Es gibt eine kognitive Verzerrung, zu der wir Menschen besonders neigen, und sie steht im Mittelpunkt einiger Herausforderungen, denen sich Cybersicherheitsexperten tagtäglich stellen müssen. Sie ist als Normalitätsverzerrung bekannt – was Dr. Lauren Braithwaite als „unsere Tendenz, die Wahrscheinlichkeit einer Katastrophe zu unterschätzen und zu glauben, dass das Leben auch angesichts erheblicher Bedrohungen oder Krisen wie gewohnt weitergehen wird“ definiert. Deshalb zögern Menschen, wenn Feueralarme losgehen oder reagieren in anderen sich entwickelnden Situationen erst verspätet, weil die Lage noch beherrschbar erscheint.

Da diese Verzerrung dazu führen kann, dass wir Vertrautheit mit Sicherheit und Annahmen mit Beweisen verwechseln, steht sie der Auseinandersetzung mit der Realität der Cybersicherheit zunehmend im Weg. Sie führt dazu, dass Menschen die Wahrscheinlichkeit eines Cyberangriffs unterschätzen oder das Fehlen offensichtlicher Probleme oder Folgen als Beweis dafür interpretieren, dass die Risiken unter Kontrolle sind. In der Praxis werten viele Unternehmen das Fehlen eindeutiger Warnmeldungen ihrer gewählten Schutzplattform(en) als Beweis dafür, dass alles in bester Ordnung ist. Andere reagieren nicht schnell genug auf Warnsignale, weil sie davon ausgehen, dass der Geschäftsbetrieb einfach wie gewohnt weiterläuft.

Trotz der ständigen Berichte über Sicherheitsverletzungen bei Unternehmen wie bei M&S, JLR und Co-op, von denen viele weitere Vorfälle gar nicht erst öffentlich werden, nimmt die Zahl schwerwiegender Cyberangriffe weiter zu. Das geschieht, obwohl Cybersicherheitsanbieter und staatliche Stellen regelmäßig Empfehlungen veröffentlichen, wie sich Unternehmen besser vor Angriffen schützen können.

Der NCSC-Jahresbericht 2025 verzeichnete in den zwölf Monaten bis August 2025 204 „national bedeutsame“ Cyberangriffe, was einem Anstieg von 130 % gegenüber den 89 gemeldeten Vorfällen im Vorjahr entspricht. Von insgesamt 429 Vorfällen wurden 18 als „äußerst schwerwiegend“ eingestuft, was einen Anstieg der schweren Vorfälle um 50 % bedeutet. Die Zahl der Sicherheitsverletzungen bleibt hartnäckig hoch, was möglicherweise auf eine schleichende Normalisierung des Risikos von Sicherheitsverletzungen hindeutet und als „Normalitätsbias“ in großem Maßstab angesehen werden kann: Je häufiger Sicherheitsverletzungen bekannt werden, desto weniger Dringlichkeit wird jedem einzelnen Fall beigemessen.

Waren die Lehren gezogen?

Es gibt einen Satz, den Regierungen und Unternehmen gleichermaßen gerne verwenden, wenn sich eine Katastrophe jeglicher Art – einschließlich eines Cybersicherheitsvorfalls – ereignet: „Es wurden Lehren gezogen“.

Aber ist das wirklich so? Der Anstieg der schwerwiegenden Vorfälle um 130 % zwischen 2024 und 2025 stellt diese Behauptung ernsthaft in Frage und deutet darauf hin, dass auf Makroebene keine Lehren gezogen wurden. Das scheint ein klares „Nein“ zu sein!

Letztes Jahr habe ich einen Blogbeitrag verfasst, der den psychologischen Zustand nach einem Sicherheitsvorfall teilweise erklären könnte. Ich argumentierte, dass viele Unternehmen in gewisser Weise gleichzeitig sowohl angegriffen als auch nicht angegriffen sind, und verglich diese Situation mit Schrödingers Katze. Solange man die Kiste nicht öffnet, indem man Protokolle auswertet oder aktiv nach einer Kompromittierung sucht, spiegelt die beruhigende Gewissheit „Wir wurden nicht angegriffen“ lediglich die Tatsache wider, dass noch niemand nachgesehen hat. Tatsächlich könnte diese Zurückhaltung beim Nachsehen auch ein Zeichen dafür sein, dass der Normalitätsbias still und leise seine Wirkung entfaltet.

„Wir haben unsere Lehren gezogen“ ist das Ergebnis davon, die Kiste zu öffnen, festzustellen, dass die Katze (leider) tot ist, und dann zu erklären:„Wir wissen, was passiert ist, wir haben das im Griff, macht euch keine Sorgen.“ Das ist eine Erzählung, kein Beweis für eine sinnvolle Änderung der Vorgehensweise.

Im Gegensatz dazu ist echtes Lernen ein proaktiver Prozess, der das Verhalten von Organisationen verändert. Dies sollte sich in Änderungen bei Budgets, Richtlinien, Regeln, Notfallplänen, der Überprüfung von Lieferanten, der Protokollierung, der Überwachung, der Schulung und der Fehlertoleranz widerspiegeln, um nur einige Punkte zu nennen. Und all dies sollte geschehen, bevor der unvermeidliche Sicherheitsverstoß eintritt. Schließlich ist es viel schwieriger, ein sich bewegendes Ziel zu treffen.

Wenn wir also akzeptieren können, dass die Normalitätsverzerrung ein weit verbreiteter und menschlicher kognitiver Zustand ist, können wir Fortschritte dabei erzielen, Selbstzufriedenheit vor einer Sicherheitsverletzung zu vermeiden und deren Auswirkungen zu minimieren. „Irren ist menschlich“, aber da wir nun wissen, worin das Versagen besteht, sind wir verpflichtet, auf dieses Wissen zu reagieren – und die Dinge anders anzugehen.

Endspiel: Was, wenn wir diese Verzerrung immer noch nicht erkennen?

Die kriminellen „Prüfer“ setzen auf menschliches Versagen. Schließlich ist das der Grund, warum Phishing nach wie vor eine der häufigsten Ursachen für Sicherheitsverletzungen ist.

Es gibt zwei Hauptszenarien, wie sich das Endspiel in der Cybersicherheit abspielen kann.

Entweder prüfen wir uns regelmäßig selbst – führen Penetrationstests, Red-/Blue-/Purple-Team-Übungen und andere Angriffssimulationen durch, bewerten die Bedrohungslage regelmäßig neu und investieren im Rahmen unserer Cyber-Resilienz-Strategie in unsere Sicherheitsvorkehrungen.

Oder wir lassen Cyberkriminelle das „Audit“ für uns durchführen. Sie setzen auf ein falsches Sicherheitsgefühl (im wahrsten Sinne des Wortes), und genau diese Schwachstelle nutzen sie aus.

Wenn Kriminelle Sie „prüfen“, kann das brutal, kostspielig, verheerend und in vielen Fällen für Unternehmen verhängnisvoll sein. Deshalb ist diese Metapher so wichtig – Cyberkriminelle decken die Kluft zwischen dem, was ein Unternehmen über seine Sicherheit glaubt, und der Realität auf.

Um die Dinge ins rechte Licht zu rücken: Die Threat-Intelligence-Abteilung von ESET verarbeitet täglich 750.000 verdächtige Proben, analysiert 2,5 Milliarden URLs und blockiert dabei 500.000 davon. Angreifer sind unerbittlich, und da ihre Angriffe immer raffinierter werden, müssen wir jeden Gedanken daran aufgeben, dass wir unantastbar sind. Wir müssen akzeptieren, dass es eine Normalitätsverzerrung gibt und entsprechend handeln.

Angesichts einer Reihe von vielbeachteten Datenschutzverletzungen im britischen Einzelhandel führte ESET eine Umfrage unter 2.000 Verbrauchern durch. Der daraus resultierende Bericht zeigte unter anderem, dass 46 % der Käufer angaben, es würde mehr als fünf Monate dauern, bis sie nach einer Datenschutzverletzung wieder Vertrauen aufbauen könnten. Das ist ein kostspieliges Audit! Man muss nur eine einfache Rechnung anstellen, um den direkten finanziellen Schaden abzuschätzen, wenn das alles ist, was die Geschäftsleitung interessiert. Das allein sollte schon ausreichen, obwohl dies oft nur die Spitze eines sehr schmerzhaften Eisbergs ist.

Das Fazit

Ein Aspekt des Normalitätsbias, den ich besonders faszinierend finde, ist, dass unser Ansatz bei Strategien zur Cyber-Resilienz oft in der Vergangenheit verwurzelt bleibt – selbst wenn es sich um eine relativ junge Vergangenheit handelt –, obwohl wir uns alle der zunehmenden Raffinesse, Geschwindigkeit, des Umfangs und der Vielfalt der Angriffsvektoren bewusst sind. Doch in der Cybersicherheit vergeht die Zeit schnell, und in den vier oder fünf Minuten, die Sie zum Lesen dieses Artikels gebraucht haben, wird ESET bereits über 2.000 verdächtige Samples verarbeitet und ca. 7 Millionen URLs gescannt haben, von denen etwa 1.500 blockiert wurden.

Wenn wir uns fragen, warum wir die Bereitstellung von Cybersicherheitsdiensten überprüfen sollten, berücksichtigen wir dann alle Parameter, die sich in den letzten Jahren (sowohl global als auch lokal) verändert haben, und wie sich dies auf unsere aktuelle Sicherheitslage auswirken könnte?

Spontan fallen Ihnen wahrscheinlich zumindest einige davon ein:

  • Zunahme von KI-gestütztem Betrug und anderen Bedrohungen.
  • Der Krieg in der Ukraine.
  • Der Iran.
  • Weltweit steigende Kosten durch Cyberkriminalität.
  • Deepfakes.
  • Zunahme von Social-Engineering-Angriffen.
  • Phishing bleibt weiterhin der wichtigste Angriffsvektor.
  • Zunehmende Komplexität von Cybersicherheitslösungen und -diensten.
  • Die Qualifikationslücken im Bereich Cybersicherheit sind nach wie vor besorgniserregend groß.

Es gibt zweifellos noch viele weitere. Und es ist kein Zufall, dass das Schutzniveau, das Anbieter noch vor wenigen Jahren geboten haben, allmählich ausläuft und MDR-/XDR-/MXDR-Dienste und -Lösungen zur Norm werden.

Die kriminellen „Prüfer“ haben sich in dieser Zeit sicherlich nicht auf ihren Lorbeeren ausgeruht. Der Einsatz neuer Werkzeuge wie KI bedeutet zwar nicht zwangsläufig besseres Programmieren , ermöglicht es ihnen jedoch, Angriffe massiv auszuweiten – und Schwachstellen in beispiellosem Tempo zu scannen.

  • Wenn Sie nicht in Audits, Tests, Cyber-Sensibilisierung und Präventionstechnologien investieren, sparen Sie kein Geld – Sie lagern die Sicherheit lediglich an die Kriminellen aus.
  • Die Führungskräfte beschäftigen sich am intensivsten mit Cybersicherheit unmittelbar nach einem kostspieligen Sicherheitsvorfall – nachdem die Normalität bereits zerschlagen ist. Bringen Sie sie dazu, sich früher damit zu befassen.
  • Kriminelle arbeiten rund um die Uhr, 24 Stunden am Tag, unterstützt von agentenbasierter KI. Sind Ihre Lösungen widerstandsfähig genug, um damit fertig zu werden? Überprüfen Sie das.
  • Unabhängig von der Größe Ihres Unternehmens müssen Sie Ihr Cyberprofil und Ihre Widerstandsfähigkeit ständig im Blick behalten.
  • Verwechseln Sie die (vorübergehende) Ruhe nach einem Vorfall nicht mit Sicherheit – investieren Sie in 24/7 -MDR-/MXDR-Dienste.
  • Jetzt kennen Sie die Falle des „Normalitätsbias“ – vermeiden Sie sie.