Die Rolle des Faktor Mensch in der Cyber Security

Ein Gespräch über die Human Firewall, KI, Live-Hacking und die Kunst, Sicherheit mit Humor zu vermitteln

„Der Faktor Mensch bleibt unsere größte Stärke – und Schwachstelle zugleich“

Ein Gespräch über die Human Firewall, KI, Live-Hacking und die Kunst, Sicherheit mit Humor zu vermitteln.

Cyberangriffe werden raffinierter, technische Schutzmechanismen komplexer – doch am Ende entscheidet der Mensch. Im Interview erklärt der Cyber Security-Verantwortliche bei Materna Calin Rus, warum die „Human Firewall“ das wichtigste Verteidigungssystem ist, wie man Mitarbeitende ohne Pranger sensibilisiert und weshalb Humor manchmal der beste Schutzfaktor ist. Ein Gespräch über gelebte Wachsamkeit, transparente Kommunikation und die Erkenntnis, dass Server sich in Minuten patchen lassen – Köpfe aber länger brauchen. 

Wir haben in den letzten Jahren oft über Resilienz, Cyber Security und Business Continuity gesprochen. Dabei fiel immer wieder der Begriff Human Firewall. Was genau steckt dahinter? 

Der Faktor Mensch spielt nach wie vor bei der Cyber Security die größte Rolle. Wenn man schaut, wo die meisten Risiken liegen, dann ist es immer noch der Mensch – ob beim Phishing, beim Social Engineering oder schlicht durch Unachtsamkeit. Angreifer versuchen, Menschen auszutricksen. Und genau da setzen unsere Maßnahmen an: technisch, organisatorisch und vor allem menschlich. Ganz fertig ist man damit nie, aber wir arbeiten auf mehreren Ebenen daran, uns stetig zu verbessern. 

Wie setzen Sie das praktisch um? 

Wir führen regelmäßig eigene Phishing-Kampagnen durch. Da gibt’s humorvolle Beispiele wie „Ihr Urlaub wurde abgelehnt“ oder „Hier VIP-Tickets für die EM“. Das sind kleine Tests, die helfen, das Bewusstsein zu schärfen. Wichtig ist uns: Wir testen Prozesse, nicht Personen. Wir werten keine Namen aus, niemand wird bloßgestellt. Wenn jemand häufiger auf solche Mails klickt, bekommt er keine Rüge, sondern Unterstützung – etwa durch ein Lernmodul oder eine Awareness-Nachschulung. Es geht darum, die Organisation als Ganzes zu stärken, nicht einzelne an den Pranger zu stellen. 

Und wie erfolgreich sind diese Tests? 

(lacht) Kommt ganz drauf an. Wir hatten mal eine Phase mit sehr niedriger Klickrate – da dachten einige schon: „Jetzt haben wir’s geschafft!“ Dann ist uns ein richtig gemeines Szenario eingefallen („VIP-Lounge EM-Tickets zu gewinnen!“), und die Klickrate ging wieder hoch. Das gehört dazu. Wenn man eine Trendlinie zeichnen würde, ginge sie wahrscheinlich leicht nach oben, aber linear ist das nie. Es hängt stark vom Thema ab – und wir haben bisher vielleicht vier oder fünf Wellen durchgeführt. Das ist noch zu wenig für eine echte Statistik. Wir haben bewusst mit einfacheren Szenarien begonnen, um die Lernkurve aufzubauen. Wären wir gleich mit den fiesesten Mails gestartet, hätten wir zwar hohe Klickraten, aber wenig Lerneffekt gehabt. 

Neben diesen Tests – welche weiteren Maßnahmen laufen? 

Die Pflicht sind unsere Standardschulungen zur Informationssicherheit – so wie bei Compliance oder Datenschutz auch. Die wurden dieses Jahr komplett neu aufgesetzt, gemeinsam mit unserer Tochter TMT, die sich mit digitalen Lernlösungen und Change befasst.  
Die Kür sind Awareness-Maßnahmen: Phishing-Wellen, Social-Engineering-Tests oder Intranet-Meldungen, wenn irgendwo eine akute Schwachstelle bekannt wird. Und für das nächste Jahr plane ich etwas Besonderes: ein Live-Hacking-Event. Da sehen Mitarbeitende live, wie ein Hacker vorgeht – und wie leicht es manchmal sein kann. Das wirkt nachhaltiger als jede PowerPoint-Präsentation. 

Klingt spannend. Gibt es da auch Überraschungseffekte? 

Absolut. Beim Social Engineering geht es nicht darum, gezielt jemanden hereinzulegen, sondern zu sehen, wie Menschen und Prozesse reagieren. Oft entdeckt man dabei ganz nebenbei ineffiziente Abläufe – und kann sie gleich verbessern. Das ist der schöne „Beifang“ solcher Tests. 

Wie messen Sie den Erfolg solcher Programme? 

Das Ziel ist ständige Wachsamkeit – nicht eine bestimmte Zahl. Menschen sind keine Maschinen. Ich kann nicht jeden Tag fünf Warnmeldungen verschicken, sonst hört irgendwann keiner mehr zu. Die Kunst ist, das richtige Maß zu finden. Aber ich sehe an den Rückmeldungen: Viele sind aufmerksam. Wir bekommen regelmäßig Meldungen über verdächtige Mails oder Auffälligkeiten – das zeigt mir, dass das Bewusstsein da ist. 

Wie lange braucht es, um den Kulturwandel und die Awareness bei den Mitarbeitenden zu schaffen? 

Server kann man in einer Minute patchen. Köpfe brauchen länger. Ein schönes Beispiel ist das Tragen der Mitarbeiterausweise. Das steht seit 20 Jahren in der Richtlinie, aber so richtig gemacht hat es keiner. Ich habe das Thema wieder auf die Agenda gebracht. Wenn alle ihren Ausweis tragen, fällt jemand ohne sofort auf. Ich habe früher selbst physische Penetrationstests durchgeführt. Wenn niemand Ausweise trägt, kommst du überall rein, einfach, weil die Leute höflich und hilfsbereit sind. Und genau das nutzen Angreifer aus. Deshalb sage ich: Wir müssen uns gegenseitig freundlich kontrollieren – das ist kein Misstrauen, sondern Schutz. 

Was ist der Schlüssel zum Erfolg dieses Wandels? 

Sicherheit ist zwar ein ernstes Thema, aber wir versuchen, das Thema mit einer Prise Humor zu vermitteln. Mit einer Emotion verknüpfte Inhalte bleiben besser hängen. Unsere Intranet-Beiträge sind oft witzig oder selbstironisch. Das kommt super an. Viele sagen, dass sie unsere Beiträge gerade deswegen lesen. Auch unsere neu aufgesetzten Schulungen sind mit einem Augenzwinkern gestaltet. Kulturwandel passiert nicht durch Angst, sondern durch Leichtigkeit.

Gab es Situationen, die besonders prägend waren? 

Oh ja. Ich war erst zwei Monate im Unternehmen, da hatten wir den größten Sicherheitsvorfall unserer Geschichte. Und auch dieser Vorfall ist auf menschliche Fehler zurückzuführen. Wir wussten anfangs nicht, wie schlimm es war, also haben wir drastische Maßnahmen ergriffen: Systeme isoliert, Rechenzentren runtergefahren. In zwei Wochen hatten alle neue Geräte – eine Wahnsinnsleistung. Entscheidend war aber: Wir waren transparent. Wir haben Kunden offen informiert, was passiert ist und wie wir reagieren. Das kam unglaublich gut an. Es gab keine Regressfälle, keine Klagen – im Gegenteil: Wir haben Vertrauen gewonnen, weil wir ehrlich waren.  

Wie verändert KI das Thema Sicherheit? 

Sie hebt das Ganze auf ein neues Level. Das Katz-und-Maus-Spiel läuft jetzt einfach auf einer höheren Ebene. KI hilft Angreifern wie Verteidigern gleichermaßen. Es wird also nicht leichter – nur komplexer. Aber am Ende bleibt es dabei: Der Mensch ist und bleibt der entscheidende Faktor. 

Was wünschen Sie sich von den Mitarbeitenden? 

Gar nicht viel. Im Bundeswehrjargon sagt man: „Melden macht frei.“ (lacht) Im Kern heißt das: Jeder ist Teil der Sicherheit. Es gibt kein „die da oben“ und „wir hier unten“. Wenn eine Mail komisch aussieht – nachfragen. Wenn eine unbekannte Person ohne Ausweis durchs Haus läuft – freundlich ansprechen. Das kostet zwei Minuten, macht uns aber als Organisation viel stärker. 

Vielen Dank für das Gespräch! 

 

Der Interview-Partner

Calin Rus, Chief Information Security Officer (CISO), Materna

Alle Artikel dieser Ausgabe

Monitor
Cyber Security
25.11.2025
Prompt Injection

Über die Sicherheit von Sprachmodellen.

Weiterlesen
Monitor
Public Sector
25.11.2025
Intelligente Verwaltung: KI beim ITZBund

Mehr Effizienz in der Verwaltung dank KI

Weiterlesen
Monitor
Life @ Materna
21.11.2025
Menschen bei Materna

Impulse, die verbinden - Impressionen von diesen besonderen Momenten

Weiterlesen
Monitor
Data & AI
Cyber Security
21.11.2025
SecurePIM

Daten-Souveränität heißt, dass keine Information das Gerät verlässt, ohne dass die Organisation das will oder weiß.

Weiterlesen
Monitor
Verwaltung Digital
Data & AI
Public Sector
Justiz
21.11.2025
Law2Logic

Mit dem KI-Assistenten Law2Logic zeigt Materna eindrucksvoll, wie Gesetze und Normen digitaltauglich werden.

Weiterlesen
Monitor
Data & AI
Public Sector
21.11.2025
KI beim ITZBund

Mehr Effizienz in der Verwaltung dank KI

Weiterlesen
Monitor
Think ahead
Data & AI
21.11.2025
Bewerbungsmanagement

Schnell, souverän, fair und rechtssicher: Wie KI-Agenten das Recruiting revolutionieren

Weiterlesen
Monitor
Think ahead
Verwaltung Digital
Transport und Logistik
Defence
21.11.2025
Military Mobility

Digitale Logistik als strategischer Faktor

Weiterlesen
Monitor
Europe
Resilience
Public Sector
21.11.2025
EU Data Act und der Cyber Resilience Act

Die größten Herausforderungen, praktische Umsetzungsschritte und die Chancen für Unternehmen und Behörden.

Weiterlesen
Monitor
Verwaltung Digital
Data & AI
Public Sector
21.11.2025
AI Transformation

Erfahren Sie, wie Unternehmen und Behörden KI effektiv, souverän und zukunftsfähig einsetzen können.

Weiterlesen
Monitor
Cyber Security
21.11.2025
Human Firewall

Ein Gespräch über die Human Firewall, KI, Live-Hacking und die Kunst, Sicherheit mit Humor zu vermitteln

Weiterlesen
Monitor
Data & AI
21.11.2025
Datenmonetarisierung

Darum ist warten teurer als starten

Weiterlesen
Monitor
Data & AI
21.11.2025
KI-Schulungen für Mitarbeiter

Spätestens mit dem EU AI Act wird klar: KI-Kompetenz ist keine Kür mehr, sondern Pflicht.

Weiterlesen
Monitor
Resilience
Sustainability
21.11.2025
Resilienztag 2025

Krisen lassen sich nicht verhindern – aber besser bewältigen

Weiterlesen
Monitor
Data & AI
21.11.2025
Digitale Souveränität

Über den Umgang mit amerikanischer Dominanz

Weiterlesen
Monitor
Data & AI
21.11.2025
Physical AI

Europas industrielle Antwort auf den KI-Hype

Weiterlesen
Monitor
Sustainability
Data & AI
21.11.2025
Digitale Souveränität: Was ist das überhaupt?

Digitale Souveränität wird zum Schlüsselbegriff unserer Zeit.

Weiterlesen