Der Mensch ist Schicht 8 des ISO-OSI-Modells, das mit dem Application Layer endet. Keine Firewall schützt ihn. Kein Patch schließt seine Schwachstellen. Und genau deshalb ist er das bevorzugte Einfallstor für professionelle Angreifer:innen.

Laut dem Verizon Data Breach Investigations Report ist menschliches Verhalten in rund 68 Prozent aller erfolgreichen Sicherheitsvorfälle ein entscheidender Faktor. Der Mensch wird nicht angegriffen, weil Technik fehlt. Er wird angegriffen, weil er reagiert. Weil er hilft. Weil er Autorität respektiert. Weil er unter Zeitdruck entscheidet. All das sind keine Fehler, das sind menschliche Eigenschaften, die Angreifer:innen gezielt ausnutzen.

Eine Sicherheitsstrategie, die auf technische Maßnahmen reduziert bleibt, baut auf einem Fundament mit einer bekannten, unbehobenen Lücke.

Wie Social Engineering funktioniert und warum es so effektiv ist

Social Engineering bezeichnet die gezielte Manipulation von Menschen, um sie zu Handlungen zu bewegen, die sie andernfalls nicht ausführen würden. Das Prinzip ist so alt wie Betrug selbst. Die Umsetzung hat sich professionalisiert.

Angreifer:innen nutzen eine Handvoll psychologischer Mechanismen, die in der Verhaltenspsychologie gut dokumentiert sind. Autorität: Eine E-Mail im Namen der Geschäftsführung löst andere Reaktionen aus als eine von einem Unbekannten. Dringlichkeit: Wer in 10 Minuten handeln muss, prüft nicht mehr kritisch. Vertrauen durch Kontext: Eine Nachricht, die auf ein laufendes Projekt Bezug nimmt, wirkt legitim. Reziprozität: Wer etwas bekommt, gibt leichter.

Ein konkretes Beispiel zeigt die Wirkung: Der Automobilzulieferer Leoni AG verlor 2016 über 40 Millionen Euro, weil eine Mitarbeiterin auf eine CEO-Fraud-E-Mail hereinfiel, also eine gefälschte Anfrage der Geschäftsführung. Kein Schadcode, kein Exploit. Nur eine gut formulierte E-Mail und ein Vorgang, der ungeprüft ausgeführt wurde.

KI hat diese Angriffsmethodik in den letzten zwei Jahren qualitativ verändert. Sprachmodelle generieren fehlerfreie, kontextsensitive Phishing-Mails in Sekunden, personalisiert auf Basis öffentlich verfügbarer Informationen über Zielpersonen. Deepfake-Sprachnachrichten imitieren Vorgesetzte. Die Hürde für überzeugend gemachte Social-Engineering-Angriffe ist gesunken.

Warum einmalige Schulungen nicht wirken

Einmal im Jahr ein Pflichttraining absolvieren und anschließend eine E-Mail-Bestätigung versenden: Dieses Modell ist in vielen Unternehmen noch Standard. Es erfüllt formal eine Anforderung. Es verändert kein Verhalten. Das Problem liegt in der Lernpsychologie. Wissen, das nicht aktiviert wird, verblasst. Handlungssicherheit entsteht durch Wiederholung, durch das Erleben von Situationen, und durch unmittelbares Feedback. Ein einmaliges Webinar über Phishing-Erkennung schafft das nicht.

Hinzu kommt: Angriffe werden nicht seltener, sondern häufiger. Wer seine Mitarbeitenden einmal im Jahr sensibilisiert, schickt sie elf Monate unvorbereitet ins Feld.

Studien zeigen, dass Klickraten bei simulierten Phishing-Mails mit kontinuierlichem Training von rund 34 Prozent auf etwa 5 Prozent sinken können. Der Effekt entsteht nicht durch Information, sondern durch das wiederholte Erleben, Erkennen und Melden von Angriffen in einer sicheren Trainingsumgebung.

Was wirksame Security Awareness ausmacht

Drei Eigenschaften unterscheiden Awareness-Programme, die Verhalten verändern, von solchen, die Compliance-Boxen abhaken.

Security Awareness als regulatorische Pflicht

NIS2 und ISO 27001 sind keine optionalen Rahmenbedingungen mehr für die meisten Unternehmen im DACH-Raum.

ISO 27001 verlangt in Annex A, Kontrolle 6.3, ausdrücklich ein Awareness-Programm für alle Mitarbeitenden, das relevante Bedrohungen und Verhaltenserwartungen adressiert. Kein zertifizierter ISMS-Betrieb ohne nachgewiesene Schulungsmaßnahmen.

NIS2, umgesetzt im deutschen NIS2UmsuCG, fordert in Artikel 21 Maßnahmen zur Sensibilisierung der Mitarbeitenden als expliziten Bestandteil des Risikokonzepts. Betreiber wesentlicher und wichtiger Einrichtungen, und das sind nach NIS2 deutlich mehr Organisationen als nach der Vorgängerrichtlinie, müssen Awareness-Maßnahmen nachweislich umsetzen und dokumentieren.

Wer Security Awareness nur als Nice-to-Have behandelt, riskiert damit nicht nur Sicherheitsvorfälle, sondern auch Compliance-Lücken mit regulatorischen Konsequenzen.

Fazit

Kein Unternehmen ist zu klein, um Ziel von Social Engineering zu sein. Und kein technisches Schutzkonzept ist vollständig, solange der menschliche Faktor unbehandelt bleibt. Wer Security Awareness kontinuierlich, verhaltenspsychologisch fundiert und messbar umsetzt, reduziert seine Klickrate nachweislich, erfüllt NIS2- und ISO-27001-Anforderungen mit auditfähiger Evidenz, und macht aus dem schwächsten Glied der Sicherheitskette eine aktive Verteidigungslinie.

Schicht 8 lässt sich nicht patchen. Sie lässt sich trainieren.

Wissen teilen. Offen für alle.

Jeden ersten Freitag schaffen wir uns Raum und Zeit für spannende Themen – aus Projekten, aus den Squads und aus der Community. Gäste sind herzlich willkommen: zum Zuhören, Mitdiskutieren oder um eigene Impulse einzubringen. Los geht’s um 9:30 Uhr. Schau vorbei und mach mit!

Prinzipien & Gesetze des Open Friday

Der Open Friday folgt den Prinzipien des Open Space – einer Methode, die auf Selbstorganisation und echte Energie setzt statt auf Agenda und Kontrolle:

• Wer auch immer kommt, es sind die richtigen Leute. Eine Person oder zwanzig – alle, die da sind, wollen da sein. Das macht den Unterschied.
• Was auch immer geschieht, es ist das Einzige, was geschehen konnte. Wir lassen Ungeplantes zu. Oft ist es das Beste.
• Es beginnt, wenn die Zeit reif ist. Pünktlichkeit ist nett. Energie ist wichtiger.
• Vorbei ist vorbei – nicht vorbei ist nicht vorbei. Solange etwas läuft, läuft es. Wenn nicht, ist Schluss.

Gesetz der Mobilität: Du bleibst, solange es sich lohnt. Sobald du nichts mehr lernst oder beitragen kannst, gehst du weiter. Keine schlechten Gewissen. Keine Erklärung nötig.

Wissen teilen. Offen für alle.

Jeden ersten Freitag im Monat schaffen wir uns Raum und Zeit für spannende Themen – aus Projekten, aus den Squads und aus der Community. Gäste sind herzlich willkommen: zum Zuhören, Mitdiskutieren oder um eigene Impulse einzubringen. Los geht’s um 9:30 Uhr. Schau vorbei und mach mit!

Was ist der Open Friday?

Jeden ersten Freitag im Monat machen wir bei carmasec Schluss mit dem Tagesgeschäft – für einen Vormittag. Stattdessen: Wissen teilen, Ideen spinnen, Probleme angehen. Jede:r bringt mit, was gerade brennt oder begeistert – aus laufenden Projekten, aus den Squads oder einfach aus dem Kopf. Kein festes Programm. Keine Pflicht. Nur Energie und echtes Interesse. Und weil gutes Wissen nicht an Bürotüren halt macht: Gäste sind ausdrücklich willkommen – ob aus der Security-Community, als Interessierte:r oder als jemand, der einfach mal schauen möchte, wie carmasec wirklich tickt.

Prinzipien & Gesetze des Open Friday

Der Open Friday folgt den Prinzipien des Open Space – einer Methode, die auf Selbstorganisation und echte Energie setzt statt auf Agenda und Kontrolle:

• Wer auch immer kommt, es sind die richtigen Leute. Eine Person oder zwanzig – alle, die da sind, wollen da sein. Das macht den Unterschied.
• Was auch immer geschieht, es ist das Einzige, was geschehen konnte. Wir lassen Ungeplantes zu. Oft ist es das Beste.
• Es beginnt, wenn die Zeit reif ist. Pünktlichkeit ist nett. Energie ist wichtiger.
• Vorbei ist vorbei – nicht vorbei ist nicht vorbei. Solange etwas läuft, läuft es. Wenn nicht, ist Schluss.

Gesetz der Mobilität: Du bleibst, solange es sich lohnt. Sobald du nichts mehr lernst oder beitragen kannst, gehst du weiter. Keine schlechten Gewissen. Keine Erklärung nötig.

friends of carmasec

Ein Abend, bei dem der offene Austausch im Mittelpunkt steht. Einmal im Quartal treffen sich im Mediapark Köln Menschen aus der IT-Security mit unterschiedlichen Hintergründen. Was sie verbindet: die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Drei Praxis-Talks à 10 Minuten, echter Branchen-Dialog und Zeit zum Netzwerken – in einer offenen und persönlichen Atmosphäre. Für alle, die Cybersicherheit und ISMS wirklich ernst nehmen.

Werde Teil einer wachsenden Community und melde dich gleich an. Wir freuen uns auf dich.

Cyberlage verstehen. Verteidigung gezielt stärken.

Die digitale Bedrohungslage entwickelt sich rasant: professionalisierte Angriffe, automatisierte Malware, gezielte Phishing-Kampagnen und neue regulatorische Anforderungen erhöhen den Druck auf dein Unternehmen. Wenn du Sicherheit vor allem verwaltest statt sie aktiv zu gestalten, läufst du Gefahr, den Anschluss zu verlieren.

In diesem gemeinsamen Webinar von eco – Verband der Internetwirtschaft e. V. und carmasec erfährst du, wie du auf Basis eines aktuellen Cyberlagebilds Verteidigungsstrategien entwickelst, die sich an realen Angreifertechniken orientieren – praxisnah, wirksam und messbar.​

Eckdaten des Webinars

Titel: Cyberlagebild & Threat-Informed Defence – Von Compliance zu echter Sicherheit

Datum: 05.03.2026

Uhrzeit: 10:00 – 11:15 Uhr

Format: Online-Webinar

Veranstalter: eco – Verband der Internetwirtschaft e. V. in Kooperation mit carmasec
​​

Warum dieses Webinar für dich relevant ist

Viele Sicherheitsstrategien verpuffen, weil sie sich vor allem an Tools, Audits oder Standards orientieren – nicht aber an dem, was Angreifende tatsächlich tun. Gleichzeitig verschärfen professionellisierte Angriffe und neue Vorgaben wie NIS-2 den Handlungsdruck auf IT-Sicherheitsverantwortliche, CISOs und Geschäftsführungen.
​
​In diesem Webinar bekommst du beides: Ein fundiertes Lagebild vom BSI und einen konkreten Ansatz, wie du deine Verteidigung konsequent an realen Bedrohungen ausrichtest.

Für wen ist das Webinar gedacht?

Dieses Webinar ist ideal für dich, wenn du Verantwortung für Informationssicherheit oder IT-Security trägst (CISO, IT-Sicherheitsverantwortliche:r, Security-Lead), in der Geschäftsführung oder im Management Entscheidungen zu Cyberrisiken triffst und deine Organisation nicht nur compliant, sondern nachweislich widerstandsfähiger gegen Angriffe machen möchtest.

Deine Mehrwerte mit carmasec

carmasec unterstützt dich dabei, Sicherheit strategisch zu denken und deine Maßnahmen konsequent an realen Bedrohungen auszurichten.

Auf Basis von Threat-Informed Defense helfen wir dir, dein aktuelles Sicherheitsniveau realistisch einzuschätzen, relevante Angreifer und deren Taktiken zu identifizieren und Maßnahmen zu priorisieren, die einen nachweisbaren Effekt auf deine Resilienz haben. Wenn du nach dem Webinar tiefer einsteigen möchtest, kannst du dir zusätzlich unser kompaktes Playbook zu Threat-Informed Defense sichern – mit konkreten Schritten für mehr Resilienz in deinem Unternehmen.

Jetzt anmelden

Timm Börgers ist Managing Partner & Trusted Advisor bei carmasec und treibt das Thema Corporate Social Responsibility mit persönlichem Einsatz voran. Im persönlichen Interview spricht er darüber, was ihn antreibt, was carmasec bereits bewegt hat und wo die Reise hingeht.

Wie bist du zu carmasec gekommen?

Ich habe zunächst eine Ausbildung zum Fachinformatiker und anschließend ein Bachelorstudium der IT-Sicherheit an der Ruhr-Universität Bochum absolviert . Danach war ich zunächst freiberuflich als Cyber Security Consultant tätig, bevor ich mich 2020 entschied, carmasec zukünftig als Managing Partner zu unterstützen. Mein Ziel ist es, carmasec als modernen und attraktiven Arbeitgeber zu positionieren. Mir ist vor allem wichtig, dass sich unsere Kolleg:innen langfristig wohlfühlen, motiviert arbeiten können und persönliche Wertschätzung erfahren.

Du hast dir das Thema Corporate Social Responsibility auf die Fahnen geschrieben und engagierst dich bei carmasec stark für das Thema. Was treibt dich hierbei an?

Das Engagement für Gesellschaft und Umwelt ist ein wichtiger Teil der Unternehmensphilosophie von carmasec und genießt bei mir hohe Priorität. Deshalb kümmere ich mich persönlich um das Thema Corporate Social Responsibility. Ich werde dabei von einem schlagkräftiges Team unterstützt, unter anderem bei der Planung und Umsetzung von Maßnahmen. In den vergangenen zwei Jahren haben wir bereits eine große Müllsammel-Aktion durchgeführt und die Kölner Tafel unterstützt. Mein Ziel: Ich will mit einem stetig wachsenden Unternehmen immer mehr bewegen können. Für die Zukunft wünsche ich mir, dass carmasec CO2-neutral wird und dass wir langfristige Kooperationspartner für größere Aktionen finden.

Danke für das Interview!

Ein vorweihnachtlicher Abend, bei dem der offene Austausch im Mittelpunkt steht.
Am 11.12.2025 treffen sich in Köln Menschen aus der IT Security mit unterschiedlichen Hintergründen. Was sie verbindet, ist die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community.
Beim nächsten friends of carmasec Event erwarten dich anregende Gespräche, neue Denkanstöße und viele Gelegenheiten, dich mit anderen zu vernetzen – in einer offenen und persönlichen Atmosphäre..

Ablauf:

18:30 Uhr: Treffen und Networking Früh am Dom, Am Hof 12-18, 50667 Köln
19:30 Uhr: Wechsel zum Weihnachtsmarkt „Alter Markt“

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

• dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
• Neue Perspektiven und Impulse für Deine Arbeit zu gewinnen.
• Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Ob du zum ersten Mal kommst oder schon öfter dabei warst: Du bist willkommen.

25. September 2025, 11:00–12:00 Uhr

Worum geht’s?

Mit dem “Cyber Resilience Act” (CRA) hat die EU neue Anforderungen eingeführt, die grundlegende Veränderungen in Kundenorganisationen erfordern, die digitale Produkte herstellen oder in der EU vertreiben. Im Rahmen dieses Webinars zeigen wir, wie sich Unternehmen konkret auf die CRA-Anforderungen vorbereiten können. Es geht nicht nur um regulatorische Compliance, sondern um:

• Resilienz gegen IT-Ausfälle, Betriebsunterbrechungen und Cyberangriffe
• Implementierung von Security-by-Design-Prinzipien in der Entwicklung
• Erhöhung der Produktsicherheit über den gesamten Lebenszyklus

Das erwartet dich im Webinar:

• Einordnung des CRA: Was regelt der CRA, für wen gilt er und welche Auswirkungen hat das konkret?
• Der Weg zur Compliance: Konkrete Schritte für Hersteller und wie Experten die Umsetzung erleichtern können.
• Secure Software Development Lifecycle: Wie gelingt „Security by Design“ und „Security by Default“ in der Produktentwicklung?
• Schwachstellenmanagement: Best Practice zur Identifikation, Behandlung und Meldung von Sicherheitslücken in Produkten.
• Automatisierung: Wie kann CRA-Compliance (teil-)automatisiert werden?

Für wen ist das Webinar gedacht?

Zielgruppe:

• Unternehmen, die digitale Produkte oder vernetzte Services in der EU anbieten

Rollen im Unternehmen:

• Produktentwickler:innen (Product Owner)
• Cybersecurity-Verantwortliche (Sicherheitsbeauftragte, Security Champions)
• Compliance- und Legal-Teams

Carsten Marmulla ist Managing Partner bei carmasec und seit über 20 Jahren als Trusted Advisor im Bereich Cybersicherheit tätig – für mittelständische Unternehmen ebenso wie für DAX-Konzerne. Sein technisches Verständnis verbindet er mit einem tiefen Gespür für Geschäftsprozesse, Risiken und Umsetzbarkeit.

Seine Projekterfahrung reicht von Telekommunikation und Medien über Chemie, Pharma und Gesundheit bis hin zu Logistik und Finanzdienstleistung. Was ihn antreibt: Cybersicherheit so zu gestalten, dass sie nicht bremst – sondern schützt, stärkt und skaliert.

„Cybersicherheit ist kein Zusatz mehr – sie wird integraler Bestandteil von Produktentwicklung, Business Continuity und Marktzugang. Der CRA macht das jetzt verbindlich.“ – Carsten Marmulla, Managing Partner bei carmasec

Robert Heinlein denkt Sicherheit nicht aus der Theorie, sondern aus dem Projektalltag – quer durch Mittelstand, Konzerne und den öffentlichen Sektor. Ob als Information Security Officer, Cyber-Security Consultant oder IT-Ingenieur: Er bringt technisches Know-how, strukturierte Umsetzung und ein Gespür für realistische Lösungen mit. Sein Anspruch: Komplexität verstehen, Klarheit schaffen, Sicherheit möglich machen.

„Der Cyber Resilience Act verankert Cybersicherheit als festen Qualitätsfaktor digitaler Produkte – gleichwertig mit Funktionalität, physischer Produktsicherheit und Energieeffizienz. Prozesse wie Schwachstellenmanagement, Patch Management und transparente Software-Stücklisten wie SBOMs werden künftig messbar zur Verbesserung der Cybersicherheit beitragen müssen.“ – Robert Heinlein, Cyber-Security Consultant bei carmasec

Wir unterstützen Unternehmen dabei, regulatorische Anforderungen wie den Cyber Resilience Act (CRA) in konkrete Sicherheitsmaßnahmen zu übersetzen. Unser Team vereint tiefes technisches Know-how mit Erfahrung in der Umsetzung – von Informationssicherheit über Secure Architecture bis hin zu Schwachstellenmanagement und Cloud Security.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community! Beim nächsten friends of carmasec Event in Essen erwarten dich spannende Gespräche mit Expert:innen und Interessierten, neue Impulse und jede Menge Networking-Möglichkeiten.

Ablauf:

18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

• Dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
• Neue Perspektiven und Impulse für deine Arbeit zu gewinnen.
• Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Ob erfahrener Profi oder neugieriger Neuling – wir heißen alle Interessierten herzlich willkommen!

Wenn du ebenfalls Teil unseres Netzwerks werden möchtest, melde dich hier an und verpasse keine Einladung mehr.

Maximale Sicherheit mit minimalem Aufwand

Besuch uns auf der it-sa 2025 in Nürnberg – Halle 7, Stand 416 und sicher dir jetzt deinen persönlichen Gesprächstermin mit uns.

Warum du bei carmasec vorbeischauen solltest?

Die it-sa ist Europas führende Fachmesse für IT-Security – aber was du brauchst, ist nicht noch ein Hochglanzversprechen, sondern echte Lösungen, die in der Praxis wirken.

Deine Herausforderung: Hohe Komplexität und unklare Wirksamkeit?

Genau hier setzt carmasec an. Wir sind dein Partner für pragmatische Cybersicherheit: Technisch stark, klar in der Sprache und schnell in der Umsetzung.
security. done. right.

Was dich bei uns erwartet:

• Kosteneffizienz: Nutze vorhandene Infrastruktur statt Neukauf.
• Zero‑Trust ohne Overhead: Schrittweise einführen mit sofortiger Wirkung.
• Compliance ohne Chaos: KRITIS, DORA, NIS2, CRA pragmatisch erfüllen.
• Lizenz‑Audit & Kosten‑Optimierung → Ø 18 % Einsparung
• Cyber‑Risk‑Assessment in 15  Minuten (kostenfrei)

Du willst mit jemandem sprechen, der zuhört, mitdenkt und nicht einfach nur den nächsten Sales-Pitch bei dir macht?
Dann buche dir jetzt deinen Termin an unserem Stand und erhalte ein kostenloses Ticket. Wir bieten dir echte Orientierung und zeigen dir, wie du dein Sicherheitsniveau wirksam erhöhst.

Jetzt Termin buchen

Warum jetzt handeln?

Die Anforderungen wachsen, die Komplexität steigt und deine internen Kapazitäten sind begrenzt. Mit carmasec holst du dir einen Sparringspartner, der dich durch den Security-Dschungel führt und dabei dein Business im Blick behält.

Setz auf Sicherheit, die Wirkung zeigt.
Triff uns vom 07.–09. Oktober 2025 auf der it-sa.