Was passiert mit dem CEO, wenn der Chief Information Security Officer ihn zu einem Meeting einlädt? („Ein Meeting! Als ‚dringend‘ markiert?!“) Sein Herz macht einen kleinen Gump. Er denkt: „Cybersecurity… wieder dieses Thema. Ich weiss, dass es wichtig ist, aber warum klingt es immer so bedrohlich? Was, wenn ich etwas nicht verstehe oder eine heikle Entscheidung falsch treffe?”

In diesem Artikel:

• 3 Cyberattacken: NZZ, Thalia und KNP Logistics

• Was ist kognitive Dissonanz

• Wie zeigt sie sich in der Cybersicherheit?

Kognitive Dissonanz

Der Begriff Kognitive Dissonanz nach Festinger (1957) bezeichnet einen inneren Konfliktzustand. Wir wissen, dass wir etwas tun sollten, wollen oder können es aber nicht und fühlen uns deshalb schlecht. Wir unternehmen deshalb alles, um uns nicht schlecht fühlen zu müssen und den Konflikt loszuwerden. Dies erreichen wir durch Rechtfertigung, das Erfinden von Ausreden oder eine Verhaltensänderung.

4 Strategien: unser Verhalten ändern, unsere Einstellung ändern, rechtfertigen, etwas hinzufügen.

Wir wollen beispielsweise fitter werden und abnehmen, aber irgendwie klappt es nicht. Eigentlich wissen wir, wo wir ansetzen müssten: beim täglichen Snickers-Riegel, dem Dessert nach dem Essen und den ungesunden Snacks zwischendurch. Doch diese Dinge zu opfern, scheint uns ein zu hoher Preis für unser mentales Wohlbefinden zu sein. Wenn wir den Riegel essen, obwohl wir das Ziel gesetzt haben, abzunehmen, fühlen wir uns schlecht. Um uns besser zu fühlen, können wir eine der folgenden Strategien anwenden:

1. Entweder wir ändern unser Verhalten und verzichten auf diese Snacks.

2. Oder wir sagen uns während des Essens: „Dieser eine Riegel macht nicht den grossen Unterschied.“ (Rechtfertigung)

3. Oder: „Ein paar Kilo sind ja eigentlich auch nicht so schlimm.“ (Einstellung).

4. Oder: “Der Riegel hat ja auch gute Inhaltsstoffe” (Hinzufügen neuer Kognitionen)

So bleiben wir in diesem Zustand, fühlen uns aber besser, da die kognitive Dissonanz verschwunden ist!

Kognitive Dissonanz beim CEO: „Ich muss souverän sein, aber ich verstehe zu wenig von Sicherheit.“

Es ist dieser Moment der kognitiven Dissonanz. Auf der einen Seite steht das Selbstbild: „Ich habe alles im Griff“, souverän und kontrolliert. Auf der anderen Seite steht die gefühlte Ohnmacht angesichts von Firewalls, Bedrohungsszenarien und technischen Abgründen. „Wenn ich zugebe, dass ich etwas nicht verstehe, könnte genau das auffliegen!“

Christoph hat das Gefühl, als würde ihm ein enger Gürtel um die Brust gelegt. Das führt dazu, dass er Meetings mit dem CISO immer wieder verschiebt und dessen Anfragen liegen bleiben. Er möchte keine „falsche Entscheidung“ treffen und trifft deshalb lieber gar keine.

Schlussendlich kommt es zu einem erfolgreichen Angriff, der hätte verhindert werden können, wie das Praxisbeispiel Thalia Buchhandel zeigt: Brute-Force-Attacke.

Es ist der Morgen des 20. Januars 2022. Die Sonne ist gerade aufgegangen, und in den Büros von Thalia herrscht noch eine ruhige Routine. Doch ausserhalb der sichtbaren Welt, in den Datenströmen und Serverräumen, beginnt eine unsichtbare Gefahr zu brauen.

Über mehrere Stunden hinweg startet ein schädliches Computerprogramm aus dem Ausland einen Angriff auf den Online-Shop von Thalia. Es nutzt die Methode der Brute Force Attacke. Schritt für Schritt, System für System probiert es unermüdlich Benutzername- und Passwortkombinationen aus, in der Hoffnung, irgendwo eine Sicherheitslücke zu finden.

Zu diesem Zeitpunkt spüren die Mitarbeiter noch nichts von der Bedrohung. Doch hinter den Kulissen schlagen die Alarmglocken an, wenn auch gedämpft. Einige Konten sind plötzlich nicht mehr sicher, Angreifer haben Zugang zu einem mittleren fünfstelligen Bereich von Benutzeraccounts gewonnen.

Daraufhin macht sich in der Kommunikationsabteilung Unruhe breit. Die Pflicht, die Kunden unverzüglich zu informieren, steht im Raum, denn niemand will das Vertrauen der Kunden verlieren. Doch die Wahrheit über den Angriff lässt sich nicht länger verbergen. Besonders gefährdet sind Kunden, die ungeschützte Kombinationen verwendeten und oft dasselbe Passwort auf mehreren Seiten nutzten.

Thalia reagiert schnell: Passwörter werden zurückgesetzt, die Sicherheitsstandards werden erhöht und das Unternehmen gibt das Versprechen ab, künftig stärker gegen solche unberechtigten Zugriffe vorzugehen. Doch dieser Moment bleibt haften.

In den Medien sind Zitate wie dieses zu lesen: „Bei Einhaltung gängiger Sicherheitsstandards sollte ein stundenlanger Brute-Force-Angriff allerdings gar nicht erfolgreich sein.“ (Quelle: galaxus.at).

Kognitive Dissonanz bei der IT-Security: „Ich weiss, was nötig wäre! Aber ich bekomme keine Priorität.“

Die Mitarbeitenden der IT-Sicherheit wissen oft am besten, was alles besser gemacht werden könnte. Jedoch kommt es vor, dass ihr Budget aufgrund des fehlenden Interesses der Unternehmensführung eingeschränkt ist. So fehlen ihnen die Mittel und Ressourcen, um die Sicherheitsmassnahmen effektiv umzusetzen.

Es entsteht ein innerer Konflikt zwischen dem Wissen um effektive Präventionsmassnahmen („Ich weiss, wie wir uns schützen könnten“) und der Realität fehlender Ressourcen oder Rückendeckung („Ich kann das aber nicht umsetzen“).

Ein Beispiel für ein solches Szenario ist der Fall der NZZ:

NZZ-Ransomware

Es ist das Jahr 2023 und ein ganz normaler Tag bei der NZZ, als plötzlich Alarm schlägt. Die IT-Abteilung hat eine Ransomware-Attacke entdeckt. Der Krisenstab wird sofort einberufen und die Atmosphäre im Büro ändert sich schlagartig. Plötzlich sitzen Kolleginnen und Kollegen zusammen, die sonst wenig miteinander zu tun haben. Die IT-Experten, die Chefredaktion und die Sicherheitsverantwortlichen sind hochkonzentriert, während auf den Bildschirmen Meldungen über verschlüsselte Daten und gestohlene Personalakten eingehen. Dieser Moment, in dem man realisiert, dass etwas Schlimmes passiert ist, fühlt sich an wie in einem Film. Die Stimmen überschlagen sich, doch viele Fragen bleiben zunächst unbeantwortet.

Wie konnte das passieren? Was steht auf dem Spiel? Während der Zugriff auf wichtige Systeme erlischt, wächst die Sorge: Wie viel ist tatsächlich kompromittiert?

Während draussen die Welt auf Antworten wartet, steigt der Druck. Drinnen spürt jeder, wie fragil die digitale Sicherheit geworden ist. So beginnt der Kampf gegen eine unsichtbare Bedrohung, die nicht nur Daten, sondern auch das Vertrauen in die NZZ herausfordert.

Die kompromittierten Daten umfassen vertrauliche Informationen wie persönliche Daten der Mitarbeitenden, Lohnlisten, interne Projekte und Mitarbeiterinformationen. Diese sensiblen Dokumente befinden sich im Besitz der Hackergruppe und wurden teilweise bereits im Darknet veröffentlicht.

Die Namen der Kinder, ihre Adressen und die Partner von Journalisten sind nun im Darkweb zu finden. Betroffene fragen sich: „Hätte meine Unternehmung mehr tun können, um mich zu schützen?”

Kognitive Dissonanz bei Mitarbeitenden: „Ich möchte meine Arbeit gut und zuverlässig erledigen, aber die Sicherheit hindert mich daran!“

Auch wenn sie die Regeln zur IT-Sicherheit gut kennen, möchten viele Menschen ihren Arbeitsalltag so einfach und bequem wie möglich gestalten. Wir sind darauf eingestellt, unsere Arbeit zu verrichten, und wollen das möglichst effizient tun. Obwohl wir wissen, dass starke und einzigartige Passwörter wichtig sind, ist es umständlich, solche zu nutzen. Allein schon, weil der Passwortmanager nicht zwischen unterschiedlichen Geräten kompatibel ist.

Das Gefühl, zwar gute Absichten zu haben, diese aber nicht umsetzen zu können, löst in uns eine kognitive Dissonanz aus. Das Denken und das Handeln passen nicht zusammen. Im Arbeitsalltag kann dies zu Problemen führen, wie das Beispiel von KBP Logistics zeigt. Ein einfaches Passwort reichte aus, damit Hacker eindringen und einen Cyberangriff durchführen konnten, durch den ein 158-jähriges Unternehmen zu Fall gebracht wurde und 730 Angestellte ihre Arbeit verloren.

KNP Logistics: Schwache Passwörter und fehlende MFA

Die Mutter des 158 Jahre alten Unternehmens hat Konkurs angemeldet. Wie der „Blick“ berichtet, ist die britische Transportfirma KNP Logistics Geschichte. Nach einem Ransomware-Angriff musste das Unternehmen Konkurs anmelden.

Der Cyberangriff auf KNP Logistics im Juni 2023 begann, als Hacker der Akira-Ransomware-Gruppe aufgrund eines schwachen, leicht zu erratenden Passworts eines Mitarbeiters Zugang zum Firmennetzwerk erlangten. Eine Mehr-Faktor-Authentifizierung, die dies hätte verhindern können, gab es nicht. Die Angreifer konnten sich somit ungehindert im Netzwerk bewegen, wichtige Daten exfiltrieren und anschliessend sämtliche Unternehmensdaten mit Ransomware verschlüsseln.

Die Erpresser forderten ein Lösegeld von etwa fünf Millionen Pfund, das KNP nicht aufbringen konnte. Ohne Zugriff auf die finanziellen und operativen Systeme standen alle 500 firmeneigenen Lkw still und das Unternehmen musste innerhalb kurzer Zeit Insolvenz anmelden. Die Folgen waren verheerend: Rund 730 Mitarbeitende verloren ihre Arbeitsplätze und ein Unternehmen mit einer 158-jährigen Geschichte wurde ausgelöscht. Die Geschäftsleitung musste eingestehen, dass die Kombination aus schwachen Passwörtern, fehlender Mehr-Faktor-Authentifizierung und unzureichenden Backup-Lösungen trotz bestehender Versicherung und eines Cyber-Krisenstabs zum Totalverlust des Betriebs geführt hatte. Dieser Fall illustriert eindrücklich, wie eine einfache Sicherheitslücke das Ende eines jahrhundertealten Unternehmens bedeuten kann.

Der Weg aus der Dissonanz

Die drei Beispiele von NZZ, Thalia und KNP Logistics zeigen, dass kognitive Dissonanz jeden Bereich eines Unternehmens betreffen kann. Der CEO muss kein Sicherheitsexperte werden. Er muss jedoch den Mut fassen, seine Unwissenheit anzugehen und die richtigen Fragen zu stellen. Die IT-Sicherheitsteams benötigen nicht nur ein Budget, sondern auch die Erlaubnis, unbequeme Wahrheiten auszusprechen, ohne dafür bestraft zu werden. Die Mitarbeitenden benötigen Lösungen, die Sicherheit und Effizienz vereinen, statt ihr Leben schwieriger zu machen.

Was denkt ihr??

Bis bald!

Jill

Quellen:

Cyberangriff—Hacker erbeuten bei der NZZ offenbar vertrauliche Personaldaten. (2023, April 22). Schweizer Radio und Fernsehen (SRF). https://www.srf.ch/news/schweiz/cyberangriff-hacker-erbeuten-bei-der-nzz-offenbar-vertrauliche-personaldaten

Daten von CH Media nach Cyberangriff veröffentlicht | CH Media. (o. J.). Abgerufen 14. September 2025, von https://chmedia.ch/news/daten-von-ch-media-nach-cyberangriff-veroeffentlicht

Hacker verschaffen sich Zugriff zu Thalia-Konten. (2022, Januar 24). Galaxus. https://www.galaxus.at/de/page/hacker-verschaffen-sich-zugriff-zu-thalia-konten-22541

Kettering firm KNP Logistics Group’s sudden collapse upsets drivers. (2023, Oktober 4). https://www.bbc.com/news/uk-england-cambridgeshire-66997691

Kognitive Dissonanz. (2025a). In Wikipedia. https://de.wikipedia.org/w/index.php?title=Kognitive_Dissonanz&oldid=259000040

Kognitive Dissonanz. (2025b). In Wikipedia. https://de.wikipedia.org/w/index.php?title=Kognitive_Dissonanz&oldid=259000040

Kognitive Dissonanz im Dorsch Lexikon der Psychologie. (2025). https://dorsch.hogrefe.com/stichwort/kognitive-dissonanz

mdr.de. (o. J.). Hackerangriff auf Unfallkasse Thüringen: Daten von Versicherten erbeutet | MDR.DE. Abgerufen 14. September 2025, von https://www.mdr.de/nachrichten/thueringen/west-thueringen/gotha/cyberangriff-unfallkasse-daten-diebstahl-anschrift-versicherung-100.html

Meier, P. J. (2021, Juni 29). Umstrittene Praxis: Versicherer zahlen Lösegeld bei Hackerangriffen. https://www.beobachter.ch/gesetze-recht/sicherheit/versicherer-zahlen-losegeld-bei-hackerangriffen-342870

online, heise. (2022, Januar 24). Brute-Force-Angriff: „Mittlere fünfstellige“ Zahl von thalia.de-Konten gehackt. iX Magazin. https://www.heise.de/news/Brute-Force-Angriff-Mittlere-fuenfstellige-Zahl-von-thalia-de-Konten-gehackt-6336552.html

Was war der WannaCry-Ransomware-Angriff? (o. J.). Abgerufen 14. September 2025, von https://www.cloudflare.com/de-de/learning/security/ransomware/wannacry-ransomware/