Dieser Artikel wurde erstmals bei inside-it.ch im Rahmen der #Security-Kolumne von Switch publiziert. Die Kolumne erscheint sechs Mal jährlich. Fachpersonen von Switch äussern unabhängig ihre Meinung zu Themen rund um Politik, Technik und Awareness der IT-Sicherheit.
Der Faktor Mensch – Von Ohnmacht und Wahnsinn
Der Faktor Mensch ist eines der grössten Risiken für die Informationssicherheit. Die etablierten Lösungsansätze in diesem Bereich sind aber erstaunlich unkreativ und wirkungslos. Seit Jahren setzt man auf eLearning und Phishing-Simulationen und fragt sich, warum sich die Mitarbeitenden immer noch unsicher verhalten.
Lähmende Ohnmacht …
Der Mensch ist das Einfallstor Nr.1 für Cyber-Kriminelle. Social Engineering heisst das Erfolgsmodell und erfreut sich seit Jahren steigender Beliebtheit.
Diverse Studien und Umfragen zeigen, dass der Faktor Mensch an den meisten untersuchten Vorfällen beteiligt ist. Fazit: Wir, die Menschen, die Mitarbeitenden, die User stellen eines der grössten, wenn nicht das grösste Risiko für die Informationssicherheit dar.
Die Security Community – sonst so flexibel und innovativ – verdrängt diese Erkenntnis und scheint im Anblick des «Layer 8»-Problems in eine lähmende Ohnmacht zu fallen: Wir stellen doch Informationen zur Verfügung, sogar in einfacher Sprache. Was denn noch?!
Zu oft habe ich es in Panels oder Podiumsdiskussionen miterlebt, dass sich diese Ohnmacht im Umgang mit dem Faktor Mensch als kleinster gemeinsamer Nenner aller teilnehmenden Fachpersonen herauskristallisierte. Am Ende jeder noch so hitzigen Diskussion bestätigt man sich gegenseitig, dass ja eigentlich die User und ihre renitente Dummheit das Problem seien. Et voilà – mit diesem gemeinsamen Feindbild kann man sich in Frieden und dem Gefühl, das einem die Hände gebunden sind, trennen.
… und Wahnsinn
Wenn ich mir die vorherrschenden Security Awareness-Massnahmen anschaue, kommt mir häufig folgendes Zitat von Albert Einstein in den Sinn: «Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten.» Seit Jahren wird von den Mitarbeitenden erwartet, dass die Teilnahme an einem eLearning und einer Phishing-Simulation ihre Überzeugungen und Verhaltensroutinen nachhaltig ändert. Und seit Jahren wundert sich die Security Community, warum diese Erwartungen nicht erfüllt werden.
Sind wir alle wahnsinnig? Ich sehe häufig Stellenanzeigen für Security Awareness-Positionen, in denen Personen mit IT-Ausbildung gesucht werden. Unter Aufgaben sind Punkte wie «Kampagne entwickeln», «Zielgruppen engagieren», oder – mein absoluter Favorit – «Sicherheitskultur fördern» gelistet. Unter den dafür geforderten Kompetenzen findet sich «IT-Studium», «Enterprise Security Architecture» oder «Incident Handling». Da drängen sich folgende Fragen auf: Mit welchen Kenntnissen soll eine Fachperson für Incident Handling Kommunikationskampagnen entwickeln? Wie soll das funktionieren? Wäre es nicht sinnvoller, diese Aufgaben Kommunikationsprofis zu überlassen?
Schöne Dashboards
Was in den allermeisten Fällen passiert, ist Folgendes: Fachleute im Bereich der Technik lösen Probleme mit Technik, das ist die gewohnte Herangehensweise. Für alles gibt es eine Softwarelösung, warum dann nicht auch für unsicheres Verhalten der Mitarbeitenden? Ohne viel zu überlegen, wird die bewährte eLearning-Lösung inkl. Phishing-Simulationsservice eingekauft und sich an den schönen Dashboards erfreut. Damit bewegt man sich auf gewohntem Terrain. Nachhaltige Verhaltensänderung? Fehlanzeige. Das kann kein eLearning allein leisten. Auch nicht mit Gamification.
Den Faktor Mensch einbeziehen heisst aber,
- Interesse für das Thema Sicherheit zu wecken und die Relevanz aufzuzeigen,
- User zielgruppengerecht mit relevantem Wissen und Kompetenzen auszustatten und zu trainieren
- und das gewünschte sichere Verhalten durch angepasste Prozesse und unterstützende Tools zu ermöglichen.
Die nötigen Kompetenzen und Fähigkeiten für diese drei Aufgabenbereiche liefert kein Informatikstudium. Sollte es auch nicht müssen.
Delegieren, Kollaborieren, Abgeben
Anstatt sich bis zum Wahnsinn im Kreis zu drehen, sollte die Security Community lernen zu delegieren, zu kollaborieren, abzugeben. Mit dem Faktor Mensch halten diverse Disziplinen Einzug in den Bereich «Security». Es geht nicht mehr nur darum, Software sicherer zu machen, sondern auch Schwachstellen in Prozessen und Verhaltensweisen zu erkennen und zu schliessen. Die Security Community kann es sich nicht mehr leisten nur unter sich zu bleiben, sie muss sich öffnen für Austausch und Kollaboration mit anderen Fachbereichen. Wir brauchen das Wissen von Profis in den Bereichen der Kommunikation, Psychologie, Soziologie und Usability. Einige der erfolgreichsten mir bekannten Security Awareness-Programme werden von Fachleuten geführt, die nicht aus der IT-Secrutiy stammen. Ohne ihre Expertise enden die meisten Versuche im Umgang mit dem Faktor Mensch in einem weiteren langweiligen Online-Training.
Ein klarer Trend
Im Switch-Kompetenzzentrum für Security Awareness können wir erfreulicherweise einen ganz klaren Trend zum interdisziplinären Zusammenarbeiten beobachten. In den letzten Jahren erhielt die Security Community immer mehr Unterstützung aus anderen Fachbereichen. Es gibt Initiativen wie die Digital Society Initiative (DSI) der Universität Zürich, die Praxis und Forschung aus diversen Bereichen vereinen. Es gibt den Lehrstuhl für Human-Centred Security an der Ruhr-Universität Bochum oder den Lehrstuhl für Sicherheit, Privatsphäre und Gesellschaft an der ETH Zürich. Im Zuge des Themas der Digitalisierung erhält auch Security Einzug in die Gesellschaftsforschung.
Gleichzeitig können wir beobachten, dass Unternehmen nun vermehrt Ressourcen sprechen, um den Faktor Mensch konkret zu adressieren. Die Zahl der Vollzeit-Security Awareness-Professionals steigt – langsam, aber sie steigt. Veranstaltungen wie der Swiss Security Awareness Day wachsen und wachsen.
Nun liegt es an der Security Community diesen Trend weiterzutreiben, sich nicht zu verschliessen. Wir müssen nicht ohnmächtig dem Wahnsinn verfallen, wir können delegieren, kollaborieren und abgeben. Lasst uns über den Tellerrand schauen, Rat in anderen Fachgebieten suchen und Stellenbeschreibungen auch für Nicht-IT-Fachleute interessant machen.
Cyber Security