Donnerstagvormittag, kurz nach zehn. Eine Mitarbeiterin aus Ihrer Buchhaltung bekommt eine E-Mail vom „IT-Support“: Ihr Konto müsse neu verifiziert werden. Sie solle eine Microsoft-Seite öffnen und dort einen Code eingeben, der praktischerweise gleich mitgeliefert wird. Die Mitarbeiterin ist vorsichtig. Sie prüft die Adresse: echte Microsoft-Domain, gültiges Zertifikat, kein Tippfehler, keine gefälschte Anmeldemaske. Alles echt. Sie gibt den Code ein, bestätigt die Anmeldung – und hat in diesem Moment einem Angreifer den Zugriff auf ihr Postfach gegeben. Ohne ihr Passwort zu verraten. Trotz aktivierter Multi-Faktor-Authentifizierung.

Diese Methode heißt Device-Code-Phishing, und sie funktioniert derzeit erschreckend zuverlässig. Aber dieser Artikel erklärt Ihnen nicht in erster Linie eine Angriffstechnik. Er stellt Ihnen eine Frage, die für Ihr Unternehmen wichtiger ist als jedes technische Detail: Wann hätten Sie von dieser Methode erfahren – und von wem?

Die Geräte-Code-Anmeldung ist eine völlig legitime Funktion in Microsoft 365. Sie wurde für Geräte entwickelt, die keine bequeme Eingabe erlauben – Konferenzsysteme, Anzeigebildschirme, bestimmte Apps. Statt Benutzername und Passwort mühsam auf dem Gerät einzutippen, zeigt das Gerät einen kurzen Code an. Diesen Code gibt man an einem anderen Gerät auf einer offiziellen Microsoft-Seite ein und bestätigt: Ja, dieses Gerät darf sich mit meinem Konto anmelden.

Genau diese Logik drehen Angreifer um. Sie fordern selbst einen solchen Code an – für ihr eigenes Gerät. Dann schicken sie den Code an ihr Opfer, verpackt in eine plausible Geschichte: eine Sicherheitsüberprüfung, eine neue Richtlinie, ein angeblicher Support-Fall. Das Opfer gibt den Code auf der echten Microsoft-Seite ein und bestätigt die Anmeldung. Nur eben nicht die eigene – sondern die des Angreifers.

Das Perfide daran: Es gibt nichts, woran selbst geschulte Augen den Betrug erkennen könnten. Keine gefälschte Website, kein verdächtiger Anhang, kein Schadprogramm. Der Angriff überlistet keine Technik. Er nutzt Vertrauen.

Multi-Faktor-Authentifizierung schützt davor, dass jemand mit einem gestohlenen Passwort in Ihr System kommt. Bei diesem Angriff wird aber kein Passwort gestohlen. Die Anmeldung läuft vollständig korrekt ab – Passwort, zweiter Faktor, alles dabei. Der Mitarbeiter führt sie selbst durch, freiwillig, auf einer echten Seite. Nur das Gerät am anderen Ende gehört dem Angreifer. Aus Sicht des Systems ist alles in Ordnung.

Und jetzt? Sie könnten sich notieren: „Geräte-Code-Anmeldung sperren lassen.“ Das wäre richtig – diese eine Tür lässt sich technisch schließen, mit überschaubarem Aufwand. Aber damit wäre nur diese eine Methode erledigt. Nächsten Monat liest die Fachwelt über die nächste. Und übernächsten Monat über die übernächste.

Als Geschäftsführer können Sie nicht jede neue Angriffsmethode verfolgen, bewerten und nachhalten. Das ist auch nicht Ihre Aufgabe. Ihre Aufgabe ist eine andere: sicherzustellen, dass es jemand tut. Und genau hier trennt sich reaktive IT von geführter IT.

Es gibt einen einfachen Test, mit dem Sie den Reifegrad Ihrer IT-Organisation messen können – ohne ein einziges technisches Detail verstehen zu müssen. Wir nennen ihn die Absender-Frage: Wenn eine neue, relevante Bedrohung auftaucht – von wem erfahren Sie davon?

Drei Antworten sind möglich, und sie beschreiben drei sehr unterschiedliche Zustände.

Stufe 1: Sie erfahren es aus der Presse – oder gar nicht. Niemand in Ihrem Umfeld fühlt sich dafür zuständig, die Bedrohungslage zu beobachten und auf Ihr Unternehmen zu beziehen. Ob die neue Methode Sie betrifft, weiß keiner. Im schlimmsten Fall erfahren Sie es durch den Vorfall selbst. Das ist reaktive IT in Reinform: Sie reagiert, wenn etwas passiert ist.

Stufe 2: Sie bekommen eine Warnung – mit Aufgaben. Jemand schickt Ihnen eine Mail: „Bitte lassen Sie dringend prüfen, ob …“ Das klingt nach Fürsorge, ist aber bei genauem Hinsehen eine Verschiebung der Verantwortung. Auf Ihrem Schreibtisch landet eine Aufgabe, die Sie fachlich nicht bewerten können: weiterleiten, nachfragen, nachhalten, hoffen. Die Warnung ist besser als Schweigen. Aber sie macht Sie zum Projektleiter eines Themas, für das Sie eigentlich Fachleute bezahlen.

Stufe 3: Sie bekommen eine Meldung – mit Ergebnis. „Es gibt eine neue Angriffsmethode, die Multi-Faktor-Authentifizierung umgeht. Wir haben Ihre Umgebung geprüft. Die betroffene Funktion ist bei Ihnen gesperrt. Das Einzige, was Ihre Mitarbeiter wissen müssen, steht in den drei Sätzen unten – Sie können sie direkt weiterleiten.“ Das ist geführte IT: Jemand hat beobachtet, bewertet, gehandelt und Ihnen das Ergebnis verständlich übersetzt. Bevor Sie überhaupt wussten, dass es etwas zu entscheiden gab.

Daraus folgt ein Satz, den Sie sich merken können: Geführte IT erkennen Sie nicht daran, dass nichts passiert. Sie erkennen sie daran, von wem Sie zuerst von einer neuen Bedrohung erfahren – und ob diese Nachricht eine Aufgabe enthält oder ein Ergebnis.

Damit eine solche Meldung möglich ist, müssen vier Dinge organisiert sein – wohlgemerkt: organisiert, nicht gekauft. Keines davon ist in erster Linie ein Produkt.

• Beobachtung als Aufgabe: Jemand verfolgt die Bedrohungslage systematisch – als definierte Verantwortung, nicht als Zufallsfund in der Mittagspause.
• Einordnung statt Alarm: Jemand bewertet, welche der vielen Meldungen für Ihr Unternehmen tatsächlich relevant sind. Nicht jede Schlagzeile betrifft Sie. Diese Filterleistung ist der eigentliche Wert.
• Mandat zum Handeln: Es ist vorab geklärt, welche Schutzmaßnahmen ohne Rückfrage umgesetzt werden dürfen. Wenn jede Maßnahme erst Ihre Freigabe braucht, verlieren Sie genau die Zeit, auf die es ankommt.
• Übersetzung in Ihre Sprache: Was bei Ihnen ankommt, ist eine Ergebnis- oder Entscheidungsinformation in Unternehmersprache – keine Fachmeldung, die Sie erst entschlüsseln müssen.

Ob diese vier Punkte bei einem internen IT-Verantwortlichen liegen oder bei einem externen Partner, ist zweitrangig. Entscheidend ist, dass sie überhaupt irgendwo liegen – ausdrücklich, benannt, vereinbart. In vielen mittelständischen Unternehmen liegen sie nirgends. Nicht aus Nachlässigkeit, sondern weil nie jemand die Frage gestellt hat.

Sie müssen dafür kein IT-Wissen mitbringen. Stellen Sie Ihrem IT-Verantwortlichen oder Ihrem IT-Dienstleister diese drei Fragen:

1. „Ist die Geräte-Code-Anmeldung in unserer Microsoft-365-Umgebung für normale Benutzerkonten gesperrt?“ Die Antwort sollte konkret sein: ja, nein oder ein verbindlicher Termin. „Das müssten wir mal prüfen“ – gefolgt von Stille – ist auch eine Antwort. Nur keine gute.
2. „Wann haben Sie mich zuletzt proaktiv über eine Bedrohung informiert – bevor ich gefragt habe?“ Wenn die Antwort lange zurückliegt oder ausbleibt, wissen Sie, auf welcher Stufe Sie stehen.
3. „Wer bei uns entscheidet, ob eine neue Bedrohung für uns relevant ist – und handelt dann?“ Lautet die Antwort „niemand so richtig“, haben Sie Ihre wichtigste IT-Baustelle gefunden. Sie ist organisatorisch, nicht technisch.

Und eine vierte Sache, die nur Sie tun können, weil sie Führungskommunikation ist: Geben Sie Ihrer Belegschaft eine einzige, einfache Regel mit. Codes, die per E-Mail kommen oder am Telefon durchgegeben werden, werden nirgendwo eingegeben. Kein echter Administrator und kein echter Support-Mitarbeiter wird das jemals verlangen. Eine Regel, ein Satz, von Ihnen persönlich kommuniziert – das wirkt mehr als manche Pflichtschulung.

Ein Unternehmen aus dem produzierenden Mittelstand, rund 90 Mitarbeiter, kein eigener IT-Leiter, stand vor genau dieser Situation. Der Geschäftsführer las in der Wirtschaftspresse von einer ähnlichen Angriffsmethode und leitete den Artikel an seinen IT-Dienstleister weiter – mit der Bitte um eine Einschätzung. Die Antwort kam nach zwei Wochen und lautete sinngemäß: Man werde das bei Gelegenheit prüfen.

Einige Monate später wurde ein Postfach im Unternehmen kompromittiert. Die Angreifer beobachteten den E-Mail-Verkehr wochenlang, klinkten sich dann in einen laufenden Rechnungsvorgang ein und versuchten, eine Zahlung auf ein fremdes Konto umzuleiten. Dass am Ende kein Geld floss, war der Aufmerksamkeit eines Bankmitarbeiters zu verdanken – nicht der eigenen IT.

Die wichtigste Erkenntnis des Geschäftsführers im Nachgang war nicht technischer Natur. Es hatte schlicht niemanden gegeben, dessen Aufgabe es war, vor der Welle zu sein. Die Warnung hatte auf seinem Schreibtisch gelegen – also beim Einzigen im Unternehmen, der sie weder bewerten noch umsetzen konnte. Die Konsequenz war folgerichtig keine neue Sicherheitssoftware, sondern zuerst eine ehrliche IT-Standortbestimmung: Wer ist wofür verantwortlich? Welche Meldewege gibt es? Wer darf was entscheiden? Erst danach kam die Technik.

Die Frage „Ist unsere Technik auf dem aktuellen Stand?“ ist nicht falsch. Aber sie greift zu kurz, weil ihre Antwort jeden Monat anders ausfällt. Die tragfähigere Frage lautet: „Ist unsere IT so geführt, dass jemand handelt, bevor ich es muss?“

Vergleichen Sie es mit Ihrem Steuerberater. Sie erwarten von ihm nicht, dass er Ihnen Gesetzestexte weiterleitet mit der Bitte, selbst zu prüfen, ob etwas davon Sie betrifft. Sie erwarten, dass er Ihnen sagt, was sich für Ihr Unternehmen ändert – und was er bereits veranlasst hat. Genau dieses Niveau dürfen Sie auch von Ihrer IT erwarten. Nicht mehr Fachwissen bei Ihnen, sondern mehr Führung um Sie herum.

Das ist der Kern unternehmerischer IT-Führung: Sie können die Ausführung delegieren – die Beobachtung, die Bewertung, die Umsetzung. Was Sie nicht delegieren können, ist die Verantwortung dafür, dass diese Rollen besetzt sind. Dafür brauchen Sie keine technische Tiefe. Sie brauchen Klarheit darüber, wie Ihre IT organisiert ist – und den Mut, die Absender-Frage ehrlich zu beantworten.

Stellen Sie diese Woche die drei Fragen. Nicht, um jemanden vorzuführen, sondern um zu erfahren, wo Sie stehen. Vielleicht ist die Antwort beruhigend – dann wissen Sie zum ersten Mal sicher, dass jemand für Sie wacht. Vielleicht ist sie unbequem – dann haben Sie heute mehr für die Stabilität Ihres Unternehmens getan als mit mancher Software-Anschaffung.