Firewall Mensch
Seit 2013 engagiert sich Prof. Dr.-Ing. Sebastian Schinzel an der FH Münster für IT-Sicherheit, seit 2023 zusätzlich am Fraunhofer-Institut für Sichere Informationstechnologie SIT. Welche zentrale Rolle der Mensch bei einem Cyberangriff spielt und warum Awareness-Maßnahmen manchmal überschätzt werden, erzählt der Forscher im Interview.
18. Februar 2026
Seit Ihrem Studium beschäftigen Sie sich durchgehend mit IT-Sicherheit. Worst-Case-Szenarien gehören zu Ihrer täglichen Arbeit. Sind Sie ein Pessimist?
Empathie in der Informatik: Prof. Dr. Sebastian Schinzel von der FH Münster plädiert dafür, IT-Systeme so aufzubauen, dass sie sicher von Menschen bedient werden können | Foto: Wilfried Gerharz
Nein, das bin ich nicht. Aber es belastet mich auch nicht, negative Gedanken zuzulassen. Es ist einfach Teil meiner DNA, Risiken abzuschätzen und mir vor Augen zu führen, was alles schiefgehen kann. Ich habe Informatik studiert und habe daher einen eher technischen Hintergrund. Aber mit zunehmender Erfahrung kam die Erkenntnis, dass IT-Sicherheit kein rein technisches Problem ist, sondern ein soziotechnisches.
Ich habe mich jahrelang akademisch mit dem Thema IT-Sicherheit beschäftigt, zig Vorlesungen dazu gehalten – und dann erlebt man in einer Krisensituation, die die eigene Einrichtung betrifft, hautnah, wie Menschen sich verhalten, welche Fehler passieren und wie sie dann wiederum auf Fehler reagieren. Das war neu für mich und hat mir die Augen geöffnet, wie zentral der Faktor Mensch bei einem Cybervorfall ist.
Was macht ein Cybervorfall mit den Menschen?
Ein Cyberangriff ist eine enorme physische und psychische Belastung. Wir reden hier von Wochen und Monaten, in denen die Mitarbeitenden bei der Bewältigung des Angriffs und dem Neuaufbau der IT auf Anschlag laufen. Die eigentliche Arbeit bleibt liegen und muss nach erfolgtem Wiederaufbau nachgearbeitet werden, was nochmals Monate dauern kann. Manche Menschen reagieren in so einer traumatischen Situation emotional, suchen Schuldige. Das sind dann Diskussionen, die in Meetings eingefangen werden müssen, weil sie in einer akuten Krise einfach nicht weiterhelfen.
Seit dem Cyberangriff auf die FH Münster vor ein paar Jahren wurde ich einige Male zu Krisenstäben anderer gehackter Hochschulen hinzugezogen. Was ich erlebt habe, ist, dass die interne Kommunikation teils schiefläuft, dass der Cybervorfall alte Wunden aufreißt und bereits bestehende Konflikte offenlegt. Da werden zentrale Personalien infrage gestellt und teils neu besetzt. Das sind Dinge, die bei uns glücklicherweise nicht passiert sind, weil wir ein besonnenes Präsidium haben, das es verstanden hat, die Menschen wieder einzufangen, auf ein Ziel einzuschwören und sie zu motivieren – damit möglichst alle an einem Strang ziehen.
Was uns, glaube ich, von anderen betroffenen Hochschulen unterscheidet, ist, dass wir von Anfang an sehr offen und transparent mit dem Vorfall umgegangen sind. In einem YouTube-Video haben wir unsere Lessons Learned veröffentlicht, damit andere Hochschulen, denen dasselbe passiert, aus unseren Erfahrungen lernen können.
Inwiefern spielt der Faktor Mensch eine entscheidende Rolle?
Viele Cyberangriffe starten mit Aktionen, die direkt auf den Menschen abzielen. Ein Beispiel ist CEO Fraud, auch „Whaling“ genannt. Das ist eine Betrugsmasche, bei der sich Kriminelle als Führungskräfte ausgeben. Ihr Ziel ist es, Mitarbeitende – meist in der Buchhaltung oder Verwaltung – dazu zu bringen, hohe Geldbeträge zu überweisen oder vertrauliche Informationen preiszugeben. Das sind teils Schäden in Millionenhöhe. Dabei nutzen die Angreifer täuschend echt wirkende E-Mails, gefakte Telefonanrufe mit teils KI-generierten Stimmen oder gefälschte Identitäten, um Druck und Dringlichkeit zu erzeugen. Angreifer versuchen so, Vertrauen oder aber Stresssituationen auszunutzen.
Aber auch die heutzutage gängigen Cyberangriffe, bei denen Daten gestohlen, dann verschlüsselt und mit Veröffentlichung gedroht wird, sogenannte Ransomware, starten oft mit Phishing-E-Mails, über die die Angreifer einen ersten Fuß in das Organisationsnetz bekommen.
Ist es wirklich so banal? Der Mensch ist fehlbar und nachlässig in puncto IT-Sicherheit – und damit selbst Schuld an der Misere?
In Organisationen arbeiten ja ganz unterschiedliche Menschen, von denen die meisten keinen technischen IT-Hintergrund haben. IT ist ja auch kein Selbstzweck. Sie dient dazu, Arbeitsprozesse aus ganz unterschiedlichen Fachrichtungen zu unterstützen.
„Sicherheit funktioniert nur, wenn sie den Menschen mitdenkt. Der Forschungsansatz der Human-Centered Security beschäftigt sich genau damit: Er verbindet Aspekte aus IT-Sicherheit, Psychologie, Usability und Organisationsverhalten.“
Um solche Systeme erfolgreich betreiben zu können, brauche ich Menschen, die empathisch sind, die verstehen, dass wir IT-Systeme so aufbauen müssen, dass sie sicher von Menschen bedient werden können. Das ist eine große Herausforderung.
Wir müssen als ITler weg vom Victim Blaming und wieder mehr die Verantwortung übernehmen. Damit meine ich zu akzeptieren, dass Leute nun mal auf Links klicken, wenn sie per E-Mail zugestellt werden. Und es ist eben nicht einfach zu erkennen, ob ein Link Teil eines Cyberangriffs ist oder nicht. Wäre es einfach, könnten wir die „bösen“ Links ja einfach automatisiert auf dem Mailserver herausfiltern.
Sicherheit funktioniert nur, wenn sie den Menschen mitdenkt. Der Forschungsansatz der Human-Centered Security beschäftigt sich genau damit: Er verbindet Aspekte aus IT-Sicherheit, Psychologie, Usability und Organisationsverhalten, um Sicherheitskonzepte so zu gestalten, dass sie mit dem Verhalten, den Fähigkeiten und den Bedürfnissen der Menschen harmonieren – statt sie zu überfordern oder zu umgehen.
Was lässt sich daraus für die Praxis ableiten?
Mithilfe von Benutzerstudien erhält man erst einmal ein direktes Feedback darauf, wie Menschen tatsächlich mit Sicherheitssystemen umgehen. Nehmen Sie zum Beispiel Security Awareness-Kampagnen, bei denen innerhalb einer Einrichtung simulierte Phishing-E-Mails an zwei Gruppen von Mitarbeitenden versendet werden. Eine Gruppe hatte bereits eine Awareness-Schulung, die andere nicht. Anschließend wird gemessen, welche Menschen auf die Phishing-E-Mails hereinfallen. Überraschung: Der Unterschied zwischen beiden Gruppen ist zwar messbar, aber insgesamt so gering, dass immer noch viele Menschen hereinfallen, trotz Schulung.
Die wissenschaftliche Evidenz zeigt, dass viele Security-Awareness-Maßnahmen unterm Strich nur einen sehr geringen Effekt haben. Das belegen verschiedene Studien.
Prof. Dr.-Ing. Sebastian Schinzel | 2005 Bachelor B. Sc. Informatik an der Hochschule Darmstadt mit Auslandssemester an der Reykjavik University in Island | 2005–2012 Senior Security Consultant bei der Virtual Forge GmbH | 2007 Master M.Sc. Informatik an der Hochschule Darmstadt mit Auslandssemester an der James Cook University in Australien | 2009–2012 wissenschaftlicher Mitarbeiter am Lehrstuhl für IT-Sicherheitsinfrastrukturen an der Friedrich-Alexander-Universität Erlangen-Nürnberg im DFG-Projekt „Reliably Secure Software Systems“ (SPP 1496) | 2012 Dr.-Ing. in Informatik an der Friedrich-Alexander-Universität Erlangen-Nürnberg | seit 2013 Professor für IT-Sicherheit an der FH Münster | seit 2023 Abteilungsleiter Fraunhofer-Institut für Sichere Informationstechnologie SIT
Trotzdem bekomme ich immer wieder mit, dass Awareness-Schulungen bei Verantwortlichen nach wie vor einen hohen Stellenwert haben. Nach dem Motto, ich bringe meinen Usern einfach bei, nicht mehr auf Phishing-Mails zu klicken, und dann ist alles fein – sozusagen als menschliche Firewall. Das ist aber ein Trugschluss, so funktionieren Menschen nicht.
Ich habe drei Kinder, ich kann Ihnen genau sagen, wie man sich fühlt, wenn man mehrere Nächte schlecht geschlafen hat, völlig unkonzentriert und gestresst ist. Wenn dann noch die richtige Masche kommt, man wartet auf ein wichtiges Paket und dann kommt die DHL-Phishing-Mail – da klickt man schnell mal, ohne nachzudenken. Da können Sie noch so geschult sein, das aktuelle Mindset überdeckt das.
Was schlagen Sie vor?
Ein Lösungsansatz kann sein, an der Fehlerkultur innerhalb einer Einrichtung zu arbeiten. Diese kann den Ausschlag geben, ob ein Cyberangriff erfolgreich ist oder bereits in einer frühen Phase erkannt und gestoppt werden kann. Es ist ja nicht so, dass User auf einen Link klicken, und zack ist alles verschlüsselt. Sondern da müssen noch viele Schritte erfolgreich geschehen, die Tage, Wochen und teilweise auch Monate dauern können, bis der eigentliche Angriff erfolgreich ist, große Teile der Daten gestohlen und verschlüsselt werden.
An der FH Münster haben wir neben einer präsenten Webseite der Stabsstelle Informationssicherheit ein Meldeformular und Kontaktadressen eingerichtet. Dort können sich Mitarbeitende melden, wenn sie die Befürchtung haben, dass sie auf Malware geklickt haben. Dann kümmern wir uns darum und – ganz wichtig – bedanken uns für deren Offenheit. Denn das ist keine Selbstverständlichkeit. Wenn wir mit Security-Awareness-Schulungen erreichen können, dass User reflektieren, wenn etwas schiefgelaufen ist und sich im Zweifel melden, dann haben wir gewonnen.
Dann ergeben Cyber-Awareness-Schulungen also doch Sinn?
In gewisser Weise schon. Wir müssen den Leuten ja erklären, warum wir auf einmal Mehr-Faktor-Authentifizierungen einführen. IT-Sicherheitsmaßnahmen können nur kollaborativ funktionieren. Wenn wir in einer Organisation etwas vorgeben oder verbieten, was den Arbeitsalltag behindert, dann suchen sich die Leute unter Umständen einen anderen – vielleicht noch ungünstigeren – Weg. Wir müssen überzeugen und Mitsprache ermöglichen, damit Maßnahmen gelebt werden.
Also ist ein IT-Sicherheitsbeauftragter im Rahmen der Awareness-Maßnahmen so etwas wie ein Vermittler?
Das ist aus meiner Sicht das Hauptverständnis eines IT-Sicherheitsbeauftragten. Historisch gesehen haben sich viele IT-Sicherheitsbeauftragte in den vergangenen Jahrzehnten leider eher als Neinsager etabliert. Da wurden Finger gehauen und Schienbeine getreten.
„Die Sicherheitslücken, die Angreifer heute ausnutzen, sind oft seit Jahren bekannt und technisch längst gelöst.“
Aber es geht nicht darum, den Leuten Steine in den Weg zu legen, sondern ihnen dabei zu helfen, die IT-Sicherheitsziele zu erreichen.
Darum ist Kommunikation ein wichtiger Faktor. Die Sicherheitslücken, die Angreifer heute ausnutzen, sind oft seit Jahren bekannt und technisch längst gelöst. Die Herausforderung besteht eher darin, aktuelle Erkenntnisse in den Einrichtungen zu vermitteln. Die IT-Strukturen vieler Organisationen sind seit vielen Jahren organisch gewachsen und sehr komplex geworden. Genau diese komplexen und gewachsenen Systeme sind heute das Einfallstor für Angriffe. Sie zu modernisieren bedeutet tiefgreifende Veränderungen – nicht nur technisch, sondern vor allem organisatorisch auf Ebene von Arbeitsprozessen. Das tut manchmal weh – und sollte darum kommunikativ gut vermittelt werden.
Wie nachhaltig sind die Erfahrungen aus dem Cybervorfall heute? Hat sich das Mindset geändert?
Wenn man gezwungen wird, in kurzer Zeit IT-Systeme neu aufzubauen, hat man eine Chance, diese Systeme anders zu bauen. Das macht es leichter, Akzeptanz für durchaus einschneidende Maßnahmen wie zum Beispiel die Einführung von Mehr-Faktor-Authentifizierung zu erhalten. Natürlich sind auch solche Systeme nie perfekt und wir arbeiten weiter kontinuierlich an der Verbesserung der Systeme.
Heute haben wir mit der vor drei Jahren neu geschaffenen Stabsstelle Informationssicherheit ein starkes Team an der FH Münster und fühlen uns gemeinsam mit unserer Datenverarbeitungszentrale gut aufgestellt.
Das Gespräch führte Maimona Id (DFN-Verein) | Alle Fotos: Wilfried Gerharz