Am 21. Mai 2026 halten Eric Flury und Tomislav Bodrozic auf der Take Aware in Düsseldorf einen Vortrag, der keine Folien über Angriffsarten zeigt und keine Checklisten präsentiert. Stattdessen erleben die Teilnehmenden live, wie ihr eigenes Gehirn sie in die Irre führt – und warum das die eigentliche Grundlage jedes erfolgreichen Social-Engineering-Angriffs ist.
Wer diesen Artikel liest, kennt das Problem. Awareness-Programme werden durchgeführt, Phishing-Simulationen laufen, Schulungen werden absolviert. Und trotzdem passieren Vorfälle. Trotzdem klickt jemand auf den falschen Link. Trotzdem gibt jemand Daten heraus, die er nie hätte herausgeben dürfen.
Die übliche Erklärung lautet: Die Menschen waren unaufmerksam. Oder sie haben nicht aufgepasst. Oder sie wussten es nicht besser.
Diese Erklärung ist falsch. Und genau darum geht es in diesem Vortrag.
Die eigentliche Frage: Warum lassen sich kluge Menschen manipulieren?
Social Engineering funktioniert nicht primär deshalb, weil Menschen zu wenig wissen. Es funktioniert, weil menschliche Wahrnehmung, Aufmerksamkeit, Gewissheit und Urteilsbildung unter völlig normalen Bedingungen systematisch fehlbar – und gezielt beeinflussbar – sind.
Das ist keine philosophische Aussage. Es ist eine empirisch gut belegte Tatsache aus der Kognitionspsychologie. Und sie hat direkte Konsequenzen dafür, wie Awareness-Programme gebaut sein müssen, wenn sie wirklich wirken sollen.
Der Vortrag folgt einer klaren Leitlinie: vier Täuschungen, vier psychologische Stufen, eine unbequeme Schlussfolgerung.
Stufe 1: Aufmerksamkeit lässt sich kapern
Die erste Täuschung zeigt etwas, das die meisten Teilnehmenden nicht glauben, bevor sie es selbst erleben: Wer fokussiert und aufmerksam ist, übersieht trotzdem Wesentliches.
Das Phänomen ist in der Kognitionspsychologie unter dem Begriff Inattentional Blindness bekannt. Daniel Simons und Christopher Chabris zeigten 1999 in ihrem berühmten Experiment, dass Menschen, die eine bestimmte Aufgabe konzentriert verfolgen, offensichtliche Veränderungen in ihrer direkten Umgebung zuverlässig übersehen – selbst wenn sie glauben, vollständig aufmerksam zu sein.*
Das Problem ist nicht mangelnde Konzentration. Das Problem ist, dass Aufmerksamkeit bereits einen Job hat – und alles außerhalb dieses Jobs automatisch in den Hintergrund tritt.
Für Social Engineering bedeutet das: Wer einen Angreifer sichtbar macht, lenkt die Aufmerksamkeit vom Angriff ab. Die Dringlichkeit einer gefälschten E-Mail, die autoritäre Rolle eines Anrufers, der vertraute Betreff – das sind keine Tricks, die gegen das Gehirn arbeiten. Es sind Hebel, die das Gehirn nicht überwinden muss – sondern einfach benutzt.
Stufe 2: Stimmigkeit fühlt sich wie Wahrheit an
Die zweite Täuschung macht etwas noch Unbequemeres sichtbar: Selbst das, was wir subjektiv sicher erleben, ist keine neutrale Realität. Es ist eine plausible Konstruktion unseres Gehirns.
Die Rubber Hand Illusion, erstmals 1998 von Botvinick und Cohen beschrieben, demonstriert das eindrücklich: Das Gehirn integriert widersprüchliche Sinnesreize zu einem plausiblen Gesamtbild – und tut das schneller und überzeugender, als wir es für möglich halten.** Das Gehirn baut keine 1:1-Kopie der Welt. Es baut eine Hypothese.
Wenn genug Signale zusammenpassen, fühlt sich etwas echt an. Rolle passt. Sprache passt. Timing passt. Medium passt. Stimmigkeit wird dann leicht mit Wahrheit verwechselt. Und in Unternehmen nennt man das manchmal: „sah plausibel aus."
Subjektive Gewissheit ist kein Gütesiegel für Wahrheit. Das ist einer der zentralen Sätze des Vortrags – und er hat direkte Konsequenzen für jeden, der Phishing-Simulationen oder Social-Engineering-Tests bewertet.
Stufe 3: Vertrautheit macht uns prüfträge
Die dritte Täuschung zeigt, wie schlecht wir Veränderungen erkennen, wenn der Kontext vertraut wirkt.
Change Blindness – die Unfähigkeit, Veränderungen in einer Szene wahrzunehmen, wenn sie im richtigen Moment eingeführt werden – wurde von Daniel Simons und Daniel Levin umfassend erforscht.*** Menschen erkennen Kontextwechsel, Rollenwechsel und Identitätswechsel viel schlechter, als sie glauben. Wenn ein Umfeld bekannt erscheint, reduziert das Gehirn automatisch den Prüfaufwand.
Für Angreifer ist das eine der wertvollsten Eigenschaften menschlicher Wahrnehmung. Ein neuer Ansprechpartner, eine leicht veränderte E-Mail-Adresse, ein minimal abweichender Prozessschritt – alles wirkt noch vertraut genug, dass niemand innerlich auf die Bremse tritt.
Stufe 4: Selbst beim Denken suchen wir Bestätigung, keine Widerlegung
Die vierte Täuschung trifft diejenigen am härtesten, die sich auf ihre analytischen Fähigkeiten verlassen.
Der Confirmation Bias – die Tendenz, bevorzugt nach Informationen zu suchen, die die eigene erste Hypothese bestätigen – gehört zu den am besten dokumentierten kognitiven Verzerrungen überhaupt. Peter Wason beschrieb ihn erstmals 1960; Daniel Kahneman hat ihn in „Thinking, Fast and Slow" für ein breites Publikum zugänglich gemacht.**** Sobald wir eine plausible Erklärung haben, stabilisieren wir sie – statt sie zu hinterfragen.
Das fühlt sich nach Analyse an. Es ist aber oft nur komfortable Bestätigung. In Incident Response, Fraud-Bewertung und Risikoeinschätzung ist das ein echtes Problem. Manipulation endet nicht beim ersten Eindruck. Sie wird richtig stark, wenn unser Denken danach noch mithilft.
Die Schlussfolgerung: Was das für Awareness bedeutet
Wenn diese vier Stufen stimmen, reicht es nicht, Mitarbeitende über Angriffsmuster zu informieren. Reines Wiedererkennen ist zu wenig.
Wirksame Awareness muss etwas anderes trainieren: den ersten Eindruck unterbrechen. Plausibilität nicht mit Wahrheit verwechseln. Vertrautheit nicht mit Legitimität. Die erste Hypothese nicht mit Erkenntnis.
Das gelingt nicht durch Folien. Es gelingt durch Formate, in denen Menschen diese Mechanismen nicht nur hören – sondern am eigenen Leib erleben. Genau das ist der Ansatz, den Mindcraft in seinen Formaten verfolgt. Und genau das zeigen Eric Flury und Tomislav Bodrozic am 21. Mai live auf der Bühne der Take Aware 2026.
Zur Konferenz: Warum dieser Vortrag jetzt relevant ist
Die Take Aware 2026 steht unter dem Motto #8ORING – Achtsamkeit & neue Langeweile mit und durch KI. Der Hintergrund: Eine tiefenpsychologische Studie des Brand Science Institute im Auftrag des BSI zeigt, dass KI nicht nur Zeit spart, sondern auch innere Unruhe und Leerlauf erzeugt. Und Leerlauf ist, analog einer generellen Unterforderung, ein ernstzunehmendes Informationssicherheitsrisiko.
Der Vortrag von Eric Flury und Tomislav Bodrozic passt in diesen Rahmen präziser, als es zunächst scheint. Denn wenn KI die kognitive Auslastung von Mitarbeitenden verändert – Routineaufgaben abnimmt, aber auch Konzentration und Urteilsvermögen neu beansprucht – dann stellen sich die vier Stufen des Vortrags mit neuer Dringlichkeit: Wer ist in einem KI-geprägten Arbeitsalltag noch in der Lage, den ersten Eindruck zu unterbrechen? Wer prüft Plausibilität, wenn KI-generierte Inhalte per Definition plausibel klingen?
Für CISOs und Awareness Manager, die verstehen wollen, warum ihre Programme trotz hoher Investitionen nicht die gewünschte Verhaltensänderung erzielen, ist dieser Vortrag ein konkreter Ansatzpunkt – kein weiterer Vortrag über Angriffsarten, sondern eine direkte Auseinandersetzung mit dem, was Awareness im Kern schwierig macht.
Die Take Aware findet vom 19. bis 21. Mai 2026 im b'mine Hotel in Düsseldorf-Flingern statt. Der Vortrag von Eric Flury und Tomislav Bodrozic ist am 21. Mai um 13:45 Uhr im Hauptprogramm.
Fazit
Manipulierbarkeit ist kein Zeichen von Dummheit. Sie ist der Preis dafür, dass unser Gehirn schnell, effizient und meist sinnvoll arbeitet. Angreifer nutzen genau diese Stärke – und machen sie zur Schwachstelle.
Gute Awareness beginnt nicht beim besseren Erklären. Sie beginnt beim besseren Erleben, Prüfen und Unterbrechen.
* Simons, D. J. & Chabris, C. F. (1999). Gorillas in our midst: Sustained inattentional blindness for dynamic events. Perception, 28(9), 1059–1074.
** Botvinick, M. & Cohen, J. (1998). Rubber hands 'feel' touch that eyes see. Nature, 391, 756.
*** Simons, D. J. & Levin, D. T. (1998). Failure to detect changes to people during a real-world interaction. Psychonomic Bulletin & Review, 5(4), 644–649.
**** Wason, P. C. (1960). On the failure to eliminate hypotheses in a conceptual task. Quarterly Journal of Experimental Psychology, 12(3), 129–140. Kahneman, D. (2011). Thinking, Fast and Slow. Farrar, Straus and Giroux.