Der Angriff kam nicht durch die Firewall – sondern durch die Buchhaltung
Montagmorgen, kurz vor neun. In der Buchhaltung landet eine E-Mail, angeblich vom Geschäftsführer. Eine dringend zu zahlende, vertrauliche Sache, am besten ohne große Diskussion. Der Ton passt. Die Signatur wirkt echt. Der Betrag ist hoch, aber nicht völlig absurd. Niemand möchte derjenige sein, der beim Chef zögert. Also wird vorbereitet. Geprüft wird später. Die Falle ist zugeschnappt – und stellt Unternehmen vor die Frage: Wie kann man sich im Visier von Hackern vor dem Faktor Mensch schützen?

Wenn die Nachricht vom Chef kommt
Genau so funktioniert CEO-Fraud (Chef-Betrug). Der Trick greift nicht erst eine technische Schwachstelle an, sondern den normalen Arbeitsablauf. Stress, Hierarchie, Vertrauen, der Wunsch, Dinge schnell zu erledigen. Oft wirkt die Mail gar nicht besonders spektakulär. Sie wirkt einfach glaubwürdig. Und genau das macht das Problem aus.
In einem mittelständischen Unternehmen schrammte eine Zahlungsanweisung an der perfekten Stelle vorbei, weil der Prozess zu locker war. Es gab eine Freigabe, aber keinen verlässlichen zweiten Prüfpfad. Zuständigkeiten waren festgelegt, aber keine klare Regel, wann bei ungewöhnlicher Dringlichkeit ein Stopp möglich ist. Es gab Vertrauen, aber keinen belastbaren Kontrollpunkt. Am Ende war nicht die Firewall das Thema, sondern die Frage: Wer darf unter Druck eine Zahlung auslösen, und wer prüft sie wirklich?

Wenn KI plötzlich mitliest
Ein anderes Beispiel: Eine Mitarbeiterin will eine Kundenpräsentation schneller fertigbekommen. Sie kopiert Teile eines Angebots, einige interne Zahlen und Notizen aus einem Kundengespräch in ein frei verfügbares KI‑Tool. Die Absicht ist nachvollziehbar. Der Text soll besser klingen, die Arbeit schneller erledigt sein. Niemand wollte Daten verlieren. Trotzdem sind Daten im Netz gelandet. Das ist kein theoretisches Zukunftsproblem. KI ist längst im Arbeitsalltag angekommen und das oft, bevor Unternehmen entschieden haben, wie sie damit umgehen wollen.
Mitarbeiter nutzen solche Werkzeuge, weil sie helfen unter anderem beim Formulieren, Zusammenfassen, Strukturieren oder Auswerten. Problematisch wird es, wenn niemand geregelt hat, welche Tools genutzt werden dürfen, welche Daten dort nicht reingehören und wer Ergebnisse prüfen muss. Dadurch entsteht eine Datenschutzverletzung nicht aus böser Absicht, sondern durch fehlende Regeln im Alltag. Kundendaten, Vertragsinhalte, Personaldaten oder interne Zahlen wirken in einer Präsentation oft harmlos, doch für das Unternehmen können sie hochsensibel sein. Wenn solche Infos in nicht freigegebene Systeme eingegeben werden, lässt sich später oft kaum nachvollziehen, was genau passiert ist.

Das ist kein Argument gegen KI
Im Gegenteil: Unternehmen werden KI nutzen müssen, um wettbewerbsfähig zu bleiben. Aber unregulierte KI-Nutzung ist kein Innovationsprojekt, sondern ein Blindflug. Was haben diese beiden Fälle gemeinsam? Auf den ersten Blick wirken CEO-Fraud und KI-Nutzung wie zwei Welten: Hier der Betrug mit einer gefälschten Nachricht, dort ein modernes Werkzeug für effizienteres Arbeiten. Das eine klingt nach Kriminalität, das andere nach Fortschritt. Am Ende haben beide aber denselben Knackpunkt: Es fehlt ein gelebter Prozess für Situationen, die im Alltag längst auftauchen. Bei der falschen Zahlungsanweisung fehlt die verbindliche Prüfung. Bei der KI-Nutzung fehlt die Regel, welche Daten wohin dürfen. In beiden Fällen müssen Mitarbeiter in einem heiklen Moment selbst entscheiden, was richtig ist und genau das ist gefährlich.
Ganz wichtig: Nicht, weil die Mitarbeiter das Problem sind, sondern weil sie ohne klare Vorgaben alleingelassen werden. Cybersecurity hört deshalb nicht bei Tools auf. Virenscanner, Firewalls, Backups und Zugriffsrechte sind wichtig, doch sie lösen nicht die Frage, wie ein Unternehmen im Alltag entscheidet.
Wer darf etwas freigeben?
Wer muss prüfen?
Wann wird gestoppt?
Welche Infos sind sensibel?
Welche Ausnahmen sind erlaubt, und wer trägt Verantwortung?
Genau hier beginnt Governance. Nicht als Staubfänger im Regal, sondern als bewusst gelebter Rahmen für den Alltag. Gute Governance heißt nicht nur zu verbieten, sondern sie hilft Menschen dabei, in normalen Arbeitssituationen richtig zu handeln. Sie macht sichtbar, wo Risiken sind, bevor ein Schaden entsteht.

Sicherheit entsteht im Ablauf, nicht nur im Werkzeug
Eine umfassende Sicherheitsstruktur besteht nicht nur aus Technik. Sie lebt von Verantwortung, Prozessen und Verhalten. Fehlt nur einer dieser Bestandteile, gibt es eine Lücke. Man kann moderne Sicherheitslösungen einsetzen und trotzdem verwundbar bleiben, wenn Bankverbindungen ohne zweite Prüfung geändert werden. Man kann KI intensiv nutzen und trotzdem Datenschutzrisiken erzeugen, wenn niemand sagt, welche Infos wo hinein dürfen.
Der Mittelstand braucht dafür keine komplizierten Regelwerke. Er braucht Praktiken, die zur Realität passen. Eine Bankverbindung wird nicht einfach per Mail übernommen, sondern über einen zweiten Kanal bestätigt. Eine dringende Zahlung wird nicht allein wegen Zeitdrucks freigegeben. KI-Tools werden nicht heimlich genutzt, sondern offen ausgewählt, freigegeben und erklärt. Sensible Daten werden nicht nach Bauchgefühl behandelt, sondern nach klaren Kategorien. Das klingt vielleicht unspektakulärer als eine neue Sicherheitslösung, ist aber oft wirksamer.
Angriffe treffen Unternehmen selten da, wo das Hochglanzkonzept hängt. Sie treffen dort, wo Alltag ansteht: Mails beantworten, Rechnungen prüfen, Kundendaten vorbereiten, Entscheidungen treffen. Der Angriff kommt selten mit sichtbarem Knall. Manchmal sieht er einfach aus wie Arbeit. Genau deshalb muss Sicherheit in die Arbeit hinein, nicht daneben.

Fünf Fragen, die jede Geschäftsführung stellen sollte
- Wo entstehen Risiken,
weil Entscheidungen schnell, informell oder ohne zweite Prüfung getroffen werden? - Welche Abläufe
betreffen Geld, Kundendaten, Verträge, Zugriffe oder vertrauliche Infos? - Welche KI-Tools
werden schon genutzt, auch wenn offiziell noch niemand entschieden hat? - Welche Daten
dürfen niemals in externe Werkzeuge eingegeben werden? - Welche Ausnahmen
gibt es im Alltag, und wer trägt dafür die Verantwortung?
Wer diese Fragen beantworten kann, ist schon weiter als viele andere Unternehmen. Gute Sicherheit beginnt nicht erst bei Gesetzen oder Technik. Sie beginnt in den Abläufen, die jeden Tag genutzt werden.
Gastautor: Björn Kaleck
www.linkedin.com/in/bjoern-kaleck


