test
Language

Von physischer Sicherheit zu Cyber Awareness : Warum Ihre Investition in Zutrittskontrolle wenig bringt, wenn Mitarbeitende auf Phishing-Links klicken 

phishing awareness scaled

Dieser Artikel richtet sich an Sicherheitsverantwortliche, Facility Manager sowie IT-/OT-Entscheider in europäischen Unternehmen, die in physische Sicherheit investieren und verstehen möchten, warum dieser Schutz auch vom Faktor Mensch abhängt. 

Das Wichtigste auf einen Blick

  • Im Jahr 2025 entfielen laut ENISA 60 % der Cyberangriffe in Europa auf Phishing als Eintrittsweg. 
  • Identitätsbasierte Angriffe stiegen im ersten Halbjahr 2025 laut Microsoft um 32 %. 
  • Die Ergänzung bestehender physischer Sicherheitsmaßnahmen um Phishing-Awareness kostet in der Regel etwa 4,80 Euro bis 9,80 Euro pro Mitarbeitendem und Jahr. 
  • Konvergente Sicherheit bedeutet, physische, digitale und menschliche Risiken als eine zusammenhängende Angriffsfläche zu betrachten. 

Jede Tür ist gesichert – und trotzdem werden Angreifer hereingelassen

In unserem Artikel zu den NIS2-Audit-Anforderungen haben wir erläutert, warum eine jährliche Security-Awareness-Schulung heute nicht mehr ausreicht. Dieser Artikel geht einen Schritt weiter: Auch physische Sicherheit allein reicht nicht mehr aus. 

In ganz Europa investieren Unternehmen stark in physische Sicherheit: Zutrittskontrolle, Videoüberwachung, Besuchermanagement, Perimeterschutz und Ausweisrichtlinien. Die Herausforderung besteht darin, dass sich die Bedrohungslage verändert hat. 

Angreifer versuchen heute häufig nicht mehr, die physische Sicherheitsgrenze gewaltsam zu überwinden. Stattdessen nehmen sie die Menschen und digitalen Identitäten ins Visier, die mit dieser Sicherheitsinfrastruktur arbeiten. 

Die europäischen Daten sprechen eine klare Sprache: In ihrem Threat Landscape Report 2025 analysierte ENISA 4.875 Vorfälle im europäischen Cyberbedrohungsumfeld. Dabei war Phishing mit 60 % der Fälle der dominierende Eintrittsvektor. Der häufigste Weg ins Unternehmen führte also über Menschen, die dazu gebracht wurden, auf etwas zu klicken, zu antworten, etwas zu bestätigen oder Informationen preiszugeben, die sie nicht hätten weitergeben dürfen. 

Viele Unternehmen behandeln physische Sicherheit und Cyberrisiken noch immer als zwei getrennte Themen: Auf der einen Seite geht es um Gebäude, Werte und Personen vor Ort; auf der anderen um E-Mails, Passwörter und Schadsoftware. Vor zehn Jahren war diese Trennung nachvollziehbar. Heute ist sie es nicht mehr. 

Dasselbe Unternehmen, das Eingänge mit Ausweislesern schützt und Besucher über vernetzte Systeme verwaltet, arbeitet zunehmend in einer cloudbasierten Umgebung. Im Jahr 2025 nutzten 52,74 % der Unternehmen in der EU kostenpflichtige Cloud-Computing-Dienste; bei großen Unternehmen lag der Anteil sogar bei 84,67 %. Gleichzeitig verwendeten 52 % der EU-Bürgerinnen und -Bürger eine elektronische Identifikation, um auf Online-Dienste zuzugreifen. 

In diesem vernetzten Umfeld ist eine Phishing-E-Mail längst nicht mehr ausschließlich ein E-Mail-Problem. 

Physische Sicherheit und der Faktor Mensch

Zutrittskontrolle, Videoüberwachungssysteme und Besuchermanagement bleiben unverzichtbar. Sie schützen die physische Ebene: Wer betritt ein Gebäude, wohin bewegt sich eine Person, was geschieht vor Ort und wie lassen sich Vorfälle im Nachhinein nachvollziehen? Investitionen in physische Sicherheit bilden die Grundlage – und Unternehmen tun gut daran, sie zu tätigen. 

Diese Investitionen funktionieren jedoch nur dann wie vorgesehen, wenn die Menschen, die mit ihnen arbeiten, nicht dazu gebracht werden, sie zu umgehen. 

Ein Phishing-Angriff muss lediglich die Identität, das Urteilsvermögen oder den Arbeitsablauf einer vertrauenswürdigen Person kompromittieren. Sobald das gelingt, können Angreifer Zugriff auf Unternehmenskonten, Wartungskommunikation, Besucherdaten, interne Gebäudepläne, Schichtpläne, Lieferantendaten oder Zugangsdaten und Berechtigungen erhalten. 

Die Gefahr ist längst nicht mehr hypothetisch: 

  • Microsoft (2025): Identitätsbasierte Angriffe stiegen im ersten Halbjahr um 32 %. Mehr als 97 % der Identitätsangriffe richteten sich gegen Passwörter. Microsofts Schlussfolgerung war eindeutig: Angreifer brechen zunehmend nicht mehr ein – sie melden sich einfach an. 
  • IBM (2024): Phishing-E-Mails, die sogenannte „Info Stealers“ verbreiten, nahmen um 84 % zu. Das zeigt, wie stark der Diebstahl von Zugangsdaten skaliert und industrialisiert wurde. 
  • Geschäftliche Auswirkungen: Die Cyberangriffe auf Marks & Spencer und Co-op im Jahr 2025 verursachten Schätzungen zufolge zusammen Kosten zwischen 270 und 440 Millionen Pfund. 

Das National Institute of Standards and Technology (NIST) hat darauf hingewiesen, dass elektronische Zutrittskontrollsysteme als eine Kombination aus IT-Komponenten und physischen Sicherheitselementen betrachtet werden müssen und nicht als isolierte Hardware. 

Ein zentrales Thema für die Fertigungsindustrie

Das Risiko konvergenter Sicherheit ist besonders für produzierende Unternehmen von Bedeutung. 

ENISA identifizierte die Fertigungsindustrie im Threat Landscape Report 2025 als den Sektor, der in fünf EU-Mitgliedstaaten am konstantesten angegriffen wurde. Auch der IBM X-Force Threat Intelligence Index 2025 kam zu dem Ergebnis, dass die Fertigungsindustrie in den ausgewerteten Vorfällen die am stärksten betroffene Branche war – mit einem Anteil von 40 % aller Fälle. 

In der Fertigung sind nahezu alle kritischen Unternehmensbereiche von Cyberrisiko betroffen: Produktionskontinuität, Lieferantenkoordination, Wartung, Arbeitssicherheit, Logistik, geistiges Eigentum und Anlagenverfügbarkeit. Laut Verizons Data Breach Investigations Report 2025 entfielen in der Fertigungsindustrie 85 % der Sicherheitsverletzungen auf drei zentrale Angriffsmuster: System Intrusion, Social Engineering und einfache Webanwendungsangriffe. Der Missbrauch von Zugangsdaten machte 22 % der bekannten Erstzugriffsvektoren aus, Phishing 16 %. Bei Angriffen auf Webanwendungen waren in rund 88 % der Fälle gestohlene Zugangsdaten beteiligt. 

Ein Fertigungsunternehmen kann erheblich in den Schutz von Standorten, Lagern, Sicherheitsbereichen und den Zutritt von Dienstleistern investieren. Dennoch bleibt er angreifbar, wenn ein einzelner Mitarbeitender auf eine gefälschte Rechnung, eine vermeintliche Lieferantenmeldung oder einen falschen Link zum Zurücksetzen des Passworts klickt. Dieser eine Klick kann die Lieferantenkoordination, Wartungsprozesse, den Remote-Support und die Produktionskontinuität beeinträchtigen, noch lange bevor der Vorfall überhaupt als Problem am Standort erkannt wird. 

Was konvergente Sicherheit in der Praxis bedeutet

Konvergente Sicherheit wird häufig als engere Zusammenarbeit zwischen physischer Sicherheit und Cybersecurity beschrieben. Das ist ein Teil davon. Wichtiger ist es jedoch, die Perspektive zu wechseln und einen Angriff als einen zusammenhängenden Angriff zu betrachten – auch wenn er an verschiedenen Stellen auftritt. 

In einer vernetzten Einrichtung können eine Phishing-E-Mail, ein Passwort-Reset über den Helpdesk, eine Zutrittsanfrage eines Dienstleisters und eine ungewöhnliche Remote-Session unterschiedliche Phasen desselben Vorfalls sein. Eine konvergente Sicherheitsstrategie beginnt mit der Erkenntnis, dass die physische Ebene, die digitale Ebene und der Faktor Mensch miteinander verbunden sind. 

Eine verdächtige Zutrittsanfrage, eine gefälschte Lieferanten-E-Mail, eine betrügerische Besucher-Voranmeldung, ein kompromittiertes Dienstleister-Postfach, ein Zutritt mit Ausweis außerhalb üblicher Muster, ein unter Druck ausgelöster Passwort-Reset oder eine Remote-Support-Sitzung über eine vertrauenswürdig wirkende Identität können alle Teil desselben Einbruchsversuchs sein. 

Die OECD stellte fest, dass 21,8 % der europäischen Unternehmen internetverbundene Geräte für die Gebäudesicherheit einsetzen. Unter den Unternehmen, die vernetzte Geräte nutzen, verwenden 75 % diese für genau diesen Zweck. Die Scattered-Spider-Warnung aus dem Jahr 2025 zeigt die Logik der Angreifer: Helpdesk manipulieren, Vertrauensbeziehungen ausnutzen, gültige Zugangsdaten erlangen und sich über legitime Konten weiterbewegen. Teams, die in Silos arbeiten, übersehen diese Angriffskette völlig. 

In der Praxis zeigt sich konvergente Sicherheit vor allem in drei Bereichen:

Bereichsübergreifende Zusammenarbeit

Facility- und Cybersecurity-Teams betrachten Phishing-Meldungen, den Missbrauch von Zugangsdaten, verdächtige Zugriffsanfragen und Abläufe mit externen Dienstleistern nicht als voneinander getrennte Vorfälle, sondern als miteinander verbundene Hinweise auf ein mögliches Sicherheitsrisiko. 

Rollenbasierte Awareness-Schulungen

Allgemeine Jahresschulungen reichen nicht aus. Eine Studie aus dem Jahr 2025 mit 93 Mitarbeitenden aus HR- und Buchhaltungsabteilungen in neun Organisationen zeigte, dass nur 27 % der Befragten der Meinung waren, die bisherigen Schulungen würden abteilungsspezifische Risiken ausreichend berücksichtigen. HR-Teams sind beispielsweise mit schädlichen Bewerbungen und der Nachahmung von Führungskräften konfrontiert. Buchhaltungsteams hingegen stehen besonders im Fokus von Rechnungsbetrug und Ransomware-Angriffen. Die Mitarbeitenden bevorzugten vierteljährliche, szenariobasierte Schulungsformate. Diese Präferenz spiegelt die tatsächliche Risikolage wider. 

Messbare Risikoreduzierung

Eine Langzeitstudie aus dem Jahr 2025 mit mehr als 1.300 Mitarbeitenden und über 13.000 Phishing-Simulationen ergab, dass unsichere Handlungen innerhalb von sechs Monaten von 8,5 % auf 4,2 % zurückgingen. Mitarbeitende, die auf eine Simulation hereinfielen und direkt im Anschluss eine Nachschulung erhielten, waren anschließend um 70 % weniger wahrscheinlich bereit, dasselbe unsichere Verhalten zu wiederholen. Security Awareness sollte daher wie jede andere Sicherheitskontrolle gesteuert werden: mit klaren Nachweisen dafür, dass das Risiko tatsächlich sinkt. 

Was es kostet, den Faktor Mensch zu schützen 

Was kostet es, von rein physischer Sicherheit zu physischer Sicherheit plus Anti-Phishing-Awareness überzugehen? 

Öffentlich gelistete Preise für 2025 bis 2026 auf dem Digital Marketplace der britischen Regierung zeigen, dass Security-Awareness- und Phishing-Simulationsdienste in Standardpaketen etwa 4,80 Euro bis 9,80 Euro pro Mitarbeiter und Jahr kosten. Umfangreichere Pakete liegen bei rund 28,50 Euro. 

Für ein Unternehmen mit 1.000 Mitarbeitenden bedeutet das normalerweise Kosten von 4.800 Euro bis 9.800 Euro im Jahr, um eine dauerhafte „menschliche Schutzebene“ zu ergänzen. 

Verglichen mit den Kosten für Zutrittskontrollsysteme, Videoüberwachung, Monitoring und Wartung handelt es sich hierbei nicht um ein neues Infrastrukturprojekt. Vielmehr ist es ein vergleichsweise überschaubarer laufender Aufwand, der dazu beiträgt, die Identitäten, Arbeitsabläufe und Entscheidungen zu schützen, auf denen Ihre bestehende Sicherheitsinvestition bereits heute beruht. 

Security Awareness ist die konsequente Ergänzung Ihrer Investition in physische Sicherheit

Viele Unternehmen betrachten Security Awareness als ein IT-Nebenthema – statt als logische Fortführung ihrer bestehenden Sicherheitsinvestitionen. Diese Sichtweise greift zu kurz. 

Wenn Sie bereits in die Kontrolle von Zutritten, die Überwachung von Bewegungen, den Schutz von Vermögenswerten und die Dokumentation investieren, wer was wann getan hat, dann haben Sie ein zentrales Sicherheitsprinzip längst verankert: Vertrauen muss aktiv gesteuert werden. 

Security Awareness überträgt genau dieses Prinzip auf menschliches Verhalten. Sie hilft Mitarbeitenden, Phishing, Social Engineering, Identitätsmissbrauch, schädliche Links, künstlich erzeugten Zeitdruck, Fallen zum Abgreifen von Zugangsdaten und den Missbrauch von Arbeitsabläufen frühzeitig zu erkennen – bevor daraus unbefugter Zugriff entsteht. 

Genau hier setzt Prime Security Awareness an. Es bildet die menschliche Kontrollschicht, die physische Sicherheitssysteme allein nicht leisten können. Prime Security Awareness ist kein zusätzliches Cyber-Tool, sondern die fehlende Ebene, die dafür sorgt, dass Ihre Investition in physische Sicherheit ihre volle Wirkung entfalten kann. 

Fazit

Moderne Unternehmen verlieren nicht erst dann die Kontrolle, wenn jemand durch ein Tor gelangt. Sie verlieren sie, wenn eine vertrauenswürdige Person, eine gültige Identität und ein vernetztes System nacheinander manipuliert werden. 

Physische Sicherheit schützt den Standort. Human Awareness schützt die Entscheidungen, die diesen Standort sicher halten. Unternehmen, die beides miteinander verbinden, erzielen mehr Nutzen aus jedem Lesegerät, jeder Kamera, jeder Zutrittsregel und jedem Dienstleisterprozess, den sie bereits verwalten. 

Mit vergleichsweise überschaubaren laufenden Kosten kann die menschliche Sicherheitsebene eine weitaus größere Investition in physische Sicherheit schützen. 

Erfahren Sie, wie Prime Security Awareness Ihre konvergente Sicherheitsstrategie sinnvoll ergänzt. 

Frequently Asked Questions

Warum ist Phishing ein Problem für die physische Sicherheit?

Phishing-Angriffe zielen auf die Menschen ab, die physische Sicherheitssysteme bedienen. Ein erfolgreicher Phishing-Versuch kann Angreifern Zugriff auf Zugangsdaten, Wartungsprozesse, Besucherdaten und auf die Kommunikation zu Dienstleistern verschaffen – und damit Zutrittskontrollen umgehen, ohne jemals eine Tür berühren zu müssen. 

Wie hängt NIS2 mit Security Awareness zusammen?

NIS2 verpflichtet Unternehmen in kritischen Sektoren dazu, angemessene technische und organisatorische Maßnahmen umzusetzen – dazu gehört auch die Sensibilisierung und Schulung von Mitarbeitenden. 
Einmal jährlich eine allgemeine Standardschulung durchzuführen, gilt zunehmend nicht mehr als ausreichend, um Compliance-Anforderungen zu erfüllen. Stattdessen werden immer häufiger rollenbasierte, messbare und regelmäßig durchgeführte Awareness-Programme erwartet. 

Welche Branchen sind besonders durch phishingbedingte Sicherheitsvorfälle mit physischen Auswirkungen gefährdet?

Laut dem ENISA Threat Landscape 2025 und dem IBM X-Force Threat Intelligence Index 2025 zählt die Fertigungsindustrie in europäischen Bedrohungsanalysen zu den am häufigsten und konstantesten angegriffenen Branchen. Grundsätzlich kann jedoch jede Organisation betroffen sein, die vernetzte physische Sicherheitssysteme mit cloudbasiertem Identitäts- und Zugriffsmanagement kombiniert.  

Andere Artikel

phishing awareness
| News

Von physischer Sicherheit zu Cyber Awareness 

Mehr lesen
Marlon Possard Featured
| News

Zur Zukunft intelligenter Gefahrenerkennung

Mehr lesen
Herbert Henninger Featured
| News

Österreich im Fokus: Primion verstärkt Engagement im österreichischen Markt

Mehr lesen
P1063540
| News

Fünf Erkenntnisse aus der ASIS Europe 2026 Keynote von Francis Cepero  

Mehr lesen
lynn Qn7dUULTZhs unsplash
| News

Jährliche Schulungen reichen für NIS-2 nicht aus – darauf achten Auditoren wirklich 

Mehr lesen
AdobeStock 1228365472
| News

Nur wenn Systeme unterstützen und nicht behindern können Menschen Bestleistungen erreichen

Mehr lesen
1 2 3