80 Prozent der Unternehmen sehen Social Engineering als größtes Risiko

Die aktuellen Umfrage-Ergebnisse des SANS Institutes, einem weltweit führenden Anbieter von Cybersecurity-Trainings, zeigen, dass 80 Prozent der Unternehmen Social Engineering als das größte menschenbezogene Risiko einstufen – eine bereits erhebliche Bedrohung, die durch künstliche Intelligenz noch einmal verstärkt wird. Da Angreifer KI einsetzen, um noch überzeugendere und skalierbare Täuschungstaktiken zu entwickeln, war das Risiko durch menschliches Fehlverhalten noch nie so hoch. Diese Erkenntnis ist ein zentrales Ergebnis der zehnten Jubiläumsausgabe des SANS Security Awareness Report®: Embedding a Strong Security Culture .

.

Der Report basiert auf der bisher größten SANS-Umfrage mit Beiträgen von mehr als 2700 Security-Awareness-Praktikern aus über 70 Ländern. Damit liefert er die umfassendste und aufschlussreichste Analyse seit Bestehen der Studie.

Lance Spitzner, Technical Director für SANS Workforce Security & Risk Training: „Die Veröffentlichung der zehnten Ausgabe unseres Security Awareness Report ist ein Meilenstein und unser bislang ambitioniertester und weitreichendster Bericht. Als dual einsetzbares Playbook konzipiert, befähigt er Security-Awareness-Professionals nicht nur, unternehmensweite Verhaltens- und Kulturveränderungen voranzutreiben, sondern auch die eigene Karriere gezielt zu entwickeln.“

Wichtige Erkenntnisse und Trends

• Führende menschenbezogene Risiken: Social Engineering bleibt mit deutlichem Abstand die Top-Bedrohung (laut 80 Prozent der Befragten). Phishing dominiert weiterhin, während Smishing- und Vishing-Angriffe sowohl in Häufigkeit als auch Raffinesse zunehmen. Neu gegenüber dem Vorjahr: Falscher Umgang mit sensiblen Daten belegt nun Platz zwei, gefolgt von schwachen Passwörtern bzw. mangelhafter Authentifizierung. Diese Entwicklung unterstreicht, dass gezieltes, verhaltensorientiertes Training weiterhin geschäftskritisch ist.
• Herausforderungen bei der Umsetzung: Mangel an Zeit und Personal sind, wie schon in den Vorjahren, die größten Hemmnisse für den Aufbau und Betrieb wirkungsvoller Programme. Der Report empfiehlt explizit den Einsatz von Generativer KI, um Security-Teams zu entlasten und deren Wirkung global zu skalieren.
• Benchmarking & Reifegrad: Zum sechsten Mal in Folge bestätigt sich: Größere Security-Awareness-Teams betreiben reifere Programme. Im Durchschnitt sind mindestens 2,8 FTE (Full-Time Equivalents) nötig, um Verhalten nachhaltig zu beeinflussen – und vier oder mehr FTE, um die Sicherheitskultur spürbar zu verändern. Langfristige Stabilität ist entscheidend: Je länger ein Programm etabliert ist, desto wahrscheinlicher verbessert es Prozesse, stärkt Partnerschaften und bindet Mitarbeiter aktiv ein, um menschliches Risiko zu senken.
• Karriere- und Gehaltsentwicklung: 2025 liegt das globale Durchschnittsgehalt für Fachkräfte im Bereich Security Awareness bei 116 091 US-Dollar. Nordamerika führt mit 129.961 US-Dollar, in Europa beträgt der Schnitt 93.661 US-Dollar.

Spitzner weiter: „Die diesjährigen Ergebnisse stehen vor dem Hintergrund einer Bedrohungslage, die durch Generative AI, Deepfakes und andere neue Angriffstechniken weiter verschärft wird. Der Report liefert praxisrelevante, datenbasierte Insights, wie Security-Teams reagieren, wo Lücken bestehen und welche Strategien messbare Wirkung erzielen. In einem Bereich, in dem menschliches Risiko oft unterschätzt wird, setzt dieser Bericht einen klaren Fokus auf die dringendsten Herausforderungen der Cybersecurity.“