Cybersecurity –Raus aus der Nische

Cybersecurity wird gemacht von Nerds für Nerds. Was am Anfang gut war, reicht heute nicht mehr aus. Denn das Thema betrifft alle und alles. Wir müssen raus aus unserer gemütlichen, aber einengenden Nische. Nur wie?

Text: Katja Dörlemann, publiziert am 09. Juli 2024

Jährlich wächst die Anzahl der Cybersecurity Konferenzen, Tagungen, Events sowie Arbeitsgruppen, Vereine, Gesellschaften. Aktuelle Cyberangriffe schaffen es regelmässig in die Berichterstattung der Massenmedien, und 95% der Schweizer Bevölkerung sehen Angriffe aus dem Internet als ernstzunehmendes Problem. Cybersecurity ist kein Nischenthema mehr – oder doch?

Population survey among Swiss Internet users in 2023.
Zusammenfassende Auswertung der «Bevölkerungsumfrage der Schweizer Internet-Nutzenden 2023.» Quelle: www.internet-sicherheit.ch

Cybersecurity wird in der Nische gestaltet

Während sich unser Leben immer schneller digitalisiert, schleicht Cybersecurity schwer atmend hinterher. Massnahmen, technologische Lösungen oder Prozesse werden immer noch fast ausschliesslich in der und für die Cybersecurity-Nische gestaltet und dann auf den Rest der Menschheit losgelassen. Die Hoffnung? Passt schon. Die Realität? Nicht anwendbare Security und Frustration. Ein Beispiel: 

Wie authentifizieren wir uns im digitalen Alltag? Seit Jahrzehnten mit Passwörtern. Einzigartig und komplex und mindestens 14 Zeichen lang sollen sie sein. Und weil das auch nicht mehr ganz sicher ist, jetzt bitte mit «Multi-Faktor-Authentifizierung» (Google) oder dann bitte die «zweistufige Authentifizierung» (LinkedIn) oder «Überprüfung» (MS Teams) einschalten. Haben Sie sich schon einmal gefragt, wie viele Accounts Sie bisher angelegt haben? Mit all den Webshops, Social Media-Plattformen, Banken, Versicherungen und dergleichen sind es wahrscheinlich weit über hundert. Authentifizierung mit Passwörtern, die allen Sicherheitsregeln folgt, ist fast unmöglich.

Glücklicherweise hat sich zumindest hier in den letzten Jahren einiges getan. Es gibt Passwortmanager, Single-Sign-On-Lösungen, Passkeys – also Sicherheitstechnologien zur Unterstützung der Internetnutzenden. Leider haben es diese Verbesserungen noch nicht in die Mitte der Gesellschaft geschafft. Nur 38% der Schweizer Internetnutzenden verwenden privat einen Passwortmanager.

Es gibt viele weitere Beispiele: VPN, Firewall, Datenklassifizierung, sicheres Data Sharing usw. Für alles gilt: Usability? Kaum vorhanden.

Cybersecurity kollaboriert ungern

Das Thema Cybersecurity betrifft uns alle, warum also sollten es nicht auch alle mitgestalten? Bisher öffnet sich die Security Community nur in Ausnahmen für Fachleute und Einflüsse anderer Disziplinen. Lieber bleibt sie unter sich und erfindet das Rad neu, als die Gesellschaft zur Zusammenarbeit einzuladen. Menschen für sicheres Verhalten sensibilisieren? Das geht nur mit eigens für das Thema erstellten E-Learnings und Phishing-Simulationen von Anbietern, die ausschliesslich auf genau das Thema Security spezialisiert sind. Die Sicherheitskultur verbessern? Tolle Idee, da forschen wir doch einfach mal auf der grünen Wiese los.

Dass Disziplinen wie Organisationspsychologie, Kommunikation, Erwachsenenbildung und Bereiche wie beispielsweise die physische Sicherheit von Atomkraftwerken seit Jahrzehnten Lösungsansätze anbieten, wird erst seit Kurzem zur Kenntnis genommen.

Cybersecurity ist nichts Besonderes. Das Gebiet ist mit vielen Problemen konfrontiert, die man aus anderen Bereichen bereits kennt. Man arbeitet einfach ungern mit anderen zusammen.

Interdisziplinäre Kollaboration bei der SISA

Die Zusammenarbeit mit verschiedenen Organisationen und Fachbereichen ist aufwendig. Sie braucht viel Engagement, Übersetzungsleistung, Ermutigung und Verständnis. Seit nunmehr 10 Jahren fördert Switch mit der Swiss Internet Security Alliance genau das. Seit sieben Jahren darf ich Teil dieser Arbeit sein und konnte den Wandel der Ansprüche der Mitglieder hautnah miterleben. Gestartet mit dem Bedürfnis, Daten organisationsübergreifend auszutauschen, entwickelt sich der Verein gerade hin zu einem interdisziplinären Kollaborationsunternehmen, das mit iBarry.ch als Plattform für Internetsicherheit, dem Websecurity Day, dem Swiss Security Awareness Day und Arbeitsgruppen, die komplexen Anforderungen der Cybersecurity-Landschaft adressieren will. 

A welcome to the participants of the Swiss Security Awareness Day 2023
Marcus Beyer, Lead iBarry Advisory Board, begrüsst im Namen von iBarry die Teilnehmenden des Swiss Security Awareness Days 2023 am 24. Oktober in Bern. Foto: Mathias Karlsson, Switch.

Im Vorstand arbeite ich mit Fachleuten aus der Security Awareness, Prävention, Versicherungslandschaft sowie den Abuse-Teams von der Sunrise, Swisscom, Mobiliar und der Schweizerischen Kriminalprävention zusammen und profitiere enorm vom Austausch. Wir alle haben ähnliche Probleme, stehen vor ähnlichen Hürden. Der Input und die Erfahrungen anderer machen unsere Arbeit effizienter. Denn wir alle haben dasselbe Ziel: Daten und Informationen sichern und unsere Kundschaft schützen. Warum also nicht an einem Strang ziehen? Warum nicht zusammen die Schweizer Bevölkerung informieren? Warum nicht alle Mitglieder vor identifizierten Phishing URLs schützen? Wir müssen das Rad nicht immer neu erfinden. Hier gibt es noch viel Potenzial.
Cybersecurity ist einfach zu relevant

Das Fachgebiet Cybersecurity oder auch IT im Allgemeinen hat ein grosses Problem: seine Relevanz. Für die Menschheit. Für die Gesellschaft. Für die Wirtschaft. Jede Organisation und jede Person, die sich digital bewegt – also praktisch die ganze Welt – braucht Prozesse, Software und Expertise, die von Disziplinen auch ausserhalb der Cybersecurity mitgestaltet werden. Sie bilden die Basis, den Rahmen für das digitale Leben. Zum Vergleich: Eine Literaturwissenschaftlerin entdeckt eine bisher unbekannte Schrift von Johann W. von Goethe, die die vorherrschende Deutung seines gesamten Werks in Frage stellt. Wen interessiert das? Niemanden ausserhalb der Literatur-Bubble. Wenn hingegen eine Expertin für Cybersecurity ein neues Authentifizierungsverfahren wie Passkeys entwickelt, stellt dies jahrelang eingeübte Gewohnheiten der gesamten Bevölkerung, interne Infrastrukturen aller Organisationen und ganze Industriezweige auf den Kopf. Da hat Cybersecurity, diese Disziplin, die sich immer noch in den Grenzen ihres Reichs bewegt und selten über den Tellerrand schaut, einfach Pech gehabt.

Voneinander lernen, Ressourcen koppeln

Bestehende, führende Cybersecurity-Experten und -Expertinnen müssen sich für Input aus anderen Fachbereichen öffnen. Dazu gehören Politik, Diplomatie, Psychologie, Kommunikation und viele mehr. Wir brauchen endlich einen interdisziplinären, kollaborativen Ansatz, der die Vielfältigkeit des Einsatzes und der Nutzung von Technologie in der Realität widerspiegelt. Security-Technologie muss von Security-Technologie-Nerds entwickelt werden – klar. Aber bitte in Zusammenarbeit mit Fachpersonen aus der Usability, dem UX Design, der Prozessoptimierung und anderen. Tech von Techies für Techies kann man machen, hat aber häufig keinen Erfolg. Lasst uns Security erfolgreich anwendbar gestalten und nicht als Hindernis im digitalen Alltag. Lasst uns voneinander lernen oder noch besser: gleich Ressourcen koppeln.

Natürlich ist dafür auch das Interesse der anderen Fachbereiche und ihre Bereitschaft mitzumachen nötig. Sie müssen ebenso verstehen, dass sie ein Mitspracherecht haben und dieses einfordern. Sie müssen das Selbstvertrauen entwickeln, den Status quo zu hinterfragen und Unterstützung bei Anpassungen anzubieten. 

Fazit: Kollaboration einfordern!

Cybersecurity hat Relevanz für alle digitalisierten Aspekte unserer Gesellschaft. Zum einen muss die Disziplin die Konsequenzen (selbst-)bewusst ertragen, solange sie die eigenen Grenzen nicht schneller abbaut. Und sie muss unterstützende Fachexpertise von aussen willkommen heissen, sie integrieren und sie vor allem aktiv einfordern. 

Zum anderen müssen aber auch andere Disziplinen ihre Relevanz für Cybersecurity verstehen und sich dafür öffnen und die Integration und Mitgestaltung einfordern. 

Cybersecurity ist ein Thema für alle.

Link

Bevölkerungsumfrage der Schweizer Internet-Nutzenden 2023: Sicherheit im Internet und beim Onlineshopping www.internet-sicherheit.ch

Cyber Security
Katja Dörlemann

Katja Dörlemann

Awareness Spezialistin

Switch

Alle Beiträge ansehen