Herr Virtanen, die geopolitischen Spannungen haben in den vergangenen Jahren deutlich zugenommen. Wie schätzen Sie das aktuelle Cyberrisiko ein?
Der Cyberspace spiegelt die geopolitischen Spannungen wider. Seit der russischen Invasion im Jahr 2022 ist das Risiko für Unternehmen, Opfer von Cyberkriminalität zu werden, gestiegen. Der Krieg hat insbesondere zur Entstehung freiwilliger hacktivistischer Gruppen weltweit geführt. Zudem könnten Cybercrime-Gruppen innerhalb Russlands versuchen, rechtliche Konsequenzen durch lokale Behörden zu umgehen, indem sie ausschließlich westliche Unternehmen ins Visier nehmen.
Sprechen wir über die Opfer von Cyberkriminalität. Wie gehen Mitarbeiter von Unternehmen, die Opfer eines Angriffs geworden sind, mit den psychologischen Auswirkungen um?
In kleineren Unternehmen, in denen ein einziger IT-Mitarbeiter für alles zuständig ist – vom Endbenutzersupport bis zur Cybersicherheit –, kann der psychologische Druck enorm sein. Wie unsere Tiefeninterviews zeigen, trifft ein Cyberangriff die Mitarbeiter oft wie ein Schock. Zunächst herrscht Ungläubigkeit, dann die Hoffnung, es könnte sich um einen Fehlalarm handeln, gefolgt von Angst, Überforderung und Scham. Viele fühlen sich persönlich verantwortlich, entwickeln Selbstzweifel oder ein Hochstapler-Syndrom. Das führt dazu, dass hochqualifizierte Experten an ihren Fähigkeiten zweifeln und fürchten, ihr Ruf könnte einen dauerhaften Schaden erleiden. Der Stress kann noch lange nach dem Vorfall anhalten und manche sogar dazu verleiten, an einen Berufswechsel zu denken. Laut dem „VMware Global Incident Response Threat Report” haben 65 Prozent der Cybersicherheitsexperten aufgrund von Stress und Burnout darüber nachgedacht, ihren Job zu kündigen – mehr als in vielen anderen Berufen. Was laut unseren Interviews hilft, ist Struktur: regelmäßige Schulungen zum Umgang mit Vorfällen, klar definierte Rollen, Schutz vor Mikromanagement in Krisensituationen und ausdrückliche Anerkennung nach dem Vorfall. Diese Maßnahmen stellen das Gefühl der Kontrolle wieder her und verhindern, dass erfahrene Mitarbeiter aus dem Beruf ausscheiden.
Ist dieses Gefühl in der Realität begründet, oder handelt es sich eher um einen empfundenen Verlust von Kontrolle und Vertrauen?
Meiner Meinung nach handelt es sich größtenteils um eine Wahrnehmung, die jedoch auf realen Veränderungen basiert. Die Bedrohungslage hat sich nämlich dramatisch verändert – von Hobbyhackern und unabhängigen Cyberkriminellen zu hochgradig organisierten, sogar staatlich unterstützten Akteuren. Die heutigen Angreifer nutzen fortschrittliche Tools, agieren grenzüberschreitend und verfolgen langfristige Ziele statt nur kurzer Störungen. Viele Angriffe sind gut ausgestattet und koordiniert. Manchmal werden sie von Stellvertretergruppen durchgeführt, wodurch sich die Grenze zwischen kriminellen Aktivitäten und staatlichen Interessen verwischt. All dies macht Vorfälle komplexer, schwieriger einzuordnen und weitaus stressiger für diejenigen, die sich gegen sie verteidigen müssen.
Welche Auswirkungen hat das auf Unternehmen?
Selbst auf der Führungsebene lösen Cybervorfälle oft große emotionale Belastungen aus. CIOs berichten häufig von Scham und Reue, die durch ein starkes Gefühl der persönlichen Verantwortung für das Versagen ausgelöst werden. Diese Gefühle werden durch öffentliche Aufmerksamkeit, Medienberichterstattung und internen Druck noch verstärkt, insbesondere, wenn Schuld zugewiesen wird – sei es implizit oder explizit. Paradoxerweise gilt innerhalb der Cybersicherheits-Community jedoch auch das Gegenteil: Einen größeren Vorfall zu überstehen, wird als Feuertaufe angesehen, die Glaubwürdigkeit, Erfahrung und Autorität verschafft.
Inwiefern sind Cyberangriffe mit den psychologischen Auswirkungen potenziell traumatischer Ereignisse vergleichbar?
Die emotionalen Auswirkungen schwerer Cyberangriffe können tatsächlich denen traumatischer Ereignisse ähneln, auch wenn von dem Ereignis keine unmittelbare Gefahr für Leben oder körperliche Unversehrtheit ausging. Ein Teil des kumulativen Stresses entsteht durch die Asymmetrie der Situation: Während Verteidiger jedes Mal erfolgreich sein müssen, reicht es für Angreifer, wenn sie nur einmal erfolgreich sind.
Welche langfristigen Auswirkungen haben Cyberangriffe auf Unternehmen und ihre Mitarbeiter – abgesehen von den technischen Schäden?
Ein positiver Effekt kann ein Wandel in der Wahrnehmung der Cybersicherheit innerhalb des Unternehmens sein. Nach einem schwerwiegenden Vorfall wird Cybersicherheit häufig nicht mehr als technisches Randthema betrachtet, sondern als entscheidend für die Aufrechterhaltung des Betriebs. Unternehmen stellen mehr Ressourcen bereit, investieren in fortschrittliche Überwachungs- und Reaktionsinstrumente und beziehen die Geschäftsleitung stärker ein. Dies stärkt zwar langfristig die Sicherheit, kann aber zunächst den psychologischen Druck auf die IT-Teams erhöhen. Jetzt, da sie endlich über die seit Langem geforderten Instrumente, Budgets und Unterstützung verfügen, fühlen sich die IT-Teams persönlich stärker verantwortlich.
Was raten Sie also Unternehmen?
Der Schlüssel zur psychischen Widerstandsfähigkeit ist das Gefühl, handlungsfähig zu sein. Wenn Mitarbeiter wissen, dass sie etwas tun können – wenn auch nur in kleinen Schritten –, gibt ihnen das Hoffnung und mindert das Gefühl der Hilflosigkeit. Für Endnutzer bedeutet dies, vorbereitet zu sein: Sie wissen, wie sie im Falle eines Systemausfalls arbeiten können, und es gibt klare Regeln für die Nutzung persönlicher Geräte. Für IT-Sicherheitsteams ist es entscheidend, „im Kampf zu trainieren”: Sie benötigen regelmäßige Penetrationstests, um durch realistische Trainingsszenarien Selbstvertrauen aufzubauen. Kurz gesagt sind Vorbereitung, Klarheit und praktische Tools unerlässlich, um in einer Krise Vertrauen und Resilienz aufzubauen.
Sind Unternehmen und Gesellschaften psychologisch auf zunehmende Cyberbedrohungen vorbereitet, oder fehlt uns ein „mentales Immunsystem“?
Derzeit würde ich sagen, dass weder viele Unternehmen noch die westlichen Gesellschaften - in denen Untersuchungen durchgeführt wurden - psychologisch gut vorbereitet sind. Unser Alltag ist von Technologie abhängig, und das bemerken wir oft erst, wenn etwas nicht funktioniert. In den meisten Unternehmen wird die Notwendigkeit und Funktionsweise von Cybersicherheit auf höchster Ebene noch immer nicht richtig verstanden. Um ein „mentales Immunsystem“ zu schaffen, muss psychologische Resilienz zu einem Kernbestandteil jeder Cybersicherheitsstrategie werden. Die Konfrontation mit verschiedenen Bedrohungen während Übungen fördert die Resilienz und hilft, mentale Werkzeuge zu entwickeln, um ähnlichen Bedrohungen in der Praxis zu begegnen. Cybersicherheitstraining und Informationsaustausch lassen sich mit der Entwicklung von Impfstoffen vergleichen. Wenn Bedrohungsakteure neue Techniken oder Taktiken entwickeln, müssen auch wir Gegenmaßnahmen entwickeln und unser Wissen mit Partnern teilen, um eine Herdenimmunität aufzubauen.
Die geäußerten Meinungen sind die von Toni Virtanen und geben nicht die Ansichten der finnischen Streitkräfte wieder.
Autor: Michael Hasenpusch
Toni Virtanen
Toni Virtanen ist promovierter Psychologe. Derzeit arbeitet er als Forscher in der Abteilung für menschliche Leistungsfähigkeit des Forschungsinstituts der finnischen Streitkräfte. Seine Forschungsschwerpunkte sind menschliche Faktoren, Cyberpsychologie, kognitive Kriegsführung, Social Engineering und Informationssicherheit.
Kleine Schritte zum Erfolg
Die psychische Belastung im Bereich Cybersicherheit ist hoch. Laut der jährlichen ISC² Cybersecurity Workforce Study (2025) berichten fast 50 Prozent der weltweit befragten Fachkräfte von Überlastung oder Erschöpfung. Andere Untersuchungen zeigen, dass rund 44 Prozent der Cybersecurity-Professionals unter starkem arbeitsbedingtem Stress oder Burnout leiden und viele ihren Job als stressiger empfinden als andere IT-Tätigkeiten. Fachkräftemangel und eine dauerhaft hohe Bedrohungslage können zu einer „erlernten Hilflosigkeit“ führen – zur Überzeugung, dass eigene Anstrengungen wenig Wirkung erzielen, was das Burnout-Risiko erhöht.
Die Forschung zeigt, dass kleine, sichtbare Fortschritte („Small Wins“) die Motivation und Zuversicht wesentlich stärken können. Das kann etwa durch das Schließen einzelner Schwachstellen oder durch klar abgegrenzte Incident-Maßnahmen geschehen – im Bewusstsein, dass die Kontrolle der gesamten Bedrohungslage illusorisch ist. Ein anderer Weg mit der psychologischen Belastung umzugehen ist, die Autonomie bei der Aufgabenerfüllung zu stärken und damit das Gefühl von Selbstwirksamkeit zu erhöhen. So lässt sich die Handlungsfähigkeit stärken („Sense of Agency“), was wiederum mit einem höheren Bewusstsein für Cybersicherheit einhergeht, wie eine Studie aus dem Jahr 2018 zeigt. Die Förderung von Agency ist damit nicht nur Burnout-Prävention, sondern ein strategischer Faktor für operative Cybersecurity.
