Vom schwächsten Glied zum Sicherheitsfaktor
Verena Zimmermann ist überzeugt, dass es zu kurz greift, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen. Vielmehr sollten die besonderen F?higkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.
Bei Cybersicherheit denken viele zuerst an ausgefeilte Technologien wie Verschlüsselungsprogramme, E-Mail-Filter oder Anti-Viren Programme. Nur: Das beste Verschlüsselungsprogramm hilft nicht viel, wenn es nicht genutzt wird. Schwache Passw?rter sind durchaus ein Risikofaktor. Doch der Grund dafür ist nicht unbedingt Faulheit oder Unwissenheit. Das menschliche Gehirn ist schlicht nicht darauf ausgelegt, sich 50 oder mehr unterschiedliche zuf?llige Passw?rter zu merken. Dennoch wird der Mensch im Bereich der Cybersicherheit oft als das ?schw?chste Glied?, als ?Risiko? oder als ?Problem? bezeichnet. Damit Cybersicherheit gelingt, ist die Interaktion von Mensch und Technologie entscheidend.
Faktor Mensch reduzieren?
In der Vergangenheit hat man oft versucht den ?Faktor Mensch? weitgehend zu eliminieren, indem man die Interaktion mit den Nutzenden ganz vermieden, stark eingeschr?nkt oder reglementiert hat. Beispiele dafür sind strenge Richtlinien, wie ein monatlicher Passwortwechsel, das Verbot von USB-Sticks oder die Automatisierung von Prozessen.
?Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur m?ssig erfolgreich.?Verena Zimmermann
Sicherheits-Richtlinien k?nnen durchaus hilfreich sein. Wenn Richtlinien allerdings mit t?glichen Arbeitsabl?ufen kollidieren oder nicht leicht anwendbar sind, entwickeln Nutzende h?ufig unsichere Strategien, um diese zu umgehen. Beispielsweise bewahren sie ihr Passwort offen auf, weil es schwer zu merken ist oder sie passen simpel eine Zahl am Ende des Passworts an, wenn h?ufige Passwortwechsel erforderlich sind. Leider macht dieses Verhalten oft ein Angriff viel einfacher. Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur m?ssig erfolgreich.
Gezielte Angriffe werden h?ufiger
Beunruhigend ist zudem, dass die Zahl und auch die Qualit?t der Cyberangriffe steigt, die auf den ?Faktor Mensch? abzielen. Zum Beispiel Phishing-Angriffe, die durch Social Engineering versuchen, Menschen dazu zu bringen, sch?dliche Anh?nge herunterzuladen oder ihre geheimen Zugangsdaten auf gef?lschten Webseiten einzugeben.
Zeit also für die Cybersicherheitsforschung neue Wege zu gehen. Das Ziel neuerer Forschungsans?tze ist unter anderem die Passung zwischen Mensch und Sicherheitsl?sungen zu verbessern. So k?nnen Passwortalternativen aus Bildern oder spielerische Trainings dabei helfen, dass Nutzende sich der Cyber-Bedrohungen besser bewusst werden. Die Kluft zwischen den technischen Anforderungen und den menschlichen F?higkeiten soll damit besser überbrückt werden.
Allerdings noch sinnvoller w?re meiner Ansicht nach, den Menschen und seine F?higkeiten als ungenutztes Potenzial zu verstehen und einzusetzen.
Menschliches Potenzial besser nutzen
Aus der Psychologie und der Sicherheitsforschung kennen wir dieses Potenzial eigentlich: Menschen sind sehr kreativ, anpassungsf?hig an neue Situationen und k?nnen auch unter Unsicherheit gute Entscheidungen treffen. Bisher haben wir uns haupts?chlich darauf konzentriert, was Menschen falsch machen und versucht, das zu verhindern. Wenn wir nun aber auch analysieren, was Menschen richtig machen und warum, k?nnen wir neue Ans?tze für die Cybersicherheit entwickeln.
Phishing ist ein gutes Beispiel dafür: Forschende haben herausgefunden, dass menschliche Intuition und Mustererkennung, die durch jahrelange Erfahrung verfeinert wurden, komplexen Algorithmen bei der Erkennung subtiler Phishing-Versuche oft überlegen sind. Wenn wir also verstehen, warum einige Personen Phishing-E-Mails nicht nur erkennen, sondern sogar melden und andere proaktiv warnen, k?nnen wir untersuchen, wie wir andere Personen besser bei diese Aufgabe unterstützen k?nnen.
Die hohe Flexibilit?t und Anpassungsf?higkeit der Menschen k?nnten in der heutigen dynamischen Bedrohungslage eine wichtige Funktion bekommen. Wenn wir es schaffen, eine Kultur zu etablieren, in der sich jeder und jede Einzelne verantwortlich fühlt - und auch motiviert und bef?higt ist entsprechend zu agieren - k?nnten wir einen entscheidenden Beitrag zur Cybersicherheit leisten. Es ist an der Zeit, den Menschen nicht l?nger als das schw?chste Glied, sondern als wertvollen Sicherheitsfaktor zu betrachten.
Zimmermann, V., Sch?ni, L., Schaltegger, T., Ambühl, B., Knieps, M., & Ebert, N. (2024). Human-Centered Cybersecurity Revisited: From Enemies to Partners. Communications of the ACM. externe Seite https://doi.org/10.1145/3665665