Die Psychologie des Vertrauens in der Cybersicherheit: Vorsicht ist nicht gleich Paranoia

Ein angeborenes Vertrauen in das Vertraute ist eine sehr menschliche Reaktion. Am Arbeitsplatz ist das Vertrauen gegenüber Kollegen, internen Systemen und Unternehmensnetzwerken quasi selbstverständlich.

Doch in der heutigen Welt, in der alles miteinander vernetzt wird, kann dieser Instinkt gefährlich irreführend sein. Unternehmensnetzwerke sind anfälliger als je zuvor – und das nicht nur, weil Cloud-First-Hybridumgebungen die Angriffsfläche enorm vergrößert haben.

Es gibt drei weitere Gründe, warum wir eine erhöhte Verwundbarkeit erleben. Die Gefahr einer Kompromittierung ist größer als je zuvor, da Hacker auf KI zurückgreifen, um immer raffiniertere Social-Engineering-Kampagnen zu starten. Zudem ist es für einen böswilligen Akteur einfach, sich mit verifizierten Anmeldedaten anzumelden und dann unbemerkt lateral durch das Netzwerk zu bewegen. Und schließlich wird ein besorgniserregender Anstieg der Vorfälle von Ransomware-Angriffen bzw. Datenexfiltration beobachtet.

Das sind schlechte Nachrichten für jede Branche. Erst recht für jene, die bereits zu den am stärksten angegriffenen Branchen weltweit zählen.¹ Angesichts der hohen Datenqualität und starken Regulierung des Sektors ist es keine Überraschung, dass sich auch Finanzdienstleister in dieser Gruppe befinden.

Für etablierte Finanzmarken ist der Status als Traditionsunternehmen ein zweischneidiges Schwert. Sie haben eine unglaubliche Erfahrung angehäuft, mit der die digital ausgerichteten Herausforderer nicht mithalten können. Allerdings haben jahrelange nachträgliche Sicherheits- und Leistungsupdates ihrer veralteten technischen Infrastruktur zu komplexen, unhandlichen Umgebungen geführt. Dies bedeutet weniger Agilität und ein höheres Cyberrisiko. Die Komplexität wird noch verstärkt durch das riesige Lieferketten-Ökosystem des Sektors – und die Tatsache, dass jeder Schritt darin streng reguliert ist.

Der Finanzdienstleistungssektor steht vor erheblichen Herausforderungen, insbesondere für die größeren, etablierten Banken, die sich agilen, digital ausgerichteten Herausforderern stellen müssen. Unternehmen dieser Branche und aller stark regulierten Sektoren müssen ihre Sicherheitsmaßnahmen dringend verstärken – und zwar schnell.

Dabei geht es nicht um Panikmache, sondern darum, der standardmäßigen Vertrauenshaltung entgegenzuwirken, die allzu oft zu einem riskanten Fehler werden kann. Es geht um die Förderung umsichtiger Sicherheitsmaßnahmen, um sicherzustellen, dass Kontrolle und Resilienz erhalten bleiben.

Wir vertrauen dem Vertrauten.
Sagt Ihnen der Begriff der kognitiven Heuristik etwas? Der Begriff stammt aus der Kognitionswissenschaft und beschreibt die mentalen Abkürzungen, die wir wählen, wenn wir schnell oder mit begrenzten Informationen Entscheidungen treffen müssen. Es gibt verschiedene Arten von Abkürzungen, aber die, die wir am digitalen Arbeitsplatz wirklich kennen müssen, ist die Vertrautheitsheuristik. Dabei geht es darum, angesichts der Ungewissheit das Vertraute zu suchen. Es handelt sich um eine voreingenommene Beurteilung, der viele von uns verfallen.

In einem Unternehmensumfeld kann eine Vertrautheitsheuristik dazu führen, dass wir ohne Zögern Vertrauen schenken. Beispielsweise glauben wir instinktiv, dass interne E-Mails „sicherer“ sind als externe, wir gehen davon aus, dass unsere eigenen Unternehmenssysteme standardmäßig sicher sind, oder wir glauben, dass unsere Kollegen weniger wahrscheinlich eine Bedrohung für unsere Cybersicherheit darstellen.

Genau diese Annahme, dass alles Interne sicher ist, machen sich Cyberkriminelle zunutze. Unbefugte Netzwerkzugriffe können das Ergebnis einer externen Bedrohung sein. Häufiger sind sie darauf zurückzuführen, dass die Anmeldedaten von Mitarbeitern unbeabsichtigt offengelegt werden, und zwar zumeist per E-Mail. Im Jahr 2024 untersuchte unser ThreatLabz-Team 1,2 Milliarden Datentransaktionen über Anwendungen und zentrale Geschäftskanäle wie E-Mail. Die in unserem @RiskReport zur Datensicherheit 2025veröffentlichten Ergebnisse verdeutlichen das Ausmaß des Problems: Bei fast 104 Millionen E-Mail-Transaktionen wurden vertrauliche Unternehmensdaten (einschließlich Quellcode und Finanzinformationen) weitergegeben.

Es ist bezeichnend, dass E-Mail-Phishing auch im Jahr 2025 trotz unseres Wissens über die Gefahren mangelnder Sicherheitsmaßnahmen noch immer einer der wirksamsten Angriffsvektoren ist. Auch hier liegt es an der menschlichen Neigung, dem Vertrauten zu vertrauen: Eine interne E-Mail von einem scheinbar legitimen Absender landet im Posteingang eines Mitarbeiters, der wie angewiesen auf einen Link klickt und damit einem Hacker Tür und Tor öffnet. Der Angreifer bewegt sich dann lateral durch das Netzwerk und bleibt in einer herkömmlichen Sicherheitsumgebung, in der Vertrauenswürdigkeit nicht überprüft, sondern vorausgesetzt wird, unentdeckt. Die Frage ist: Kann man jemals von der Vertrauenswürdigkeit einer Entität ausgehen?

Den 2. Teil dieser Serie zur Psychologie des Vertrauens in der Cybersicherheit finden Sie hier. Wenn Sie mehr über Cybersicherheit im Finanzwesen erfahren möchten, laden Sie das E-Book hier herunter.

¹Statista, Verteilung der Cyberangriffe auf die weltweiten Branchen im Jahr 2024. Mai 2025. Verfügbar unter:
https://www.statista.com/statistics/1315805/cyber-attacks-top-industries-worldwide/