Der Faktor Mensch – Von Ohnmacht und Wahnsinn

Der Faktor Mensch ist eines der grössten Risiken für die Informationssicherheit. Die etablierten Lösungsansätze in diesem Bereich sind aber erstaunlich unkreativ und wirkungslos. Seit Jahren setzt man auf eLearning und Phishing-Simulationen und fragt sich, warum sich die Mitarbeitenden immer noch unsicher verhalten.

Text: Katja Dörlemann, publiziert am 18. August 2023

Humans represent one of the biggest risks to information security. Photo: FrankBoston / stock.adobe.com
Humans represent one of the biggest risks to information security. Photo: FrankBoston / stock.adobe.com

Lähmende Ohnmacht …

Der Mensch ist das Einfallstor Nr.1 für Cyber-Kriminelle. Social Engineering heisst das Erfolgsmodell und erfreut sich seit Jahren steigender Beliebtheit.

Diverse Studien und Umfragen zeigen, dass der Faktor Mensch an den meisten untersuchten Vorfällen beteiligt ist. Fazit: Wir, die Menschen, die Mitarbeitenden, die User stellen eines der grössten, wenn nicht das grösste Risiko für die Informationssicherheit dar.

Die Security Community – sonst so flexibel und innovativ – verdrängt diese Erkenntnis und scheint im Anblick des «Layer 8»-Problems in eine lähmende Ohnmacht zu fallen: Wir stellen doch Informationen zur Verfügung, sogar in einfacher Sprache. Was denn noch?!

Zu oft habe ich es in Panels oder Podiumsdiskussionen miterlebt, dass sich diese Ohnmacht im Umgang mit dem Faktor Mensch als kleinster gemeinsamer Nenner aller teilnehmenden Fachpersonen herauskristallisierte. Am Ende jeder noch so hitzigen Diskussion bestätigt man sich gegenseitig, dass ja eigentlich die User und ihre renitente Dummheit das Problem seien. Et voilà – mit diesem gemeinsamen Feindbild kann man sich in Frieden und dem Gefühl, das einem die Hände gebunden sind, trennen.

… und Wahnsinn

Wenn ich mir die vorherrschenden Security Awareness-Massnahmen anschaue, kommt mir häufig folgendes Zitat von Albert Einstein in den Sinn: «Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten.» Seit Jahren wird von den Mitarbeitenden erwartet, dass die Teilnahme an einem eLearning und einer Phishing-Simulation ihre Überzeugungen und Verhaltensroutinen nachhaltig ändert. Und seit Jahren wundert sich die Security Community, warum diese Erwartungen nicht erfüllt werden.

Sind wir alle wahnsinnig? Ich sehe häufig Stellenanzeigen für Security Awareness-Positionen, in denen Personen mit IT-Ausbildung gesucht werden. Unter Aufgaben sind Punkte wie «Kampagne entwickeln», «Zielgruppen engagieren», oder – mein absoluter Favorit – «Sicherheitskultur fördern» gelistet. Unter den dafür geforderten Kompetenzen findet sich «IT-Studium», «Enterprise Security Architecture» oder «Incident Handling». Da drängen sich folgende Fragen auf: Mit welchen Kenntnissen soll eine Fachperson für Incident Handling Kommunikationskampagnen entwickeln? Wie soll das funktionieren? Wäre es nicht sinnvoller, diese Aufgaben Kommunikationsprofis zu überlassen?

Schöne Dashboards

Was in den allermeisten Fällen passiert, ist Folgendes: Fachleute im Bereich der Technik lösen Probleme mit Technik, das ist die gewohnte Herangehensweise. Für alles gibt es eine Softwarelösung, warum dann nicht auch für unsicheres Verhalten der Mitarbeitenden? Ohne viel zu überlegen, wird die bewährte eLearning-Lösung inkl. Phishing-Simulationsservice eingekauft und sich an den schönen Dashboards erfreut. Damit bewegt man sich auf gewohntem Terrain. Nachhaltige Verhaltensänderung? Fehlanzeige. Das kann kein eLearning allein leisten. Auch nicht mit Gamification.

Den Faktor Mensch einbeziehen heisst aber,

  • Interesse für das Thema Sicherheit zu wecken und die Relevanz aufzuzeigen,
  • User zielgruppengerecht mit relevantem Wissen und Kompetenzen auszustatten und zu trainieren 
  • und das gewünschte sichere Verhalten durch angepasste Prozesse und unterstützende Tools zu ermöglichen.

Die nötigen Kompetenzen und Fähigkeiten für diese drei Aufgabenbereiche liefert kein Informatikstudium. Sollte es auch nicht müssen.

Delegieren, Kollaborieren, Abgeben

Anstatt sich bis zum Wahnsinn im Kreis zu drehen, sollte die Security Community lernen zu delegieren, zu kollaborieren, abzugeben. Mit dem Faktor Mensch halten diverse Disziplinen Einzug in den Bereich «Security». Es geht nicht mehr nur darum, Software sicherer zu machen, sondern auch Schwachstellen in Prozessen und Verhaltensweisen zu erkennen und zu schliessen. Die Security Community kann es sich nicht mehr leisten nur unter sich zu bleiben, sie muss sich öffnen für Austausch und Kollaboration mit anderen Fachbereichen. Wir brauchen das Wissen von Profis in den Bereichen der Kommunikation, Psychologie, Soziologie und Usability. Einige der erfolgreichsten mir bekannten Security Awareness-Programme werden von Fachleuten geführt, die nicht aus der IT-Secrutiy stammen. Ohne ihre Expertise enden die meisten Versuche im Umgang mit dem Faktor Mensch in einem weiteren langweiligen Online-Training.

Ein klarer Trend

Im Switch-Kompetenzzentrum für Security Awareness können wir erfreulicherweise einen ganz klaren Trend zum interdisziplinären Zusammenarbeiten beobachten. In den letzten Jahren erhielt die Security Community immer mehr Unterstützung aus anderen Fachbereichen. Es gibt Initiativen wie die Digital Society Initiative (DSI) der Universität Zürich, die Praxis und Forschung aus diversen Bereichen vereinen. Es gibt den Lehrstuhl für Human-Centred Security an der Ruhr-Universität Bochum oder den Lehrstuhl für Sicherheit, Privatsphäre und Gesellschaft an der ETH Zürich. Im Zuge des Themas der Digitalisierung erhält auch Security Einzug in die Gesellschaftsforschung.

Gleichzeitig können wir beobachten, dass Unternehmen nun vermehrt Ressourcen sprechen, um den Faktor Mensch konkret zu adressieren. Die Zahl der Vollzeit-Security Awareness-Professionals steigt – langsam, aber sie steigt. Veranstaltungen wie der Swiss Security Awareness Day wachsen und wachsen.

Nun liegt es an der Security Community diesen Trend weiterzutreiben, sich nicht zu verschliessen. Wir müssen nicht ohnmächtig dem Wahnsinn verfallen, wir können delegieren, kollaborieren und abgeben. Lasst uns über den Tellerrand schauen, Rat in anderen Fachgebieten suchen und Stellenbeschreibungen auch für Nicht-IT-Fachleute interessant machen.

Cyber Security
Katja Dörlemann

Katja Dörlemann

Awareness Spezialistin

Switch

Alle Beiträge ansehen

Insights aus unserem Alltag

A welcome to the participants of the Swiss Security Awareness Day 2023
Cyber Security

Cybersecurity –Raus aus der Nische

Participants of the Switch Forum Days in their Working Group
Corporate

Das waren die ersten Switch Forum Days

Digital traces depicted on a giant screen.
Cyber Security

Gutes Storytelling verbessert die Cybersicherheit

At the Digital Economy Award Night 2023, the audience chose a female and a male winner of the NextGen Hero Award via live voting.
Corporate

Wer wird Digital-Heldin und Digital-Held des Jahres?

AI-generated illustration of highly complex supply chains and the challenges for cyber security
Cyber Security

Cyber-Bedrohung Nummer 1: Die Lieferkette

Silvio Oertli, Head of the Switch Computer Emergency Response Team for Swiss universities and the registry
Cyber Security

Weltweite Verbesserung der Cyber-Resilienz