Menschen schaffen Security

In der IT-Security-Branche ist technisches Wissen fest verankert. Fachleute sind mit den komplexen Systemen und den vielfältigen Bedrohungsszenarien bestens vertraut. Doch oft mangelt es an einem ebenso wichtigen Aspekt: dem effektiven Umgang mit Menschen und Organisationen. Das ist erstaunlich, denn 68 % der Sicherheitsverletzungen werden von Menschen verursacht, die keine böswillige Absicht haben, sondern zum Beispiel Opfer eines Social-Engineering-Angriffs geworden sind oder einen Fehler gemacht haben. Diese Tatsache unterstreicht die Dringlichkeit, den Faktor Mensch in der Cybersicherheit ernster zu nehmen.

Der ENISA Threat Landscape Report 2023 bestätigt diese Erkenntnis. Eine der wichtigsten Schlussfolgerungen ist, dass Social-Engineering-Kampagnen in verschiedenen Formen eine erhebliche Bedrohung für Internet-Nutzende darstellen. Besonders beunruhigend ist, dass mit dem Aufkommen von generativer künstlicher Intelligenz (GenAI) diese Bedrohung weiter zunimmt. Kriminelle Organisationen nutzen zunehmend ausgeklügelte Methoden, um Menschen zielgerichtet zu manipulieren.

Diese Entwicklungen zeigen klar: Technische Lösungen allein reichen nicht aus. Es ist unerlässlich, den Faktor Mensch zu verstehen und gezielt zu adressieren. Nur so können Organisationen gegen die immer komplexer werdenden Bedrohungen geschützt werden.

Der Mensch im Mittelpunkt der Cybersicherheit

Organisationen stehen vor der Herausforderung, ihre Mitarbeitenden für Cyberrisiken zu sensibilisieren und sie in die Lage zu versetzen, sich im digitalen Raum sicher zu verhalten. IT-Sicherheit ist nicht länger das alleinige Terrain der technischen Abteilungen. Alle Mitarbeitenden, vom Management bis zu Mitarbeitenden im Praktikum, spielen eine entscheidende Rolle im Schutz vor Cyberangriffen.

Es wird immer deutlicher, dass der «Human Factor» in der Informationssicherheit nicht nur ein potenzielles Risiko, sondern auch eine Ressource ist, die es zu stärken gilt. Hier setzt die neue Weiterbildung an der ZHAW School of Management and Law an. Der CAS Cyber Risk Awareness zielt darauf ab, die sicherheitsorientierte Unternehmenskultur zu fördern, indem sie den Teilnehmenden praxisnah vermittelt, wie sie Verhalten in ihrer Organisation positiv beeinflussen können.

Human-Centered Security ist interdisziplinär

Bisher hatten die meisten Weiterbildungen in der Informationssicherheit einen eher technischen Fokus, weshalb wir mit Professor Nico Ebert von der ZHAW einen neuen CAS konzipiert haben, der diese Lücke schliesst und Human-Centered Security in den Mittelpunkt rückt.

Der CAS Cyber Risk Awareness vermittelt gezielt Wissen darüber, wie Organisationen ihre Sicherheitskultur stärken, indem sie Verhaltensänderungen bei ihren Mitarbeitenden anstossen. Als Grundlage des Curriculums dient das Cyber Risk Awareness Framework, das vom St. Galler Management-Modell abgeleitet ist. 
 

Der Kurs ist in mehrere Module gegliedert, die systematisch aufeinander aufbauen. Im ersten Modul geht es um die Konzeption von Awareness-Massnahmen. Hier lernen die Teilnehmenden, wie sie ein Bewusstsein für Cyberrisiken in ihrer Organisation schaffen und Sicherheitsprozesse so gestalten können, dass sie für Menschen handhabbar sind. Im zweiten Modul liegt der Fokus auf der praktischen Umsetzung dieser Massnahmen. Es werden konkrete Werkzeuge und Methoden vermittelt, um das Verhalten von Mitarbeitenden positiv zu beeinflussen und sicherzustellen, dass Sicherheitsrichtlinien nicht nur verstanden, sondern auch umgesetzt werden können.

Verhalten ändern ist komplex

Menschen zu überzeugen, ihr Verhalten zu ändern, insbesondere im Kontext der Cybersicherheit, ist eine komplexe Aufgabe. Menschen nehmen Risiken unterschiedlich wahr, und ihre Handlungen werden oft von Gewohnheiten, unbewussten Einstellungen und weiteren Faktoren beeinflusst.
Nehmen wir als Beispiel die unterschiedlichen Faktoren auf das Reporting-Verhalten in Organisationen: Faktoren wie Zeit, die Benutzerfreundlichkeit von Reporting-Systemen und die Angst vor persönlichen Konsequenzen beim Melden eines eigenen Fehlers spielen eine grosse Rolle, ob Mitarbeitende sicherheitsrelevante Vorfälle melden oder nicht. Wenn sie ausserdem das Gefühl haben, dass ihre Meldungen nicht ernst genommen werden oder zu keinen Veränderungen führen, sinkt ihre Bereitschaft, zukünftige Vorfälle zu melden.

Dieser Blogartikel visualisiert mit Einflussdiagrammen, warum es mehr als einer einmaligen Aufforderung bedarf Sicherheitsvorfälle zu melden. Reporting-Verhalten hängt – wie dieses Beispiel zeigt – von vielen Faktoren ab, und um ein gewünschtes Zielverhalten zu etablieren, ist ein grundlegendes Verständnis von Verhaltenspsychologie entscheidend.

Eine sicherheitsorientierte Unternehmenskultur fördern

Eine Sicherheitskultur ist für viele CISOs das erklärte Ziel. Der CAS Cyber Risk Awareness soll das nötige Rüstzeug vermitteln, um diesen Weg erfolgreich zu beschreiten.  Praxisnahes Wissen ermöglicht den Teilnehmenden massgeschneiderte Awareness-Konzepte mit fundierten Massnahmen zu entwickeln, zu evaluieren und kontinuierlich zu verbessern. Durch gezielte Sensibilisierung und Ausbildung aller Mitarbeitenden wird die Basis für eine resiliente Organisation geschaffen.

Weitere Informationen

https://www.zhaw.ch/de/sml/weiterbildung/detail/kurs/cas-cyber-risk-awareness/ 

Info-Webinar CAS Cyber Risk Awareness

Am Dienstag, 1.10., 12:00 – 13:00 stellen wir den neuen CAS Cyber Risk Awareness vor und beantworten Ihre Fragen. 
Zur Webinar-Anmeldung: https://www.zhaw.ch/de/sml/weiterbildung/event/event-news/infoveranstaltung-cas-cyber-risk-awareness/