürzungen, Bequemlichkeiten und permanenten Unterbrechungen.
Sicherheit scheitert oft an ihrer eigenen Unvernunft
Die Versuchung des Managements besteht darin, Sicherheit mit Strenge zu verwechseln. Dann werden Regeln erlassen, Geräte vorgeschrieben, Anwendungen blockiert, Prozesse verschärft. Auf dem Papier wächst die Ordnung. Im Betrieb wächst oft nur die Umgehung. Schmittmann weist auf diesen Zielkonflikt mit der Nüchternheit der Praktikerin hin: Sicherheitsmaßnahmen müssen zur Organisation passen, zu ihrer Größe, zu ihrer Branche, zu ihren realen Bedürfnissen. Alles andere lähmt den operativen Betrieb.
Gerade darin zeigt sich, dass Cybersicherheit kein Feld für Symbolpolitik ist. Man kann Unternehmen so absichern, dass kaum noch etwas funktioniert. Dann ist formal vielleicht vieles geschützt, praktisch aber ein neues Risiko entstanden: der Alltag beginnt, sich an der offiziellen Ordnung vorbei eigene Wege zu suchen. Wo Systeme zu sperrig werden, entstehen Schattenpraktiken. Wer Arbeitsrealität ignoriert, produziert nicht mehr Sicherheit, sondern bloß eine schlechter kontrollierte Unsicherheit.
Das gilt umso mehr in einer Arbeitswelt, in der Homeoffice, Cloud-Anwendungen, kollaborative Plattformen und KI-Tools längst zum Normalbetrieb gehören. Sicherheit muss heute nicht nur schützen, sondern zugleich arbeitsfähig halten. Sie ist kein Bollwerk gegen die Organisation, sondern Teil ihrer Funktionsfähigkeit.
Die Professionalisierung des Angriffs
Hinzu kommt, dass die Gegenseite nicht schläft, sondern lernt. Das alte Klischee vom tölpelhaften Betrüger mit den offensichtlichen Tippfehlern ist verbraucht. Die Angreifer arbeiten präziser, professioneller, glaubwürdiger. Sie setzen dieselben Instrumente ein, von denen Unternehmen sich Produktivität versprechen: Automatisierung, KI, überzeugende Sprache, gut imitierte Kommunikation.
Besonders gefährlich ist dabei die soziale Komponente. Social Engineering ist keine Randerscheinung, sondern ein Hauptangriffspfad. Der gefälschte Anruf aus der Buchhaltung, die scheinbar dringliche Zahlungsanweisung, die perfekt gebaute Bewerbung, deren Anhang in Wahrheit Schadsoftware enthält – das alles zielt nicht auf technische Schwächen, sondern auf psychologische. Auf Hilfsbereitschaft, Autoritätsgläubigkeit, Zeitnot, Neugier.
Schmittmann beschreibt diese Entwicklung ohne Alarmismus, aber mit der gebotenen Härte. Technisch kann man vieles absichern; nur nützt das wenig, wenn der erste Klick ins Verderben führt. Gerade die Bewerbung als Einfallstor ist in HR-nahen Prozessen ein besonders perfides Beispiel. Dort, wo Unternehmen sich über Talente freuen, beginnt mitunter die Verschlüsselung des gesamten Betriebs. Der Angriff tarnt sich als Chance.
HR-Daten sind kein Nebenkriegsschauplatz
Für die Personalfunktion ergibt sich daraus eine unbequeme Wahrheit. HR arbeitet mit besonders sensiblen Daten und ist zugleich Teil jener betrieblichen Abläufe, in denen Vertrauen systematisch ausgenutzt werden kann. Bewerbungen, Gehaltsdaten, Gesundheitsinformationen, Leistungsdaten, Personalakten – all das ist hochattraktiv, sowohl für Kriminelle als auch für interne Fehlsteuerungen.
Die klassische Arbeitsteilung, nach der IT für Sicherheit zuständig ist, Compliance für Regeln, Recht für Zulässigkeit und HR für Menschen, wirkt unter diesen Bedingungen zunehmend künstlich. Genau diesen Punkt markiert Schmittmann mit ihrer Rolle als Übersetzerin zwischen Business, IT und Rechtsrahmen. Die Fachabteilung will eine Lösung. Die IT soll sie einbauen. Die Rechtsabteilung sieht Risiken. Der Betriebsrat sieht Mitbestimmung. HR steht mitten darin und versteht oft als Erste, dass es nicht um ein Tool, sondern um einen Eingriff in Arbeitswirklichkeit geht.
Daran scheitern viele Projekte. Nicht an der Technik. Sondern an der Unfähigkeit, die verschiedenen Sprachen eines Unternehmens miteinander in Beziehung zu setzen. Cybersicherheit ist deshalb keine bloße Schutzfunktion mehr. Sie ist Moderationsaufgabe, Governance-Frage und Übersetzungsarbeit zugleich.
Die Farce der Pflichtschulung
Nichts zeigt die institutionelle Selbsttäuschung in diesem Feld deutlicher als die üblichen Schulungsrituale. Einmal im Jahr klicken sich Mitarbeiter durch ein Training, bestehen nach dem zweiten oder fünften Versuch einen Test und erhalten ein Zertifikat. Anschließend gilt das Thema als erledigt. Das Unternehmen hat seine Pflicht erfüllt, HR hat einen Haken gesetzt, die Belegschaft hat ihre Ruhe – bis zum nächsten Vorfall.
Genau diese Praxis greift Schmittmann frontal an. Zu Recht. Denn solche Schulungen verfehlen häufig gerade das, worauf es ankäme. Sie sind abstrakt, genervt absolviert, weit entfernt vom konkreten Arbeitsplatz und der tatsächlichen Handlungssituation. Der Mitarbeiter in der Logistik braucht etwas anderes als die Sachbearbeiterin in der Verwaltung, der Entwickler etwas anderes als die Person in der Finanzbuchhaltung. Sicherheit, die nicht aus der realen Nutzung heraus gedacht wird, bleibt didaktisches Theater.
Das gleiche Muster zeigt sich inzwischen auch bei den Zertifikatsmärkten rund um KI-Kompetenz. Es entstehen standardisierte Nachweise, die den Anschein von Vorbereitung erzeugen, aber oft an der eigentlichen Anwendung vorbeigehen. Ein Unternehmen lernt nicht dadurch, dass es sich Bescheinigungen über Zukunftsfähigkeit an die Wand hängt. Es lernt dort, wo konkrete Tools, konkrete Prozesse und konkrete Risiken behandelt werden.
Zu viele Verbote erzeugen Schatten-KI
Besonders aufschlussreich ist Schmittmanns Widerspruch gegen den juristischen Reflex des Totalverbots. Die Versuchung ist groß, neue Anwendungen aus Vorsicht zu sperren: keine generativen Modelle, keine freien Übersetzungstools, keine automatisierten Transkriptionen, keine externen Dienste. Rechtlich wirkt das sauber. Praktisch entsteht häufig das Gegenteil dessen, was beabsichtigt war.
Denn Menschen, die arbeiten müssen, suchen sich Wege. Wenn ein sinnvolles Tool offiziell nicht erlaubt ist, wird eben über private Accounts, private Geräte oder informelle Umgehungen gearbeitet. So entsteht Schatten-KI: nicht, weil Mitarbeiter illoyal wären, sondern weil Organisationen reale Bedürfnisse ignorieren. Das Verbot entzieht der Nutzung nicht den Boden. Es entzieht ihr nur die Kontrollierbarkeit.
Die vernünftigere Antwort liegt daher nicht im flächendeckenden Nein, sondern in der kuratierten Erlaubnis. Eine Whitelist geprüfter Anwendungen, klare Regeln, nachvollziehbare Leitplanken, sachgerechte Freigaben. Nicht die Verdrängung der Innovation, sondern ihre Einbettung. Wer Innovationsdrang nur administrativ unterdrückt, treibt ihn in Zonen, in denen Recht, Datenschutz und Sicherheit erst recht verloren gehen.
Die IT ist nicht der Prügelknabe der Transformation
Ein weiterer Verdienst des Gesprächs liegt darin, die Überforderung der IT offen zu benennen. In vielen Unternehmen wird digitale Transformation praktisch an die IT delegiert. Sie soll integrieren, absichern, entscheiden, ermöglichen, bremsen und im Zweifel auch die Verantwortung tragen. Das ist bequem, aber unredlich.
Nicht jede digitale Transformation ist ein IT-Thema. Künstliche Intelligenz schon gar nicht. Sie verändert Arbeitsweisen, Verantwortungen, Kontrollmöglichkeiten, Lernprozesse und Machtverhältnisse. Das sind Managementfragen, keine bloßen Implementierungsaufgaben. Wer sie allein technisch behandelt, macht die IT zum Sündenbock eines Problems, das in Wahrheit aus Führungsschwäche entsteht.
Schmittmann formuliert diesen Befund mit wohltuender Präzision: KI ist ein Change-Thema. Cybersicherheit ebenfalls. Es geht um Entscheidungen darüber, welche Risiken akzeptabel sind, welche Freiheiten gewährt werden, welche Eingriffe legitim sind und welche nicht. Solche Entscheidungen kann kein Administrator stellvertretend für die Organisation treffen. Dafür braucht es Führung.
Zwischen Kontrolle und Übergriff
Besonders heikel wird die Lage dort, wo Sicherheitsinteressen in Überwachungsinteressen übergehen. Die technischen Möglichkeiten sind vorhanden: Zugriffe, Log-ins, Nutzungsdaten, Kommunikationsspuren, Bewegungsprofile. Wer will, kann den gläsernen Mitarbeiter recht weit bauen. Gerade deshalb ist die Grenzziehung so heikel. Sicherheit verlangt Daten. Arbeitsrecht und Mitbestimmung setzen Grenzen. Datenschutz verschärft die Lage weiter.
Hier zeigt sich, dass die schöne Formel vom Schutz des Unternehmens oft in einen Zielkonflikt führt. Wie viel Kontrolle ist legitim? Welche Daten dürfen erhoben werden? Wo endet Gefahrenabwehr und wo beginnt Verhaltensbeobachtung? Schmittmanns Hinweis auf diese Austarierung ist zentral. Ein Unternehmen braucht kein neues Sicherheitsregime, das aus Angst vor dem Angriff seine eigenen Prinzipien aufgibt.
Die Kunst besteht nicht darin, maximale Kontrolle technisch möglich zu machen. Die Kunst besteht darin, berechtigte Interessen in ein Verhältnis zu setzen, das rechtlich tragfähig und kulturell akzeptabel bleibt. Auch das ist keine IT-Frage. Es ist eine Frage des institutionellen Maßes.
Prävention ist unerquicklich – bis der Schaden da ist
Warum handeln so viele Organisationen dennoch zu spät? Die Antwort ist unerquicklich, aber einfach: Prävention macht keine Freude. Sie kostet Geld, Zeit und Aufmerksamkeit, ohne sofort sichtbare Rendite zu liefern. Erst wenn ein Vorfall eintritt, wenn Systeme verschlüsselt sind, Kunden es merken, der Betrieb ausfällt und Geschäftspartner nachfragen, verwandelt sich Einsicht plötzlich in Budget.
Diese nachträgliche Katharsis beschreibt Schmittmann sehr treffend. Nach dem Vorfall ist alles klar. Vor dem Vorfall gilt Sicherheit als lästige Pflichtübung. Daran ändert sich wenig, solange Unternehmen ihre Verwundbarkeit nur abstrakt kennen. Vielleicht liegt darin der Sinn von Live-Hacking-Formaten und realistischen Simulationen. Sie zeigen nicht nur, dass Angriffe möglich sind. Sie machen erfahrbar, wie unerquicklich einfach sie oft sind.
Die Lektion daraus ist unerquicklich, aber eindeutig: Cybersicherheit ist keine Sonderaufgabe für schlechte Zeiten. Sie gehört zum Normalbetrieb. Nicht als Alarmzustand, sondern als dauerhafte Form organisatorischer Vernunft.
Die neue Arbeit braucht neue Wachsamkeit
Früher konnte man sich noch einreden, Software sei ein stabiles System mit gelegentlichen Releases. Heute laufen Unternehmen in einer Welt aus Cloud-Diensten, Evergreen-IT, KI-Anwendungen und permanenten Änderungen. Tools werden schneller eingeführt, Schnittstellen vervielfachen sich, Anwendungen wandern in Fachabteilungen, ohne dass zentrale Kontrolle Schritt hält. Das erhöht nicht nur die Produktivität, sondern auch die Angriffsfläche.
Gerade deshalb ist die Vorstellung gefährlich, man könne Sicherheit mit singulären Prüfungen und vereinzelten Freigaben beherrschen. Was gebraucht wird, ist ein Managementsystem der Wachsamkeit: dauerhaft, anwendungsnah, funktionsübergreifend, lernfähig. Nicht die ritualisierte Erinnerungsemail von HR, dass noch ein Training offen sei. Sondern eine Organisation, die verstanden hat, dass Technik, Recht, Prozesse und Verhalten nicht mehr voneinander zu trennen sind.
Der Satz „ohne Cyber Security geht gar nichts“, mit dem das Gespräch eröffnet wurde, wirkt zunächst wie eine Selbstverständlichkeit. Tatsächlich benennt er eine Machtverschiebung. Die Verwundbarkeit der Unternehmen ist heute nicht länger ein Randthema für Spezialisten. Sie liegt im Zentrum der Arbeitsorganisation. Dort, wo Menschen entscheiden, klicken, weiterleiten, freigeben, improvisieren. Cybersicherheit ist damit kein Annex der Digitalisierung. Sie ist ihre Reifeprüfung.
