Warum das größte IT-Sicherheitsrisiko 2025 nicht Hacker, sondern deine Mitarbeiter sind…

Letzte Aktualisierung am September 2, 2025

Estimated reading time: 4 Minuten

Unternehmen investieren Milliarden in Cybersecurity.
Firewalls, Zero-Trust-Architekturen, KI-basierte Bedrohungserkennung – alles ist dabei.
Und doch stolpert die IT-Sicherheit immer wieder über denselben unscheinbaren Gegner: den Mitarbeiter.

Nicht, weil er ein Insider-Angreifer wäre. Sondern, weil er ein Mensch ist – mit Gewohnheiten, Abkürzungen und einer fatalen Mischung aus Zeitdruck und Bequemlichkeit.

Im Jahr 2025 ist nicht die Frage, ob Technologie uns schützt. Sondern, ob Mitarbeiter bereit sind, sie zu nutzen.

1. Passwörter: Ein Running Gag in Dauerschleife

Wir reden von FIDO2, biometrischen Verfahren und passwortlosen Logins. Die Realität in Unternehmen sieht oft anders aus:

• Passwort: „Sommer2025!“ (mit variabler Jahreszahl seit 2017 erfolgreich im Einsatz).
• Master-Passwort? In der Schreibtischschublade, direkt neben der Packung Nervennahrung.
• Und natürlich wird das Passwort kollegial geteilt: „Kannst du dich kurz für mich einloggen?“

Das Post-it am Monitor ist nicht nur ein Klischee. Es ist eine Art stilles Mahnmal, dass Sicherheit zwar gewünscht, aber im Alltag unbequem ist.

2. Phishing 2025: KI gegen Reflexe

Cyberkriminelle nutzen inzwischen KI, um täuschend echte E-Mails zu schreiben – personalisiert, fehlerfrei und mit erstaunlich realistischen Absendern.
Aber streng genommen bräuchten sie das gar nicht.

Denn viele Mitarbeiter klicken auch weiterhin zuverlässig auf jede zweite „Dringend! Rechnung überfällig“-Mail. Der Reflex „erst klicken, dann denken“ ist ungebrochen.

Ob die Mail vom CEO kommt, der „schnell Überweisungen braucht“, oder vom angeblichen Paketdienst – entscheidend ist nur: Sie klingt eilig genug.

3. Schatten-IT: Wenn Regeln optional sind

Sicherheitsabteilungen rollen Systeme aus, die geprüft, auditiert und abgesichert sind.
Und dann passiert Folgendes:

• Teams speichern vertrauliche Dateien in kostenlosen File-Sharing-Diensten („ging schneller“).
• Kundendatenbanken landen in Tabellen, die für „jeden mit Link“ freigegeben sind.
• Entwickler posten API-Keys in Chatgruppen – praktisch, aber öffentlich.

Schatten-IT ist kein exotisches Randphänomen. Sie ist ein Symptom. Ein Zeichen dafür, dass Mitarbeiter Produktivität über Sicherheit stellen. Und Hand aufs Herz: Wer hat ihnen das nicht auch jahrelang beigebracht?

4. Kollaboration mit KI: Die neue Datenlücke

2025 ist das Jahr, in dem KI zum Standard-Tool geworden ist. Präsentationen, Strategien, E-Mails – alles wird mit Chatbots schneller, schöner, „smarter“.

Das Problem: Mitarbeiter geben dabei auch Inhalte ein, die nicht für fremde Server bestimmt sind. Vertragsdetails, Quellcode, interne Roadmaps – alles landet in Prompt-Fenstern, deren Datenschutzerklärungen niemand liest.

Die KI antwortet freundlich. Aber was sie lernt, bleibt selten exklusiv. Spätestens wenn die Konkurrenz ähnliche Vorschläge bekommt, ist klar: Das Sicherheitsleck sitzt nicht im Netzwerk, sondern im Kopf.

5. Warum Technik immer verliert

Die harte Wahrheit: Technik kann fast alles absichern – außer menschliches Verhalten.
Denn Menschen handeln nicht rational, sondern situativ.

• Bequemlichkeit schlägt Policy.
• Zeitdruck schlägt Schulung.
• „Nur mal eben schnell“ schlägt jede Firewall.

Angreifer müssen heute keine Zero-Day-Lücken mehr finden. Sie müssen nur darauf warten, dass ein Mitarbeiter den einfachsten Weg geht – und das ist selten der sichere.

Fazit: Kultur schlägt jede Firewall

Das größte IT-Sicherheitsrisiko 2025 ist nicht die KI-gestützte Schadsoftware.
Es ist nicht das Hacker-Kollektiv im Darknet.
Es ist die Mitarbeiterin, die unter Stress eine E-Mail zu schnell öffnet.
Es ist der Kollege, der eine Abkürzung nimmt.
Es ist die Organisation, die Sicherheit als Last statt als Teil der Arbeitskultur versteht.

Technik ist wichtig. Aber ohne Sicherheitskultur bleibt sie Staffage.
Die eigentliche Frage lautet also:
Wie bringt man Menschen dazu, Sicherheit nicht als Bremse, sondern als Selbstverständlichkeit zu sehen?

Solange diese Frage nicht beantwortet ist, bleibt der größte Angreifer im System: das eigene Team.

• Digitale Technik zu Weihnachten ein Motor der IT
• Besser eine eigene Homepage oder nur Social Media?
• Der unsichtbare Feind: Wie Landkreise und Gemeindeverwaltungen sich gegen Cyberangriffe wappnen können
• Sicherheits-Check: So erkennst du Phishing-Mails
• Kann Ihr PC gehackt werden? Entdecken Sie die schockierende Wahrheit über Hacking und wie Sie sich schützen können!