Vorsätze für die Cybersicherheit in 2026

Zu Jahresbeginn gilt es für digitale Sicherheitsteams und ihre Führungskräfte sich auf die Faktoren zu besinnen, welche für das Gelingen ihrer Sicherheitsstrategie für das kommende Jahr am wichtigsten sind. Einer dieser Faktoren, wenn nicht sogar der wichtigste, ist der Mensch.

Jedes Jahr wieder liefert das Weltwirtschaftsforum in Davos einen Einblick in das, was Führungskräfte aus aller Welt im Herzen tragen. Zusammengefasst wird dies unter anderem im Global Cybersecurity Outlook 2026. Für Unternehmen und Führungskräfte, die nicht vor Ort sein können, bietet dieser Bericht mehr als nur eine Trendanalyse. Er liefert eine Grundlage dafür, wo Unternehmen heute stehen, was widerstandsfähige Unternehmen von weniger widerstandsfähigen unterscheidet und warum der Faktor Mensch heute für die Cyber-Resilienz von zentraler Bedeutung ist.

Cybersicherheit ist zu einer persönlichen Angelegenheit geworden

Cyberbetrug und Phishing haben Ransomware als wichtigstes Cybersicherheitsproblem für CEOs im Jahr 2026 abgelöst. Laut dem Bericht gaben 73 Prozent der Befragten an, dass sie oder jemand aus ihrem Umfeld im letzten Jahr persönlich von Cyberbetrug betroffen waren. Diese Verschiebung ist von zentraler Bedeutung. Cyberrisiken sind nicht mehr auf IT-Teams oder Organisationen beschränkt, sondern wirken sich auf Haushalte, Gesellschaften und das Vertrauen in digitale Services selbst aus. Dies unterstreicht die Bedeutung von Sicherheitsbewusstsein, Verhaltensresilienz und der Befähigung des Einzelnen, Manipulationen zu erkennen und zu widerstehen.

Die Gefährdung durch Cyberbetrug und Phishing sowie anderer Social Engineering-Techniken ist am höchsten in Subsahara-Afrika (82 %), Nordamerika (79 %) und Lateinamerika sowie den Karibik-Staaten (77 %).

KI-bezogene Schwachstellen nehmen rapide zu

KI verändert die Cyber-Bedrohungslandschaft auf beiden Seiten. Bereits seit einigen Jahren setzen Verteidiger wie auch Angreifer auf die Automatisierung von Prozessen wie dem Monitoring oder auf der anderen Seite beim Phishing, um effektiver und vor allem schneller zu werden. Der Bericht verdeutlicht auch diese Entwicklung, denn 87 Prozent der Führungskräfte sind am meisten über KI-bezogene Schwachstellen besorgt, insbesondere Datenlecks, eine zunehmende Raffinesse der Angreifer und die technische Sicherheit der KI-Systeme selbst.

Interessanterweise konzentrieren sich hochresiliente Organisationen bereits auf KI-bedingte Risiken, während weniger resiliente Organisationen sich weiterhin in erster Linie mit traditionellen Betrugs- und Phishing-Formen befassen. Dies unterstreicht eine wachsende Reifekluft in der Art und Weise, wie Organisationen auf neue Bedrohungen reagieren und sich darauf vorbereiten.

KI hat den Faktor Mensch nicht aus der Cybersicherheit verdrängt, sondern die Bedeutung des menschlichen Urteilsvermögens, der Aufmerksamkeit und der Entscheidungsfindung verstärkt. Dies ist eine wichtige Erkenntnis, die bei den Bestrebungen zur Prozessautomatisierung im Bereich Cybersicherheit noch nicht überall verstanden worden ist.

Die Cyber-Ungleichheit nimmt zu und zwar nach Region und Sektor

Eine sehr ernüchternde Erkenntnis ist die wachsende Kluft in der Cyber-Resilienz. Das Vertrauen in die jeweilige nationale Bereitschaft, auf größere Cybervorfälle zu reagieren, ist gering. Organisationen vor allem aus Ländern in Subsahara-Afrika, Asien und Lateinamerika melden auch einige der schwächsten Resilienzwerte, obwohl sie den höchsten Risiken für Cyberbetrug ausgesetzt sind. Die Unterschiede zwischen den Sektoren sind ebenso stark ausgeprägt. Beispielsweise bewerten 37 Prozent der NGOs ihre Cyber-Resilienz als unzureichend. Im öffentlichen Sektor berichten 23 Prozent der Organisationen von unzureichender Resilienz und im Vergleich dazu lediglich 11 Prozent im privaten Sektor.

Vor allem der Fachkräftemangel bleibt ein kritisches Hindernis. Rund 70 Prozent der CEOs in Subsahara-Afrika und 69 Prozent in Lateinamerika sowie der Karibik-Staaten geben an, dass ihnen die Mitarbeiter und Fähigkeiten fehlen, um die aktuellen Cybersicherheitsziele zu erreichen. Ein hohes Risiko in Verbindung mit den geringen Kapazitäten der vorhandenen Fachkräfte ist eine Resilienzlücke, die Organisationen und deren Führungskräfte nicht länger ignorieren dürfen. Darüber hinaus darf auch das Thema Stress nicht vergessen werden. Über die Jahre hinweg wurden die Arbeitsschritte kleinteiliger, die Aufgaben stiegen und die Verantwortung ebenfalls. Die Digitalisierung von Services führte zu neuen Abhängigkeiten, auf die in der Cybersicherheit noch nicht überall reagiert wurde. Die Abteilungen sind chronisch unterbesetzt, leiden unter Kostendruck sowie einer wachsenden Professionalisierung mit entsprechenden Weiterbildungsanforderungen. Dies alles erfordert Zeit, denn auch die Automatisierung mit KI benötigt neues Budget für die Anpassung, Weiterbildung und liefert nicht nur erhöhte Kreativität.

Resilienz wird zunehmend kollektiv

Die deutlichste Aussage des Berichts lautet darüber hinaus: Die resilientesten Organisationen handeln nicht allein. Sie investieren in die Zusammenarbeit mit Partnern, Kollegen und Regierungen, sie tauschen Bedrohungsinformationen aus und bilden ihre Mitarbeiter und deren Fähigkeiten kontinuierlich weiter. Bei der Cyber-Resilienz geht es heute weniger um isolierte Kontrollen als vielmehr um gemeinsame Verantwortung, kollektive Verteidigung und eine starke Sicherheitskultur. Dies deckt sich weitgehend mit dem, was sich tagtäglich beobachten lässt: Menschen bleiben die erste und letzte Verteidigungslinie.

Wenn Führungskräfte in der Cybersicherheit die folgenden Schritte gehen, dann können sie ihre Sicherheitskultur stärken und sich für die modernen Anforderungen des Human Risk Managements aufstellen:

·       Mit einer Richtlinie beginnen: Es versteht sich von selbst, dass Unternehmen Sicherheitsrichtlinien festlegen und diese effektiv an alle Mitarbeiter und relevanten externen Parteien kommunizieren müssen. Wenn sich Führungskräfte und IT-Teams mit den Nutzungsrichtlinien für Benutzer befassen, sollten sie auch spezifische Informationen über die verantwortungsvolle Nutzung von sozialen Medien und neuen Technologien wie generative KI-Chatbots aufnehmen. Solche Richtlinien sollten auch ganz klar festlegen, welche KI Lösungen für welche Zwecke erlaubt, bzw. verboten sind. Darauf aufbauend, sollten Schulungsprogramme die Mitarbeiter über die sichere Nutzung von KI-Tools aufklären, einschließlich der Risiken beim Teilen vertraulicher Informationen mit KI-Chatbots oder der Verwendung nicht genehmigter KI-Dienste (Shadow AI).

·       Rollenbasierte und regelmäßige Schulungen: Schulungen sollten auf die spezifischen Rollen und Verantwortlichkeiten der verschiedenen Mitarbeiter innerhalb der Organisation zugeschnitten sein. Dies ist sinnvoll, denn je relevanter die Schulungsinhalte für die Zielgruppe sind, desto größer ist die Aufmerksamkeit. Die Bereitstellung von Inhalten, die für die Nutzer persönlich relevant sind, wie Online-Sicherheit für Eltern, erhöht die Wahrscheinlichkeit, dass sich die Nutzer engagieren. Schulungen sollten Mitarbeiter über die neuesten Bedrohungen, Richtlinien und Verfahren auf dem Laufenden halten, wie zum auch über Deepfakes aufklären, wie man diese Bedrohungen erkennen und abwehren kann. Mitarbeiter sollten für diese neue Bedrohungslandschaft sensibilisiert werden und Verifikationsprozesse für kritische Transaktionen etabliert werden.

·       KI-Agenten in das Human Risk Management integrieren: Mit der zunehmenden Verbreitung von KI-Agenten in Unternehmen, von automatisierten Assistenten bis zu autonomen Entscheidungssystemen, müssen diese in die Sicherheitsstrategie einbezogen werden. Diese Agenten können Sicherheitsrichtlinien umgehen, sensible Daten verarbeiten oder als Angriffsvektoren missbraucht werden. Awareness-Kampagnen, die speziell auf KI-bezogene Risiken zugeschnitten sind und Mitarbeiter zu verantwortungsvollen „KI-Citizens“ machen, sollten dabei helfen.

·       Supply-Chain-Sicherheit durch Drittanbieter-Awareness stärken: Cyberangriffe über die Lieferkette sind zu einem bevorzugten Angriffsvektor geworden. Angreifer kompromittieren Lieferanten, Partner oder Dienstleister, um Zugang zu ihren eigentlichen Zielen zu erhalten. Mitarbeiter müssen verstehen, dass Sicherheit nicht an den Unternehmensgrenzen endet. Schulungen sollten die Risiken von Drittanbieter-Zugriffen, kompromittierten Updates und Social Engineering-Angriffen durch vermeintliche Partner abdecken.

·       Phishing-Simulationskampagnen: Phishing-Simulationen sollten strategisch eingesetzt werden, um Lernmomente nach dem Prinzip „Übung macht den Meister“ zu schaffen. Durch die Möglichkeit, in einer sicheren und kontrollierten Umgebung aus Fehlern zu lernen, können solche Simulationen die Selbstwirksamkeit deutlich erhöhen. Dieser Ansatz hilft nicht nur, die Auswirkungen von Phishing-Angriffen zu verstehen, sondern fördert auch eine umsichtige und überlegte Reaktion auf potenzielle Bedrohungen.

·       Kontinuierliche Verbesserung: Eine regelmäßige Überprüfung und Aktualisierung des Awareness-Schulungsprogramms ist notwendig, um auf neue Bedrohungen reagieren und das Feedback aus den Schulungen berücksichtigen zu können. Es ist ratsam, jedes Jahr oder zu Beginn größerer Kampagnen eine Umfrage zur Sicherheitskultur oder eine Bewertung des Sicherheitsbewusstseins durchzuführen, um Lücken oder Bereiche zu ermitteln, denen Priorität eingeräumt werden muss.

Abschließende Überlegungen

Die Ergebnisse des WEF-Berichts haben bestätigt, dass sich menschliche Schwachstellen nicht durch Automatisierung beseitigen lassen, man jedoch IT-Systeme, Fähigkeiten im Umgang mit Cyberrisiken und Sicherheitskulturen entwickeln kann, die ein besseres Urteilsvermögen fördern. Für Führungskräfte und Sicherheitsteams bedeutet dies, dass sie in diesem Jahr gezielter in Menschen, Kultur und Resilienz investieren sollten. Die Erkenntnisse zeigen deutlich, Technologie allein reicht nicht aus und wird das Problem der Cyber-Resilienz nicht richten.

Aus diesem Grund sollte der Aufbau von Cyber-Resilienz erfordern, dass die Mitarbeiter Manipulationen erkennen, dass sie bei der Entscheidungsfindung durch KI-gestützte Systeme bestärkt werden, was wiederum in einer robusteren Sicherheitskultur mündet. Des Weiteren sind Investitionen in kontinuierliche Sensibilisierung und Kompetenzentwicklung erforderlich.

Unternehmen müssen dazu übergehen, die moderne Belegschaft vorzubereiten, indem sie sowohl Menschen als auch KI-Agenten darin schulen, Sicherheitsrisiken zu erkennen und darauf zu reagieren.