Mein Kopf schwirrt weiterhin, meine Notizen sind voll und mein Verständnis von Cybersicherheit wurde heute deutlich neu justiert. Ich hatte heute das Privileg, den zweiten Tag der Human Fireall Conference 2025 zu erleben, und was Shannon (Rodenheiser) Jaritz (VP Customer Success, SoSafe) zur Eröffnung versprach – „fresh ideas, bold talks, and a people-first take on cybersecurity“ – war eine Untertreibung. Es war ein intellektueller und emotionaler Deep Dive, der schonungslos die Probleme aufzeigte, aber vor allem eines vermittelte: eine fundierte, realistische Hoffnung.
Der goldene Faden, der sich durch jeden einzelnen Vortrag, jede Diskussion und jedes Pausengespräch zog, war die radikale Neuausrichtung unseres Fokus: Weg von der reinen Technologie-Hörigkeit, hin zum Menschen. Nicht als Fehlerquelle, nicht als unkalkulierbares Risiko, sondern als das Epizentrum unserer Verteidigungsstrategie.
Der Paukenschlag zum Auftakt: Jürgen Stock zeichnet ein düsteres, aber brutal ehrliches Bild der globalen Bedrohung
Den Tag eröffnete Professor Jürgen Stock, ehemaliger Generalsekretär von Interpol, und seine Keynote war kein sanfter Einstieg, sondern ein Paukenschlag, der jeden im Raum wachrüttelte. Auf die Frage nach dem wahren Ausmaß der Cyberkriminalität war seine Antwort entwaffnend und alarmierend zugleich: „Wir wissen es nicht.“ Er machte klar, dass die offiziellen Statistiken (in Deutschland 6 % Cyberdelikte, in den USA 15 %) nur die Spitze eines gigantischen Eisbergs sind. Die Dunkelziffer ist massiv, die Datengrundlage katastrophal.
Stocks Analyse war messerscharf: Die klassische Kriminalität, der Bankraub, „stirbt aus“. Warum? Weil das Risiko für die Täter physisch hoch und der potenzielle Gewinn im Vergleich zur Cyberkriminalität lächerlich gering ist. Die Kriminalität ist nicht verschwunden, sie hat ihr Geschäftsmodell digitalisiert und global skaliert. Seine Beispiele waren nicht abstrakt, sondern trafen ins Mark:
- Industrieller Menschenhandel: Er sprach von schätzungsweise 400 „Scam-Farmen“ allein in Kambodscha, in denen 200.000 Menschen, oft Opfer von Menschenhandel, gezwungen werden, systematische Betrugsmaschen durchzuführen.
- Menschliches Leid: Er berichtete von Sextortion, die junge Menschen in den Suizid treibt, und von einem Rentner aus seiner Heimat, der seine gesamten Ersparnisse von 300.000 Euro verlor.
- Wirtschaftliche Existenzkrisen: Der Angriff auf Jaguar Land Rover legte nicht nur ein Unternehmen lahm, sondern eine ganze Lieferkette, was unzählige Zulieferer und Arbeitsplätze in Gefahr brachte.
Besonders beunruhigend war seine Prognose zur Rolle der Künstlichen Intelligenz, die er als „Brandbeschleuniger“ für Kriminalität bezeichnete. KI wird Angriffe automatisieren, Social Engineering perfektionieren und Sprachbarrieren einreißen. Sein Fazit war ein unmissverständlicher Appell an die Politik und Wirtschaft: Wir müssen Cybercrime als Bedrohung der Nationalen Sicherheit behandeln, einen fundamentalen „Mindset Change“ vollziehen und eine „radikale Kooperation“ zwischen Staat und Privatwirtschaft aufbauen. Die Zeit, so Stock, ist unser größter Feind.
Vom Globalen ins Lokale: Wo die Theorie auf die harte Realität der Verwaltung trifft
Wie sehr dieser Weckruf notwendig ist, zeigte die anschließende Podiumsdiskussion zur „Cyber-Resilienz im öffentlichen Sektor“. Daniel Sieveke, Kerstin Pliquett und Olaf Dr. Kroll-Peters (moderiert von Joschka Havenith) bildeten den Mikrokosmos zu Stocks globalem Makrokosmos. Ihre Schilderungen waren das Echo aus dem Maschinenraum der Gesellschaft.
Dr. Kroll-Peters beschrieb den Wandel von vereinzelten Vorfällen zu einer „permanenten Krise“. Seine persönliche Anekdote, eine Kollegin während der Konferenz aus dem Urlaub zurückbeordern zu müssen, um eine akute Lage zu managen, machte die Anspannung greifbar. Kerstin Pliquett untermauerte dies für die kommunale Ebene und widerlegte den Mythos, kleine Kommunen seien keine attraktiven Ziele. Insbesondere im Vorfeld von Wahlen schnellen die Angriffe in die Höhe.
Hier wurden die Querverbindungen zu Jürgen Stocks Forderungen schmerzlich deutlich:
- Das „Zuständigkeits-Dilemma“: Dr. Kroll-Peters kritisierte scharf die Mentalität, bei einem Problem zuerst die Zuständigkeit zu klären, anstatt sofort zu handeln – ein tödlicher Fehler gegen agile Angreifer.
- Föderalismus als Sicherheitsrisiko: Daniel Sieveke benannte das strukturelle Problem, dass Angreifer sich nicht für Landesgrenzen oder Ressortzuständigkeiten interessieren. Seine Frage „Wer zahlt den Bums?“ illustriert, wie interne Reibungsverluste die Verteidigung lähmen.
- Die Last der Komplexität: Kerstin Pliquett brachte es mit der Zahl von 400-600 verschiedenen Fachverfahren in einer einzigen Kommunalverwaltung auf den Punkt.
Jürgen Stocks Ruf nach einem „Mindset Change“ und „radikaler Kooperation“ war hier keine abstrakte Forderung mehr, sondern die einzig mögliche Antwort auf die geschilderte Zersplitterung und die prozessualen Hürden, die unsere Verteidigung so träge machen.
Das Herzstück des Tages: Die Psychologie des Betrugs trifft auf die technische Meisterleistung
Wie Angreifer diese menschlichen, prozessualen und psychologischen Schwachstellen ausnutzen, wurde im folgenden Block auf eine Weise demonstriert, die mir den Atem raubte. Die Vorträge von Alexis Conran und Campbell Murray waren für mich das absolute Herzstück des Tages, da sie das „Warum“ und das „Wie“ eines Angriffs perfekt miteinander verwoben.
Alexis Conran, Experte für Social Engineering, begann nicht mit einer Folie, sondern mit einem Trick, der das Publikum verblüffte und das Kernthema perfekt illustrierte: Irreführung (Misdirection). Während wir uns auf eine komplexe Aufgabe konzentrierten, nutzte er einen Moment der Ablenkung, um die Regeln zu seinen Gunsten zu ändern. Seine zentrale These: Betrogen zu werden, ist keine Frage der Intelligenz. Sein Zitat „Der sicherste Weg, betrogen zu werden, ist, sich für klüger als alle anderen zu halten“ sollte sich jeder CISO über den Schreibtisch hängen. Er destillierte die Anatomie jedes Betrugs auf fünf psychologische Säulen: Irreführung, Zeitdruck, Gelegenheit, soziale Konformität und sozialer Beweis.
Direkt im Anschluss lieferte Campbell Murray die Live-Demonstration, die all diese Prinzipien in einer erschreckend realen Angriffskette vereinte. Sein Vorgehen war eine Blaupause für modernes Hacking:
- OSINT & Gelegenheit: Mit einem KI-Skript identifizierte er eine neue Führungskraft, die erst drei Tage im Unternehmen war – die perfekte Gelegenheit, da ihre digitale Identität und ihre Rechte wahrscheinlich noch nicht gefestigt waren (Conrans Prinzip 3).
- Der technische Hebel: Er fand eine SQL-Injection-Schwachstelle in einem öffentlichen Support-Portal – ein technischer Fehler, der aber nur der Türöffner war.
- Social Engineering & Zeitdruck: Er erstellte ein gefälschtes Konto für die neue Mitarbeiterin und loggte ein Support-Ticket mit dem Titel „Urgent remote access required“. Er gab vor, in Singapur zu sein und sofortigen Zugriff zu benötigen. Das erzeugte Zeitdruck (Prinzip 2) und spielte mit der sozialen Konformität – man will einer neuen Vorgesetzten schließlich helfen (Prinzip 4).
- Der menschliche Prozessfehler: Der entscheidende Fehler war kein technischer, sondern ein menschlicher. Anstatt auf eine Genehmigung zu warten, nutzte Murray seinen Admin-Zugang, um sein eigenes Ticket zu genehmigen. Ein Prozess, der niemals von einer einzigen Person ohne Gegenprüfung hätte durchgeführt werden dürfen.
Das Ergebnis: Innerhalb von Minuten war er im internen Netzwerk, nutzte „Living off the Land“-Techniken, um unsichtbar zu bleiben, pivotierte in das IoT-Netzwerk und brachte am Ende die Lichter im Konferenzsaal zum Blinken und die Lautsprecher zum Schrillen. Ein physischer Effekt, ausgelöst durch einen digitalen Angriff, der auf dem Ausnutzen von Vertrauen und fehlerhaften Prozessen basierte.
Doch die stärkste Botschaft kam am Ende von Alexis Conran: Mit der Geschichte von Stanislaw Petrow, dem sowjetischen Offizier, der 1983 einen atomaren Gegenschlag verhinderte, weil sein menschlicher Verstand ihm sagte, dass ein Angriff mit nur fünf Raketen unlogisch sei, widerlegte er den Mythos vom „schwächsten Glied“. Der Mensch, so Conran, ist die stärkste Verteidigungslinie, weil keine Technologie gesunden Menschenverstand ersetzen kann.
Die Antwort auf das ‚Wie‘: Vom Wissen zur gelebten Kultur – Die Revolution der Security Awareness
Wenn Stock die Bedrohung definierte und Conran/Murray den Angriffsvektor aufzeigten, dann lieferte Janneke Peters (Information Security Awareness Manager, Baloise) den entscheidenden, praxisnahen Lösungsansatz. Ihr Vortrag war eine schönes Beispiel, wie man die menschliche Firewall tatsächlich aktiviert. Geprägt durch ihre Herkunft aus der Gastronomie, lebt sie einen radikal menschenzentrierten Ansatz.
Ihre Philosophie: „Lernen beginnt mit Interesse.“ Sie hat bei Baloise, mit Unterstützung von SoSafe, eine Kulturveränderung angestoßen:
- Alte Welt: Ein 1,5-stündiges E-Learning pro Jahr, das als lästige Pflicht durchgeklickt wurde.
- Neue Welt: Vier kurze, unterhaltsame Lerneinheiten pro Jahr (15-20 Minuten), die man in einer Kaffeepause erledigt. Das häufigste Gegenargument – „Ich habe keine Zeit“ – wurde damit elegant entkräftet.
Das Ergebnis ist eine phänomenale Abschlussquote von 99,9 % bei 4.000 Mitarbeitern. Aber Janneke Peters betonte, dass es nicht um Zahlen geht, sondern um Geschichten. Ihre fünf Anekdoten aus dem echten Leben zeigten, dass Awareness weit „Beyond the Office Walls“ wirkt:
- Die Studentin, die dank des Trainings plötzlich Tailgating an ihrer Universität erkannte.
- Die Tochter eines Mitarbeiters, die eine Phishing-Mail auf ihrem Privatkonto sofort als Bedrohung identifizierte und löschte.
- Die Mutter, die auf einem „Cyber Family Event“ entsetzt feststellte, wie viele persönliche Daten ihr Sohn auf der Gaming-Plattform Roblox preisgab, und sofort handelte.
Das ist gelebte Sicherheitskultur. Janneke Peters liefert den praktischen Bauplan für den von Jürgen Stock geforderten „Mindset Change“ und die von Alexis Conran geforderte Stärkung des menschlichen Urteilsvermögens. Ihr abschließender Appell, „Stay aware, but stay human“, ist die perfekte Quintessenz des Tages.
Die verpasste Dimension: Was die Formel 1 uns lehrt
Inmitten der vielen intensiven Gespräche bei strahlendem Sonnenschein habe ich leider das Kamingespräch mit Formel-1-Legende Ralf Schumacher verpasst. Doch schon der Titel – „Vertrauen, Geschwindigkeit, Teamwork: Was uns die Formel 1 über Cyber-Resilienz lehrt“ – zeigt, wie nahtlos er sich in die Thematik des Tages eingefügt hätte. Diese drei Säulen sind exakt das, was in jedem Vortrag mitschwang:
- Vertrauen: Die Währung, die Angreifer ausnutzen und die wir intern schützen müssen.
- Geschwindigkeit: Die Angreifer agieren in Millisekunden; unsere Verteidigung muss ebenso agil sein.
- Teamwork: Campbell Murray hat bewiesen, dass ein Mangel daran das größte Risiko ist. Die Public-Sector-Runde hat gezeigt, wie sehr es gebraucht wird.
Ich bin unglaublich gespannt auf die Aufzeichnung.
Mein Fazit: Eine Bewegung, kein Event – Gemeinsam sind wir die adaptive Verteidigung
Die Abschlussworte von Shannon (Rodenheiser) Jaritz und Dr. Niklas Hellemann (CEO, SoSafe) fassten die Essenz perfekt zusammen: „Menschen, Verbindung, Bestimmung“ („People, Connection, Purpose„). Dieser Tag war der Beweis, dass die Cybersicherheits-Community zusammenwächst, weil sie muss.
Wir stehen an einem Wendepunkt. Die Bedrohungen werden durch KI komplexer und schneller, als es reine Technologielösungen je abfangen können. Unsere einzige Chance ist die Investition in den Menschen (ohne natürlich die Technik zu vernachlässigen). Wir müssen aufhören, ihn zu gängeln und als Fehlerquelle zu brandmarken. Wir müssen ihn befähigen, ihm Vertrauen schenken und eine Kultur schaffen, in der Sicherheit keine lästige Pflicht, sondern eine geteilte Verantwortung und eine Selbstverständlichkeit ist.
Ein riesiges, aufrichtiges Dankeschön an das gesamte Team von SoSafe für die Organisation dieses herausragenden Events, das weit mehr ist als eine Konferenz. Es ist ein Katalysator für eine Bewegung.
Ich bin inspiriert, nachdenklich und voller Tatendrang. Bis zur #HuFiCon26!
P.S.: Sehr nett, die Fotobox / KI-Lösung, um „Cyber Heros“ aus uns allen zu machen:
