Die Digitalisierung führt zu umfassenden Veränderungen in unserer Gesellschaft. Cyber Security spielt in dieser Neuordnung des Alltags eine zentrale Rolle. Doch wir Menschen machen in diesem Umbruch eine zunehmend schlechte Figur. Vernachlässigte Sicherheitsvorkehrungen und fehlendes Sicherheitsbewusstsein machen uns zunehmend zum Risiko. Muss der Mensch als Risiko für die Cyber Security „unschädlich“ gemacht werden? Oder können wir sogar alle unseren Beitrag zu mehr Sicherheit leisten?
Betrachtet man den Faktor Mensch in der Cyber Security, so lassen sich vereinfacht zwei Gruppen unterscheiden: Experten und Nutzer. Zu den Experten – also den Fachkräften – zählen diejenigen, die über eine einschlägige Ausbildung, Zertifizierung, oder entsprechende Berufserfahrung verfügen. Nutzer sind alle, die mit der Digitalisierung und damit auch mit Informationssicherheit in Berührung kommen. Während also jeder Experte auch ein Nutzer ist, so ist nicht jeder Nutzer auch ein Experte. Experten und Nutzer spielen eine entscheidende Rolle für die Cybersicherheit. Sowohl im positiven als auch im negativen Sinne. Der Mensch ist nicht nur ein Sicherheitsrisiko, sondern gleichzeitig auch ein unschätzbarer und weithin unterschätzter Sicherheitsfaktor.
Der Mensch wird oft als das schwächste Glied in der Kette der Cybersicherheit gesehen. Und tatsächlich sind Sicherheitsvorfälle viel zu häufig auf menschliches Fehlverhalten oder schlichtweg auf Unwissenheit zurückzuführen. Denken Sie nur an Social-Engineering, Phishing oder Spear Phishing. Ein Beispiel IT-Sicherheit für ein menschliches Einfallstor ist der Twitter-Hack im Jahr 2020, bei dem die Konten einer Vielzahl von bekannten Persönlichkeiten übernommen wurden. Ausgangspunkt waren Social-Engineering-Angriffe auf Mitarbeitende des Kurznachrichtendienstes. Ein weiteres Beispiel für menschliche Schwachstellen sind schlechte Passwörter, die immer noch millionenfach zum Einsatz kommen. Die „Schwachstelle Mensch“ ist mittlerweile das am häufigsten genutzte Einfallstor für Hacker. Obwohl auch „Experten“ vor solchen Angriffen nicht gefeit sind, gelingen Angriffe doch sehr viel häufiger bei gewöhnlichen „Nutzern“. Die Experten wiederum sind ein enorm wichtiger Faktor für die Verteidigung. Aber auch diese Abwehr bröckelt mittlerweile. Ein Grund ist im Fachkräftemangel zu suchen. Es stehen viel zu wenige Experten zur Verteidigung bereit, um unsere Gesellschaft wirklich effektiv zu schützen. Dieser Mangel hat zudem noch einen nachgelagerten Effekt: Die Experten sind hoffnungslos überlastet.
Menschen, also alle Nutzer im Sinne der Cyber Security, können aber auch ein wichtiges und effektives Element bei der Erkennung von Bedrohungen sein. Gerade im Unternehmenskontext können Mitarbeitende Angriffe oft schon erkennen, bevor sie von der technischen Abwehrinfrastruktur des Unternehmens registriert werden. Aber auch wenn es einem Angreifer gelungen ist, eine oder mehrere Verteidigungslinien zu überwinden, sind Nutzer ein effektiver „Sicherheitssensor“, um diese Bedrohungen zu erkennen. Der menschliche Schutzschild kann aber nur dann einen effektiven Beitrag zur Aufrechterhaltung der Sicherheit leisten, wenn das notwendige Bewusstsein, anwenderfreundliche Methoden und motivierende Anreize geschaffen werden. Die Sensibilisierung der Mitarbeitenden muss verdeutlichen, dass Cyber Security keine rein technische Angelegenheit mehr ist und alle ihren Beitrag dafür leisten können und sogar müssen. Damit dies gelingt, ist es aber notwendig, ein Awareness-Programm strategisch zu planen und unterschiedlichste Medien und Lehrmethoden zielgruppen- und risikoorientiert einzusetzen. Es müssen relevante Gefahren vermittelt werden, um die Grundlage für einen sensiblen Umgang mit Daten und Cyber Security zu legen. Auch die Aufmerksamkeit für mögliche verdächtige Vorgänge kann so geschärft werden. Vor allem sind Awareness Trainings individuell auf das Unternehmen und die jeweiligen Angriffsszenarien anzupassen. Generische oder abstrakte Awareness Trainings schaffen erfahrungsgemäß keinen großen Zugewinn für das Sicherheitsbewusstsein von Nutzern. Im schlimmsten Fall kommt es zu einer Verschlechterung des Sicherheitsfaktors Mensch, da die Anwender von den Trainings und dem Thema Security Awareness genervt sind.
Menschen, sowohl Nutzer als auch Experten, sind unsere besten Schutzschilde gegen Cyber-Attacken – wenn wir sie richtig einsetzen! Der Mensch ist zu einem gewissen Grad Teil des Problems. Gleichzeitig ist er als menschlicher Sicherheitsfaktor aber auch ein Teil der Lösung. Eine verbesserte Awareness, einfach zu handhabende Sicherheits- und Meldemöglichkeiten sowie ein gut durchdachtes und faires Anreizsystem können die Nutzer zu einem effektiven Sicherheitssensor machen.
