Wenn Muhammed Güleryüz am 5. Februar in Stuttgart auf der KOMI-Zukunftswerkstatt um 11.30 Uhr seine Keynote hält, geht es vordergründig um Phishing und Social Engineering – tatsächlich aber um eine der zentralen Knappheiten moderner Organisationen: Aufmerksamkeit. Wer in E-Mail- und Microsoft-365-Prozessen arbeitet, produziert Wertschöpfung im Takt eingehender Nachrichten. Genau dort setzt der Angreifer an: nicht am Rand, sondern am Nervensystem der Firma.
Güleryüz (Hornetsecurity) kommt aus der Awareness-Praxis eines Forschung-und-Produkt-Kontexts (IT-Seal, später übernommen). Seine These: Die Tricks sind alt – die Erfolgsbedingungen sind neu. Und wer das Problem weiterhin als „Mitarbeitende müssen besser aufpassen“ formuliert, wird ökonomisch verlieren.
Die perfekte E-Mail ist billig geworden
Das Grundmissverständnis vieler Awareness-Programme lautet: Man könne Phishing „wegschulen“. Als hätte die Organisation es mit Unwissen zu tun. In Wahrheit hat sie es mit einem Kostensturz auf der Gegenseite zu tun. Wo früher Grammatikfehler, falsche Logos und holprige Übersetzungen als Warnsignal dienten, steht heute die „hochprofessionelle“ Nachricht, in Fachjargon, mit passendem Disclaimer, mit plausibler Dramaturgie. Der Angreifer kauft sich Stil, Tempo und Skalierung.
Die Folge ist ein schleichender Systemfehler: Unternehmen trainieren oft auf Erkennungsmerkmale, die in der Realität verschwinden. Das ist, als würde man Autofahrer auf Kopfsteinpflaster drillen – während die Unfälle auf der Autobahn passieren.
Vom CEO zur Gehaltsabrechnung: Der Angriff rutscht in die Fläche
Ein zweites Missverständnis ist die Hierarchie-Fixierung. Viele Programme sind historisch auf das C-Level-Narrativ geeicht: CEO-Fraud, „Chef schreibt dringend“. Güleryüz setzt dagegen einen Perspektivwechsel: Identitätsmissbrauch findet längst „von jedem x-beliebigen Mitarbeiter“ aus statt – und zielt auf Prozesse, die routiniert und unter Zeitdruck laufen.
Das Muster ist betriebswirtschaftlich naheliegend. Wer Liquidität abgreifen will, greift nicht zwingend den Vorstand an, sondern die Stelle, die Überweisungen und Stammdaten pflegt: HR, Payroll, Finance. Eine vermeintliche Bankdatenänderung für Gehaltszahlungen ist kein spektakulärer Coup, sondern die perfekte Alltagsverkleidung.
Hinzu kommen neue Angriffsvektoren, die sich in die Prozesslogik fressen: Supply-Chain-Angriffe über bestehende Antwortverläufe, kompromittierte Postfächer, Man-in-the-Middle-Varianten – und auch jene „harmlosen“ Erstkontakte, die mehrere Mails lang nur Vertrauen aufbauen, bevor der Link kommt. Social Engineering ist damit weniger Einzelereignis als Beziehungspflege im Zeitraffer.
Das Awareness-Paradox: Mehr Training, weniger Wirkung
In vielen Unternehmen ist die intuitive Reaktion auf professionelleres Phishing: mehr Schulung, mehr Module, mehr Pflichtminuten. Genau das beschreibt Güleryüz als „Awareness-Paradox“: Intensiveres Training kollidiert mit Arbeitsrealität. Mitarbeitende fühlen sich „zugespammt“, die Akzeptanz sinkt, die Beteiligungsquote bricht ein. Das Resultat ist nicht höhere Sicherheit, sondern „Security Fatigue“ – eine Ermüdung, die wie jeder Organisationsverschleiß teuer ist: in verlorener Aufmerksamkeit, in Zynismus, in sinkender Meldedisziplin.
Ökonomisch ist das logisch: Aufmerksamkeit ist ein knappes Gut. Wer sie überzieht, erzeugt Reaktanz – und damit genau das Verhalten, das Angreifer brauchen: schnelle Klicks, wenig Nachdenken, keine Rückfrage.
Die drei klassischen Konstruktionsfehler
Aus dieser Diagnose lassen sich drei typische Programmfehler ableiten, die in der Praxis erstaunlich stabil sind.
Erstens: One-size-fits-all. Einheitstrainings behandeln unterschiedliche Rollen, Risiken und Arbeitsrhythmen gleich. Das ist bequem – und wirkungsschwach. Wenn Angriffe personalisiert sind, muss Lernen zumindest teilweise personalisiert sein.
Zweitens: falsche Kennzahlen. Wer Erfolg an der Klickrate festmacht, misst häufig das Falsche: Ein Klick ist nicht gleich ein Schaden. Ob jemand nur neugierig war oder Zugangsdaten eingibt, Anhänge ausführt, Makros aktiviert – das sind völlig unterschiedliche Risikostufen. Ohne differenzierte Messung bleibt Awareness ein Ritual, kein Steuerungsinstrument.
Drittens: didaktische Entkopplung. Lange E-Learnings fern vom Ereignis sind pädagogisch sauber, aber verhaltenspsychologisch schwach. Menschen lernen sicherheitsrelevantes Verhalten nicht primär durch Belehrung, sondern durch Rückkopplung im Kontext.
Vom Wissen zum Verhalten: Was Organisationen konkret ändern müssen
Güleryüz’ Gegenmodell lässt sich als Organisationsdesign in fünf Prinzipien übersetzen.
1. Minimale Reibung, maximale Relevanz.
Sein Leitmotiv lautet: „so viel wie nötig, so wenig wie möglich“. Das ist kein pädagogischer Minimalismus, sondern ein Akzeptanz- und Produktivitätskalkül.
2. Simulation als Alltagsschnittstelle.
Wenn E-Mail das Einfallstor ist, muss Training dort stattfinden, wo die Entscheidung fällt: im Postfach. Phishing-Simulationen lassen sich in den Arbeitsfluss integrieren – vorausgesetzt, sie sind dosiert, rollenbezogen und nicht als Strafaktion inszeniert.
3. Automatisierung statt Kampagnenhandwerk.
Der Angreifer braucht Sekunden; die Verteidigung darf nicht an manueller Kampagnenplanung scheitern. Skalierbarkeit ist keine Komfortfunktion, sondern eine strukturelle Notwendigkeit.
4. Schwierigkeitsstufen und individuelle Lernpfade.
Nicht jeder startet bei Spearphishing. Ein stufenweiser Ansatz – von einfachen, bekannten Mustern bis zu abteilungsspezifischen Szenarien – erhöht Lernwirksamkeit und senkt Überforderung. Das Ziel ist nicht, alle sofort zu Experten zu machen, sondern systematisch das Risikoniveau zu senken.
5. Der „teachable moment“ als didaktisches Zentrum.
Wenn jemand auf eine Simulation hereinfällt, öffnet sich unmittelbar eine kurze Aufklärung – der Moment, in dem der Fehler passiert, ist der Moment, in dem Verhalten formbar ist. Statt 40 Minuten Pflichtkurs: zwei bis zehn Minuten, präzise, kontextbezogen.
Diese Logik verschiebt Awareness von der Wissensabfrage zur Verhaltensarchitektur. Sie fragt nicht: „Hast du verstanden?“ – sondern: „Was tust du unter Druck, im echten Prozess, mit echter Ablenkung?“
Warum das Thema zum Geschäftsmodell wurde
Dass Hornetsecurity diese Argumentation prominent platziert, ist auch marktlogisch. Das Unternehmen, 2007 in Hannover gegründet und international über ein starkes MSP- und Channel-Netzwerk gewachsen, positioniert sich als Plattformanbieter für Microsoft-365-Sicherheit: E-Mail-Security, Backup & Recovery, Compliance- und Governance-Funktionen sowie Awareness-Trainings. Der gemeinsame Nenner ist nicht Feature-Vielfalt, sondern Komplexitätsreduktion: eine Oberfläche, ein Betriebsmodell, automatisierbare Routinen.
Für den Mittelstand ist das mehr als Bequemlichkeit. Es ist ein Kapazitätsersatz: Wo Fachkräfte fehlen, muss Sicherheit einfacher zu betreiben, schneller zu messen und leichter zu skalieren sein. Genau dort liegt die wirtschaftliche Pointe der Keynote: Awareness ist kein „Soft Topic“ – sie ist ein Produktivitäts- und Risikofaktor, der sich wie jede Investition nur dann rechtfertigt, wenn er messbar wirkt.
Was in Stuttgart am 5. Februar in der Zukunftswerkstatt diskutiert wird
Die eigentliche Frage hinter „Weshalb wir immer noch hereinfallen“ lautet: Wie viel Sicherheitsleistung darf eine Organisation realistisch vom Individuum erwarten – und wie viel muss sie als System bereitstellen? Güleryüz’ Antwort läuft auf eine nüchterne Arbeitsteilung hinaus: Technik filtert die Masse, Prozesse senken die Fehlerkosten, Training formt Verhalten dort, wo es entsteht.
Zehn Jahre Awareness haben Phishing nicht beendet, weil sie häufig das falsche Problem adressierten: Wissen statt Verhalten, Kampagne statt System, Moral statt Messung. Wer daraus Konsequenzen zieht, bekommt keinen perfekten Menschen – aber eine Organisation, die mit Fehlern rechnen kann, ohne an ihnen zu zerbrechen. Das ist, am Ende, die ökonomische Definition von Resilienz.
