Der Mensch ist Schicht 8 des ISO-OSI-Modells, das mit dem Application Layer endet. Keine Firewall schützt ihn. Kein Patch schließt seine Schwachstellen. Und genau deshalb ist er das bevorzugte Einfallstor für professionelle Angreifer:innen.
Technische Maßnahmen lösen ein menschliches Problem nicht
Der Reflex ist verständlich: Ein neues Risiko entsteht, ein neues Tool kommt ins Gespräch. Spam-Filter, E-Mail-Gateways, Multi-Faktor-Authentifizierung. Diese Maßnahmen sind richtig und notwendig. Aber sie verschieben das Problem, sie eliminieren es nicht.
Laut dem Verizon Data Breach Investigations Report ist menschliches Verhalten in rund 68 Prozent aller erfolgreichen Sicherheitsvorfälle ein entscheidender Faktor. Der Mensch wird nicht angegriffen, weil Technik fehlt. Er wird angegriffen, weil er reagiert. Weil er hilft. Weil er Autorität respektiert. Weil er unter Zeitdruck entscheidet. All das sind keine Fehler, das sind menschliche Eigenschaften, die Angreifer:innen gezielt ausnutzen.
Eine Sicherheitsstrategie, die auf technische Maßnahmen reduziert bleibt, baut auf einem Fundament mit einer bekannten, unbehobenen Lücke.
Wie Social Engineering funktioniert und warum es so effektiv ist
Social Engineering bezeichnet die gezielte Manipulation von Menschen, um sie zu Handlungen zu bewegen, die sie andernfalls nicht ausführen würden. Das Prinzip ist so alt wie Betrug selbst. Die Umsetzung hat sich professionalisiert.
Angreifer:innen nutzen eine Handvoll psychologischer Mechanismen, die in der Verhaltenspsychologie gut dokumentiert sind. Autorität: Eine E-Mail im Namen der Geschäftsführung löst andere Reaktionen aus als eine von einem Unbekannten. Dringlichkeit: Wer in 10 Minuten handeln muss, prüft nicht mehr kritisch. Vertrauen durch Kontext: Eine Nachricht, die auf ein laufendes Projekt Bezug nimmt, wirkt legitim. Reziprozität: Wer etwas bekommt, gibt leichter.
Ein konkretes Beispiel zeigt die Wirkung: Der Automobilzulieferer Leoni AG verlor 2016 über 40 Millionen Euro, weil eine Mitarbeiterin auf eine CEO-Fraud-E-Mail hereinfiel, also eine gefälschte Anfrage der Geschäftsführung. Kein Schadcode, kein Exploit. Nur eine gut formulierte E-Mail und ein Vorgang, der ungeprüft ausgeführt wurde.
KI hat diese Angriffsmethodik in den letzten zwei Jahren qualitativ verändert. Sprachmodelle generieren fehlerfreie, kontextsensitive Phishing-Mails in Sekunden, personalisiert auf Basis öffentlich verfügbarer Informationen über Zielpersonen. Deepfake-Sprachnachrichten imitieren Vorgesetzte. Die Hürde für überzeugend gemachte Social-Engineering-Angriffe ist gesunken.
Warum einmalige Schulungen nicht wirken
Einmal im Jahr ein Pflichttraining absolvieren und anschließend eine E-Mail-Bestätigung versenden: Dieses Modell ist in vielen Unternehmen noch Standard. Es erfüllt formal eine Anforderung. Es verändert kein Verhalten. Das Problem liegt in der Lernpsychologie. Wissen, das nicht aktiviert wird, verblasst. Handlungssicherheit entsteht durch Wiederholung, durch das Erleben von Situationen, und durch unmittelbares Feedback. Ein einmaliges Webinar über Phishing-Erkennung schafft das nicht.
Hinzu kommt: Angriffe werden nicht seltener, sondern häufiger. Wer seine Mitarbeitenden einmal im Jahr sensibilisiert, schickt sie elf Monate unvorbereitet ins Feld.
Studien zeigen, dass Klickraten bei simulierten Phishing-Mails mit kontinuierlichem Training von rund 34 Prozent auf etwa 5 Prozent sinken können. Der Effekt entsteht nicht durch Information, sondern durch das wiederholte Erleben, Erkennen und Melden von Angriffen in einer sicheren Trainingsumgebung.
Was wirksame Security Awareness ausmacht
Drei Eigenschaften unterscheiden Awareness-Programme, die Verhalten verändern, von solchen, die Compliance-Boxen abhaken.
Kontinuität
Awareness ist kein Projekt, das abgeschlossen wird. Es ist ein Betriebsprozess. Regelmäßige Phishing-Simulationen, kurze Lernimpulse im Arbeitsalltag, und systematisches Messen des Fortschritts schaffen eine Sicherheitskultur, die trägt.
Verhaltenspsychologische Fundierung
Effektive Programme arbeiten mit denselben Mechanismen wie Angreifer:innen, nur umgekehrt. Sie erzeugen kein schlechtes Gewissen nach einem Klick, sondern einen Lernmoment. Die Mitarbeiterin, die auf eine simulierte Phishing-Mail hereingefallen ist, sieht sofort, warum, und was das Erkennungsmerkmal gewesen wäre. Dieses unmittelbare Feedback ist pädagogisch entscheidend.
Messbarkeit
Gute Programme machen sichtbar, welche Abteilungen welchen psychologischen Taktiken besonders anfällig gegenüber sind, wie sich die Klickrate über Zeit entwickelt, und wo gezielter nachgebessert werden muss. Diese Daten sind nicht nur für die Sicherheitsverantwortlichen relevant, sie sind Nachweisgrundlage für Audits und Compliance-Anforderungen.
Security Awareness als regulatorische Pflicht
NIS2 und ISO 27001 sind keine optionalen Rahmenbedingungen mehr für die meisten Unternehmen im DACH-Raum.
ISO 27001 verlangt in Annex A, Kontrolle 6.3, ausdrücklich ein Awareness-Programm für alle Mitarbeitenden, das relevante Bedrohungen und Verhaltenserwartungen adressiert. Kein zertifizierter ISMS-Betrieb ohne nachgewiesene Schulungsmaßnahmen.
NIS2, umgesetzt im deutschen NIS2UmsuCG, fordert in Artikel 21 Maßnahmen zur Sensibilisierung der Mitarbeitenden als expliziten Bestandteil des Risikokonzepts. Betreiber wesentlicher und wichtiger Einrichtungen, und das sind nach NIS2 deutlich mehr Organisationen als nach der Vorgängerrichtlinie, müssen Awareness-Maßnahmen nachweislich umsetzen und dokumentieren.
Wer Security Awareness nur als Nice-to-Have behandelt, riskiert damit nicht nur Sicherheitsvorfälle, sondern auch Compliance-Lücken mit regulatorischen Konsequenzen.
Wie carmasec Security Awareness umsetzt
Wir verstehen Security Awareness als integrierten Bestandteil einer mehrschichtigen Sicherheitsstrategie, nicht als isoliertes Schulungsformat. Technische Maßnahmen und menschliche Resilienz verstärken sich gegenseitig, wenn sie aufeinander abgestimmt sind.
In der Praxis bedeutet das: Wir konzipieren mit dir ein Awareness-Programm, das zu deiner Risikolage und deiner Organisationsstruktur passt. Für die Umsetzung von Phishing-Simulationen und kontinuierlichen Lernprogrammen setzen wir auf die Plattform von SoSafe, einem der führenden europäischen Anbieter für Security Awareness Training mit verhaltenspsychologischem Ansatz.
Das schließt ein: realistische, zielgruppenspezifische Phishing-Kampagnen, Lernmaterialien mit unmittelbarem Feedback nach jedem simulierten Angriff, Auswertungen nach Abteilung und Risikomuster, sowie ISO-konformes Reporting, das dir den Nachweis gegenüber Auditoren abnimmt.
Unser Beratungsansatz endet nicht bei der Plattform. Wir begleiten dich dabei, die Erkenntnisse aus Awareness-Programmen in dein Sicherheitskonzept zu integrieren: in Richtlinien, in Incident-Response-Prozesse, und in die regelmäßige Überprüfung durch Penetrationstests.
Fazit
Kein Unternehmen ist zu klein, um Ziel von Social Engineering zu sein. Und kein technisches Schutzkonzept ist vollständig, solange der menschliche Faktor unbehandelt bleibt. Wer Security Awareness kontinuierlich, verhaltenspsychologisch fundiert und messbar umsetzt, reduziert seine Klickrate nachweislich, erfüllt NIS2- und ISO-27001-Anforderungen mit auditfähiger Evidenz, und macht aus dem schwächsten Glied der Sicherheitskette eine aktive Verteidigungslinie.
Schicht 8 lässt sich nicht patchen. Sie lässt sich trainieren.
Du willst wissen, wie anfällig deine Organisation heute ist?
Wir starten mit einer gezielten Phishing-Simulation und zeigen dir, wo dein Handlungsbedarf liegt.
Wissen teilen. Offen für alle.
Jeden ersten Freitag schaffen wir uns Raum und Zeit für spannende Themen – aus Projekten, aus den Squads und aus der Community. Gäste sind herzlich willkommen: zum Zuhören, Mitdiskutieren oder um eigene Impulse einzubringen. Los geht’s um 9:30 Uhr. Schau vorbei und mach mit!
Was ist der Open Friday?
Jeden ersten Freitag im Monat machen wir bei carmasec Schluss mit dem Tagesgeschäft – für einen Vormittag. Stattdessen: Wissen teilen, Ideen spinnen, Probleme angehen. Jede:r bringt mit, was gerade brennt oder begeistert – aus laufenden Projekten, aus den Squads oder einfach aus dem Kopf. Kein festes Programm. Keine Pflicht. Nur Energie und echtes Interesse. Und weil gutes Wissen nicht an Bürotüren halt macht: Gäste sind ausdrücklich willkommen – ob aus der Security-Community, als Interessierte:r oder als jemand, der einfach mal schauen möchte, wie carmasec wirklich tickt.
Prinzipien & Gesetze des Open Friday
Der Open Friday folgt den Prinzipien des Open Space – einer Methode, die auf Selbstorganisation und echte Energie setzt statt auf Agenda und Kontrolle:
- Wer auch immer kommt, es sind die richtigen Leute. Eine Person oder zwanzig – alle, die da sind, wollen da sein. Das macht den Unterschied.
- Was auch immer geschieht, es ist das Einzige, was geschehen konnte. Wir lassen Ungeplantes zu. Oft ist es das Beste.
- Es beginnt, wenn die Zeit reif ist. Pünktlichkeit ist nett. Energie ist wichtiger.
- Vorbei ist vorbei – nicht vorbei ist nicht vorbei. Solange etwas läuft, läuft es. Wenn nicht, ist Schluss.
Gesetz der Mobilität: Du bleibst, solange es sich lohnt. Sobald du nichts mehr lernst oder beitragen kannst, gehst du weiter. Keine schlechten Gewissen. Keine Erklärung nötig.
Wissen teilen. Offen für alle.
Jeden ersten Freitag im Monat schaffen wir uns Raum und Zeit für spannende Themen – aus Projekten, aus den Squads und aus der Community. Gäste sind herzlich willkommen: zum Zuhören, Mitdiskutieren oder um eigene Impulse einzubringen. Los geht’s um 9:30 Uhr. Schau vorbei und mach mit!
Was ist der Open Friday?
Jeden ersten Freitag im Monat machen wir bei carmasec Schluss mit dem Tagesgeschäft – für einen Vormittag. Stattdessen: Wissen teilen, Ideen spinnen, Probleme angehen. Jede:r bringt mit, was gerade brennt oder begeistert – aus laufenden Projekten, aus den Squads oder einfach aus dem Kopf. Kein festes Programm. Keine Pflicht. Nur Energie und echtes Interesse. Und weil gutes Wissen nicht an Bürotüren halt macht: Gäste sind ausdrücklich willkommen – ob aus der Security-Community, als Interessierte:r oder als jemand, der einfach mal schauen möchte, wie carmasec wirklich tickt.
Prinzipien & Gesetze des Open Friday
Der Open Friday folgt den Prinzipien des Open Space – einer Methode, die auf Selbstorganisation und echte Energie setzt statt auf Agenda und Kontrolle:
- Wer auch immer kommt, es sind die richtigen Leute. Eine Person oder zwanzig – alle, die da sind, wollen da sein. Das macht den Unterschied.
- Was auch immer geschieht, es ist das Einzige, was geschehen konnte. Wir lassen Ungeplantes zu. Oft ist es das Beste.
- Es beginnt, wenn die Zeit reif ist. Pünktlichkeit ist nett. Energie ist wichtiger.
- Vorbei ist vorbei – nicht vorbei ist nicht vorbei. Solange etwas läuft, läuft es. Wenn nicht, ist Schluss.
Gesetz der Mobilität: Du bleibst, solange es sich lohnt. Sobald du nichts mehr lernst oder beitragen kannst, gehst du weiter. Keine schlechten Gewissen. Keine Erklärung nötig.
friends of carmasec
Ein Abend, bei dem der offene Austausch im Mittelpunkt steht. Einmal im Quartal treffen sich im Mediapark Köln Menschen aus der IT-Security mit unterschiedlichen Hintergründen. Was sie verbindet: die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.
Drei Praxis-Talks à 10 Minuten, echter Branchen-Dialog und Zeit zum Netzwerken – in einer offenen und persönlichen Atmosphäre. Für alle, die Cybersicherheit und ISMS wirklich ernst nehmen.
Werde Teil einer wachsenden Community und melde dich gleich an. Wir freuen uns auf dich.
Das erwartet dich
Know-how aus der Praxis
3 Praxis-Talks
Je 10 Minuten. Echte Kundenprojekte. Was hat funktioniert und was nicht.
Networking
Entscheidungsträger:innen und Expert:innen aus der Security-Community.
Branchen-Dialog
Kein Monolog, kein Verkaufsgespräch. Echter Austausch auf Augenhöhe.
Dein Abend
Agenda – 11. Juni 2026
18:00 Uhr
Ankommen & Begrüßung
Entspanntes Ankommen, erste Gespräche, Getränke.
18:45 Uhr
AI Security und nun?
10 Minuten. Echte Projekterfahrung. Konkrete Learnings.
19:00 Uhr
Threat-Informed defense.
10 Minuten. Aus Kundenprojekten – was wirklich funktioniert.
19:15 Uhr
KI im Unternehmen kontrollieren – aber wie ?
KI-Modelle produktiv nutzen, ohne Kontrolle, Datenschutz oder Compliance zu riskieren
19:30 Uhr
Deep Talk about carmasec
10 Minuten. Ein Blick hinter die Kulissen.
Du willst als Expert:in sprechen?
Wir freuen uns über externe Speaker, die ihre Praxiserfahrung aus echten Cybersecurity- und ISMS-Projekten mit der Community teilen wollen. 10 Minuten, kein Verkaufspitch, echte Insights. Schreib uns – wir melden uns.
Speaker Slot anfragenDiese Expertinnen & Experten teilen ihr Wissen mit dir
Simon Decker
Senior Security Consultant
Niklas Ereth
Senior Security Consultant
Carsten Marmulla
Founder & Brand Ambassador
Marius Rometsch
Security Consultant
Cyberlage verstehen. Verteidigung gezielt stärken.
Die digitale Bedrohungslage entwickelt sich rasant: professionalisierte Angriffe, automatisierte Malware, gezielte Phishing-Kampagnen und neue regulatorische Anforderungen erhöhen den Druck auf dein Unternehmen. Wenn du Sicherheit vor allem verwaltest statt sie aktiv zu gestalten, läufst du Gefahr, den Anschluss zu verlieren.
In diesem gemeinsamen Webinar von eco – Verband der Internetwirtschaft e. V. und carmasec erfährst du, wie du auf Basis eines aktuellen Cyberlagebilds Verteidigungsstrategien entwickelst, die sich an realen Angreifertechniken orientieren – praxisnah, wirksam und messbar.
Eckdaten des Webinars
Titel: Cyberlagebild & Threat-Informed Defence – Von Compliance zu echter Sicherheit
Datum: 05.03.2026
Uhrzeit: 10:00 – 11:15 Uhr
Format: Online-Webinar
Veranstalter: eco – Verband der Internetwirtschaft e. V. in Kooperation mit carmasec
Warum dieses Webinar für dich relevant ist
Viele Sicherheitsstrategien verpuffen, weil sie sich vor allem an Tools, Audits oder Standards orientieren – nicht aber an dem, was Angreifende tatsächlich tun. Gleichzeitig verschärfen professionellisierte Angriffe und neue Vorgaben wie NIS-2 den Handlungsdruck auf IT-Sicherheitsverantwortliche, CISOs und Geschäftsführungen.
In diesem Webinar bekommst du beides: Ein fundiertes Lagebild vom BSI und einen konkreten Ansatz, wie du deine Verteidigung konsequent an realen Bedrohungen ausrichtest.
Für wen ist das Webinar gedacht?
Dieses Webinar ist ideal für dich, wenn du Verantwortung für Informationssicherheit oder IT-Security trägst (CISO, IT-Sicherheitsverantwortliche:r, Security-Lead), in der Geschäftsführung oder im Management Entscheidungen zu Cyberrisiken triffst und deine Organisation nicht nur compliant, sondern nachweislich widerstandsfähiger gegen Angriffe machen möchtest.
Deine Mehrwerte mit carmasec
carmasec unterstützt dich dabei, Sicherheit strategisch zu denken und deine Maßnahmen konsequent an realen Bedrohungen auszurichten.
Auf Basis von Threat-Informed Defense helfen wir dir, dein aktuelles Sicherheitsniveau realistisch einzuschätzen, relevante Angreifer und deren Taktiken zu identifizieren und Maßnahmen zu priorisieren, die einen nachweisbaren Effekt auf deine Resilienz haben. Wenn du nach dem Webinar tiefer einsteigen möchtest, kannst du dir zusätzlich unser kompaktes Playbook zu Threat-Informed Defense sichern – mit konkreten Schritten für mehr Resilienz in deinem Unternehmen.
Über das Whitepaper
Das im April 2019 in Kraft getretene Geschäftsgeheimnisgesetz (GeschGehG) erhöht die regulatorischen Anforderungen an den Schutz von unternehmensinternem Know-How. Geschäftsgeheimnisse müssen nun proaktiv geschützt werden, um rechtliche Schritte wie Unterlassungserklärungen oder Schadensersatzansprüche bei Verletzungen geltend machen zu können. Eine große Relevanz hat hierbei die Erhöhung von Cybersicherheit.
In unserem Whitepaper geben wir dir eine Einführung in das Gesetz und stellen dir einen Maßnahmenkatalog zur Erhöhung deiner Cybersicherheit zur Verfügung.
Lade dir dein Whitepaper herunter um dein Unternehmen rechtssicher aufzustellen und sensible Geschäftsgeheimnisse zu schützen
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Über das Whitepaper
CEO-Fraud bezeichnet eine Betrugsmasche, bei der Mitarbeiter:innen von einem vermeintlichen CEO angewiesen werden, Geldbeträge auf ausländische Konten zu überweisen. Im gleichnamigen Whitepaper zum Thema wird beschrieben, wie sich Kriminelle glaubhaft als Geschäftsführer:in ausgeben können, und aufgezeigt, welche Unternehmen bereits Opfer von CEO-Fraud wurden. Wir erläutern die Hintergründe sowie den typischen Ablauf dieser Betrugsmasche und zeigen auf, welche Schutzmaßnahmen Unternehmen ergreifen können.
Lade dir dein Whitepaper herunter und entgehe der Betrugsmasche
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Prüfe dein IT-Risikomanagement Schritt für Schritt
- Ist dein Risikomanagement wirklich wirksam, und gehst du gezielt mit deinen Risiken um?
- Wie stark fließt es in deine strategischen Entscheidungen ein?
Mit unserer Checkliste kannst du Schritt für Schritt die wichtigsten Punkte abhaken und dir Klarheit verschaffen – strukturiert, pragmatisch und effektiv.
Lade dir deine Checkliste herunter und erhalte Klarheit über dein Risikomanagement
So gelangst du zu deiner kostenlosen Checkliste:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Über das Whitepaper
Um die Schwächen klassischer Sicherheitsarchitekturen zu überbrücken, hat das Marktforschungs- und Beratungshaus Gartner 2017 einen Ansatz namens CARTA entwickelt. “Continuous Adaptive Risk and Trust Assessment” (dt.: “Kontinuierliche und adaptive Risiko- und Vertrauensbewertung”) nutzt „Machine Learning“-Methoden, um die Überwachung des Systemverhaltens und die dauerhafte Überprüfung auf Abweichungen vom „guten“ Verhalten („Whitelisting“) zu gewährleisten.
Das Whitepaper „Risiko und Vertrauen: Mit dem CARTA-Ansatz die Herausforderungen digital-vernetzter Unternehmen bewältigen“ erläutert den technischen Hintergrund des Ansatzes und erläutert Anwendungsbeispiele.
Bestelle dir jetzt das Whitepaper um Risiken in deinem Unternehmen zu bewältigen und Vertrauen aufzubauen
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Über das Whitepaper
In dem Whitepaper Reifegradmodelle für die Cybersicherheit deines Unternehmens: Referenzrahmen für Handlungs-, Planungs- und Budgetsicherheit wird die Funktionalität von Reifegradmodellen erläutert. Zudem erläutern die Autoren die sich aus der Anwendung für Unternehmen ergebenden Vorteile wie die bessere Planbarkeit von Ressourcen und Budgets. Dir werden des Weiteren einige ausgewählte Modelle aus den USA und Großbritannien vorgestellt. Explizit wird in dem Whitepaper auf das Community Cybersecurity Management Model (CCMM) eingegangen, welches beispielsweise in der US-amerikanischen Energiewirtschaft Anwendung findet.
Im nächsten Schritt wird das bewährte Modell auf die Anforderungen deutscher Unternehmen adaptiert. Du erhältst damit eine Methode, mit der du deine unternehmensinternen Prozesse der Cybersicherheit hinsichtlich des Reifegrades beurteilen und optimieren kannst.
Lade dir dein Whitepaper herunter und optimiere deine Unternehmen-Internen Prozesse
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.