DATEV-Datenpanne, Copilot fällt auf Phishing rein, und das Louvre-Passwort war "Louvre". Wie wir im Mittelstand damit umgehen.
Letzte Woche, fünf Mails im Posteingang. Eigentlich überschaubar. Doch dann poppt eine Copilot Benachrichtung auf und bietet mir an, meinen Posteingang zusammenzufassen.
Microsoft hatte das Feature schon vor zwei Jahren in einer Keynote groß angekündigt: Nach längerer Abwesenheit sollte die KI dir sagen, worauf du dich in deinem Postfach konzentrieren sollst.
Das Feature wurde in der Form nie richtig released. Jetzt gibt es aber einfach einen Prompt für Copilot, den Du nutzen kannst.
Copilot analysiert also meine Mails und verwurschtelt nicht nur die fünf im Posteingang, sondern zusätzlich noch zehn andere, die ich längst bearbeitet hatte. Erster Frustfaktor.
Aber dann kam das Glorreiche: Wir testen unsere Cyber-Sicherheit regelmäßig mit zufällig erstellten Phishing-Mails.
Copilot war dann der Meinung, dass ausgerechnet so eine Phishing-Mail die wir intern verschickt hatten, die WICHTIGSTE Mail ist. "Keine Zeit verlieren, dringend kümmern, da könnte potenziell Geld verloren gehen!" Ich musste lachen.
Die KI, die mir helfen soll, effizienter zu arbeiten, empfiehlt mir, auf Phishing reinzufallen. Willkommen in 2026.
Wie wir im Mittelstand damit umgehen und welche konkreten Wege es gibt das Team zu schützen und zu sensibilisieren schauen wir uns heute an.
Letzte Woche kam bei mir eine E-Mail von Personio rein, die mich aufhorchen ließ. DATEV hatte einen Datenschutz Vorfall.
DATEV wirst Du vermutlich kennen. 90 Prozent Marktanteil, 14,5 Millionen Lohnabrechnungen pro Monat. Wenn dort etwas schief geht, betrifft das hunderttausende Firmen.
Also was ist passiert? Am 8. Januar begann eine technische Störung im LODAS-System für Lohn- und Gehaltsabrechnung.
Zunächst harmlos: Probeabrechnungen kamen nicht zurück. DATEV versuchte, den Rückstau zu beheben, und dann passierte der fatale Fehler.
Beim Neustart des Systems gerieten die Mandanten-Zuordnungen durcheinander. Die Folge: Unternehmen A bekam plötzlich die Gehaltsabrechnungen von Mandanten des Unternehmens B.
Dabei reden wir nicht von harmlosen Metadaten. Wir reden von hochsensiblen Informationen: Namen, Gehälter, Sozialversicherungsnummern, Bankverbindungen.
Da staunte so manche Lohnbuchhaltung nicht schlecht, als plötzlich Gehaltsdaten von völlig fremden Mitarbeitern auftauchten.
Was als simple technische Störung begann, wurde innerhalb von 48 Stunden zu einer handfesten Datenschutzpanne.
Hintergrund: Menschliches Versagen. Bei einem der größten und professionellsten IT-Dienstleister Deutschlands.
Und wenn selbst DATEV mit all ihren Ressourcen und Sicherheitsmaßnahmen solche Pannen erleben kann, dann zeigt das, wie komplex und anfällig moderne IT-Systeme sind.
Aber im Falle DATEV war es wenigstens ein menschliches Versehen. Doch da draußen gibt es Bedrohungen, die gezielt passieren. Und die werden durch KI immer raffinierter.
Früher war Phishing einfach zu erkennen: Kaputte Umlaute, seltsame Absender, holpriges Deutsch. Heute sind die Versuche dank KI nahezu perfekt. Keine Rechtschreibfehler, personalisiert, professionell.
Voice-Cloning für Telefon-Phishing, Reply-Chain-Attacks mit fingierten Rechnungen von Absendern, denen du vertraust. Wir haben das alles im Kundenumfeld schon gehabt.
Und gefühlt jeder hat schon einmal so eine Nachricht bekommen: "Hallo Mama, mein Handy ist ins Klo gefallen, das ist meine neue Nummer." Ich schmunzle da drüber, aber irgendeiner scheint ja darauf reinzufallen.
Und dann gibt es die Klassiker: 2025 wurde ins Louvre eingebrochen. Und die Einbrecher hatten es einfach, denn das Passwort der Videoüberwachung war "Louvre".
Ein Museum mit Milliarden-Kunstschätzen, und das Passwort ist der Name des Gebäudes... Sehr einfallsreich und sicher.
Auf der einen Seite haben wir menschliche Fehler wie bei DATEV, auf der anderen Seite Angreifer, die durch KI und neuster Technik immer raffinierter werden.
Die EU reagiert mit der NIS-2 Richtlinie (Network and Information Security Directive 2). Diese Richtlinie soll für die Netzwerk- und Informationssicherheit in Unternehmen dienen.
Auch wenn es scheinbar wieder neue Bürokratische Mittel sind, finde ich NIS-2 super sinnvoll, denn da stehen genau die Sachen drin, an denen wir mit unseren Kunden schon lange arbeiten: Zwei-Faktor-Authentifizierung, Backup-Management, Zugriffskontrolle, Mitarbeitersensibilisierung.
Wer sich also an die Richtlinien hält, hat ein gutes Standing im Bereich der operativen Sicherheit.
Seit dem 6. Dezember 2025 ist sie in Deutschland offiziell in Kraft getreten. Und schätzungsweise 30.000 Unternehmen sind von den Richtlinien betroffen.
Wenn Du wissen möchtest, ob Dein Unternehmen betroffen ist, kannst Du das hier prüfen: Betroffenheitsprüfung des BSI.
Schlechte Passwörter wie beim Louvre Vorfall sind eines der größten Sicherheitsrisikos für Unternehmen. Auch Phishing wird durch KI immer raffinierter.
Deswegen fordert NIS-2 unter anderem die Nutzung von Zwei-Faktor-Authentifizierung. In der Praxis stößt das im Mittelstand aber schnell an Grenzen.
Der klassische Zwei-Faktor Code per E-Mail gilt heute auch schon eher als unsicher, weil genau dieses Postfach oft selbst das erste Angriffsziel ist.
Also wie setzen wir das im Mittelstand praktisch um, wenn die Hälfte der Belegschaft kein Firmenhandy hat und auch keine App auf dem Privathandy installieren will?
Wir haben eine Lösung für genau dieses Thema. Ein Hardware-Token. Konkret YubiKey, ein FIDO2-Token.
Sieht aus wie ein kleiner USB-Stick, ist aber rein für die Authentifizierung gedacht. Du steckst ihn in deinen Rechner, berührst den Goldkontakt, fertig.
Das Schöne daran: Der YubiKey ist PIN-geschützt. Wenn ihn also jemand klauen sollte, kann die Person trotzdem nichts damit anfangen.
Zusätzlich ist der Key phishing-resistent, die Authentifizierung funktioniert nur, wenn die Sitzung wirklich auf deinem Rechner aufgebaut wird.
Das erfüllt die NIS-2-Anforderungen. Und hätte zum Beispiel das Louvre so etwas eingesetzt, wäre selbst das schlechte Passwort "Louvre" ziemlich sicher gewesen.
Sogar vor drei Jahren hab ich darüber schon einmal auf meinem YouTube Kanal Cloud Ping Pong berichtet. Wenn Dich das Thema interessiert, kannst Du es Dir hier anschauen: Hardware Token für Mehrfaktor-Authentifizierung in Azure und Microsoft 365 nutzen
Ein YubiKey kostet je nach Modell ca. 50 Euro pro Stück und muss nur einmalig eingerichtet werden. Wir setzen das bei uns selbst und einigen unserer Kunden ein, völlig unabhängig davon, ob der Betrieb 5 Mitarbeiter hat oder ein 300-Köpfe-Unternehmen ist.
Und falls Du dich fragst, ob das nicht lästig ist, dauerhaft diesen Key dabei haben zu müssen. Ich persönlich besitze zwei Keys. Einen trage ich wie ein Haustürschlüssel immer am Schlüsselbund bei mir. Und den zweiten habe ich abgeschlossen im Büro liegen.
Für Deine Mitarbeiter ist es dann ähnlich wie mit einem Eingangchip – jeder ist für ihn verantwortlich und trägt ihn bei sich.
Hardware-Token sind eine Maßnahme, aber Security ist und bleibt vor allem ein menschliches Thema. Deswegen haben wir bei vielen unserer Kunden Phishing-Simulationen implementiert.
Das bedeutet, dass automatisiert, rund ums Jahr, jede Woche einmal zu einem zufälligen Zeitpunkt eine Phishing-Mail an die Belegschaft geht.
Mal ist es eine simulierte Allianz-Versicherung, mal ein eingescanntes PDF vom Dokumentenscanner, mal was völlig anderes. Wenn jemand klickt, passiert nichts Schlimmes, aber der Vorfall wird gespeichert.
Die Person wird dann automatisch einer möglichen Schulung zugewiesen. On-Demand, keine klassische Belehrung, sondern Sensibilisierung.
Wenn du als Anwender so eine Mail bekommst, dann irgendwas klickst und auf dem Rechner in ungefähr steht: "Naja, wenn das jetzt echt gewesen wäre, wäre es jetzt blöd gelaufen", dann regt das zur Selbstreflexion an.
Und genau das funktioniert, weil es so realitätsnah ist. Die Mitarbeiter fangen dadurch an, wirklich darüber nachzudenken, woran sie diesen Angriff hätten erkennen können.
Zusätzlich zu den Phishing-Simulationen bieten wir bei Bedarf auch Security-Workshops an. Auch hier ist es wichtig interaktive und realitätsnahe Sessions zu bieten.
Meistens dauern die zwischen zwei bis vier Stunden, je nachdem wie viele Teilnehmer da sind. Dabei gehen wir zum Beispiel live in den Quarantäneordner und schauen: Woran hättest Du den Spam erkennen können?
Wir zeigen Videos von überklebten QR-Codes an E-Ladestationen. Wir reden über Reply-Chain-Attacks, über Voice-Cloning, über all das, was da draußen passiert und passieren kann.
Beim Thema Security geht es am Ende immer um die folgende Kombination: Systemisch die offensichtlichen Spams rausfiltern und verhindern und die letzten 10 bis 20 Prozent über den menschlichen Ansatz zu erkennen.
Jeder Mitarbeiter sollte verstehen, ob er auf etwas drauf klicken darf oder nicht.
Und das funktioniert nur, wenn die Mitarbeiter sensibilisiert sind, warum das Thema wichtig ist: Weil wir alle gemeinsam dafür sorgen müssen, dass unser Unternehmen und unsere Daten sicher sind.
Cybersecurity ist ein Menschenthema.
Und wenn Du wissen willst, wo Dein Unternehmen steht, ob Deine Mitarbeiter auf Phishing reinfallen würden, ob Deine Passwörter "Louvre"-Niveau haben, oder ob Du für NIS-2 gerüstet bist, dann lass uns sprechen.
Antworte dafür einfach auf diese E-Mail oder buche Dir direkt einen Termin.
Bis nächsten Donnerstag,
Patrick & das top.media Team