Wenn der Moment kommt: „Ich bin drauf reingefallen.“
Ein Klick, ein Login, ein Anhang – und plötzlich wird klar: Das war keine echte E‑Mail. Für viele Mitarbeitende fühlt sich dieser Moment an wie ein innerer Alarm. Nicht nur, weil ein Sicherheitsvorfall passiert ist, sondern weil sofort eine zweite Sorge auftaucht: Was passiert jetzt mit mir?
Phishing ist so erfolgreich, weil es menschliche Muster ausnutzt: Zeitdruck, Hilfsbereitschaft, Routine, Autoritätsgläubigkeit. Trotzdem erleben Betroffene den Vorfall oft als persönliches Versagen. Genau hier entscheidet sich, ob ein Unternehmen schnell reagieren kann – oder ob aus einem „Beinahe-Unfall“ ein echter Schaden wird.
Typische Gefühle und Gedankengänge nach einem Phishing-Vorfall
1) Schock und Ungläubigkeit
Viele Betroffene brauchen Sekunden bis Minuten, um zu realisieren, was passiert ist. Häufige Gedanken:
- „Das sah doch echt aus…“
- „So etwas passiert doch nur anderen.“
- „Vielleicht ist es doch legitim?“
Diese Phase ist gefährlich, weil sie zu Verzögerung führt. Mitarbeitende hoffen, es sei „nicht so schlimm“.
2) Scham und Selbstvorwürfe
Scham ist einer der stärksten Gründe, warum Vorfälle nicht gemeldet werden.
- „Wie konnte ich so dumm sein?“
- „Ich arbeite doch in einem professionellen Umfeld.“
- „Jetzt denken alle, ich bin inkompetent.“
Gerade leistungsorientierte Personen oder Mitarbeitende mit hoher Verantwortung empfinden den Fehler als Angriff auf ihr Selbstbild.
3) Angst vor Konsequenzen
Sobald klar wird, dass ein Fehler passiert ist, setzt oft ein inneres „Kopfkino“ ein:
- Angst vor Abmahnung oder Kündigung
- Angst vor Bloßstellung im Team
- Angst, als Sicherheitsrisiko abgestempelt zu werden
- Angst vor finanziellen Folgen („Habe ich dem Unternehmen geschadet?“)
Wenn in der Vergangenheit Schuldige gesucht wurden, verstärkt sich diese Angst massiv.
4) Stress, Panik und Kontrollverlust
Betroffene erleben häufig körperliche Stressreaktionen: Herzklopfen, Unruhe, Schlafprobleme. Dazu kommt das Gefühl, die Kontrolle verloren zu haben:
- „Haben die jetzt Zugriff auf alles?“
- „Was, wenn Kunden betroffen sind?“
- „Was, wenn ich noch mehr falsch mache?“
5) Verdrängung und Hoffnung auf „unsichtbares“ Vorbeigehen
Ein sehr menschlicher Schutzmechanismus ist Verdrängung:
- „Wenn ich nichts sage, merkt es vielleicht niemand.“
- „Vielleicht passiert ja gar nichts.“
Das ist nachvollziehbar – aber genau das macht aus einem Vorfall ein Unternehmensrisiko.
Warum Mitarbeitende Vorfälle nicht melden – und warum das kein Charakterfehler ist
Nichtmelden ist selten „Böswilligkeit“. Häufig sind es Systemsignale:
- Unklare Prozesse: „Wem melde ich das überhaupt?“
- Hohe Hürden: komplizierte Formulare, lange Wege, fehlende Erreichbarkeit
- Kultur der Schuld: Fokus auf „Wer war’s?“ statt „Was lernen wir?“
- Fehlende psychologische Sicherheit: Angst, sich angreifbar zu machen
- Schlechte Erfahrungen: Vorfälle wurden früher lächerlich gemacht oder sanktioniert
Wenn ein Unternehmen Meldungen unbewusst bestraft (z. B. mit Spott, Druck oder unnötiger Eskalation), wird es künftig weniger Meldungen bekommen – nicht weniger Vorfälle.
Warum es für Arbeitgeber entscheidend ist, Angst aus dem Meldeprozess zu nehmen
1) Zeit ist der wichtigste Faktor in der Incident Response
Bei Phishing zählt jede Minute. Frühe Meldung ermöglicht:
- Passwort-Reset und Session-Invalidierung
- Sperren kompromittierter Konten
- Rücknahme von E-Mail-Weiterleitungen oder Regeln
- Isolieren betroffener Geräte
- Warnen anderer Mitarbeitender vor derselben Kampagne
Je später die Meldung, desto größer die Chance, dass Angreifer weitere Konten übernehmen, Daten exfiltrieren oder interne Kommunikation ausnutzen (Business Email Compromise).
2) Eine angstfreie Meldekultur erhöht die reale Sicherheit
Sicherheit ist nicht nur Technik – sie ist Verhalten. Mitarbeitende sind Sensoren. Wenn sie sich trauen zu melden, wird das Unternehmen schneller und besser.
3) Vertrauen schützt Reputation
Wenn Mitarbeitende Angst haben, wird vertuscht. Vertuschung führt zu späteren, größeren Schäden und chaotischer Kommunikation. Eine offene Kultur macht proaktives Handeln wahrscheinlicher.
Welche Probleme entstehen bei Nichtmeldung?
- Ausweitung des Angriffs (Lateral Movement): Nutzung für interne Phishing-Angriffe oder Admin-Attacken.
- Datenabfluss und Compliance-Risiken: Betreffen personenbezogene Daten, Verträge oder Strategiepapiere.
- Finanzielle Schäden: Zahlungsbetrug, Kosten für Forensik und Produktivitätsverlust.
- Vertrauensverlust im Team: Spannungen entstehen, wenn Vorfälle später ans Licht kommen.
- Lernchance geht verloren: Ohne Meldung bleibt das Unternehmen blind für Prozesslücken.
Was Arbeitgeber konkret tun können
1) Klare Botschaft: „Melden ist richtig – immer.“
Kommunikation muss eindeutig sein: „Wir suchen keine Schuldigen, wir stoppen den Angriff.“
2) Niedrigschwellige Meldewege
Ein guter Prozess ist schnell (1–2 Minuten), einfach (Button/Hotline) und bietet klare Rückmeldung.
3) Psychologische Sicherheit durch Führung
Führungskräfte sollten sachlich reagieren, Meldungen anerkennen und auf Bloßstellung verzichten.
4) Training, das Realität abbildet
Schulungen sollten typische Muster zeigen, Entscheidungsdruck simulieren und klare Handlungsanweisungen geben.
5) Nach dem Vorfall: Betreuung statt Verhör
Der Mitarbeitende braucht Orientierung: Was ist passiert? Was wird jetzt getan? Was sind die nächsten Schritte?
Fazit
Phishing trifft nicht nur Systeme – es trifft Menschen. Nach einem Vorfall entstehen Scham, Angst und Stress, die Mitarbeitende zum Schweigen bringen können. Genau deshalb ist es Aufgabe des Arbeitgebers, eine Kultur zu schaffen, in der Melden sicher ist: emotional, organisatorisch und prozessual.
Wer Mitarbeitenden signalisiert „Du bist nicht das Problem – du bist Teil der Lösung“, gewinnt das wichtigste Sicherheitsinstrument überhaupt: schnelle, ehrliche Information.
dotCLOUD – Sicherheit durch Kultur
Wir unterstützen Schweizer Unternehmen dabei, technische Security mit einer starken Meldekultur zu vereinen. Lassen Sie uns gemeinsam Ihre Incident Response stärken.