Eine der schlimmsten Phrasen in der Cybersicherheit? Unter anderem Sätze wie dieser: “Die Benutzer sind das schwächste Glied der Sicherheitskette”. Das Einzige, was man mit negativen Affirmationen wie diesen zuverlässig erreicht, ist, Mitarbeitende von den richtigen Verhaltensweisen abzuhalten.
Einbeziehen statt abgrenzen: Warum der Begriff „Benutzer“ nicht immer hilfreich ist
Erstens: Wenn Sie Mitarbeitende, Partner, Kunden, Lieferanten, Freunde und Familie als “Benutzer” bezeichnen, zieht das eine psychologische Grenze zwischen Ihnen und den anderen. Der Begriff schafft so eine Distanz, obwohl wir in Wirklichkeit alle gleichermaßen Technologien verwenden. Zudem ist der Begriff „User“ in anderen Zusammenhängen negativ konnotiert. Zuschreibungen dieser Art sind ebenfalls wenig hilfreich, wenn Sie auf einer Ebene kommunizieren wollen.
Wenn Sie dauerhaft Awareness für neue, sich entwickelnde Bedrohungen sowie die Risiken im Bereich Cybersicherheit schaffen wollen, verabschieden Sie sich besser von Begriffen wie “schwächstes Glied”. Die Kombination aus technischem Fortschritt und den damit verbundenen Risiken führt ohnehin zu einer komplexen Gemengelage, von der Mitarbeitende sich leicht überfordert fühlen. Schuldzuweisungen wie jemanden als das schwächste Glied der Sicherheitskette zu bezeichnen, und nicht auf die eigenen Mitarbeiter zu hören, kann zu unvorhersehbaren, wenn nicht sogar riskanten Situationen führen.
Ein vielfach unterschätztes Problem liegt in der mangelnden Ausgewogenheit zwischen Firmenkultur und Sicherheit/Cybersicherheit. Es lohnt sich aber, ein grundlegendes Verständnis dafür zu entwickeln, was Cybersicherheit für Mitarbeitende, Partner, Kunden und andere Stakeholder konkret bedeutet.
Vom schwächsten Glied zum stärksten Verbündeten
Cybersicherheit ist ein stark technologiegetriebenes Thema. Trotzdem geht es in Wirklichkeit immer um Menschen. Sie setzen die jeweiligen Technologie ein, sie sind es, die Sicherheitslösungen konfigurieren und verwalten, und sie sind in erster Linie von Vorfällen wie Phishing-Kampagnen und Datenschutzverletzungen betroffen.
Betrachtet man den Lebenszyklus einer Technologie, steht der Mensch bei jeder einzelnen Phase im Mittelpunkt: Design, Entwicklung, Erprobung, Nutzung, Missbrauch und Zerstörung. Gerade was die Auswirkungen von Technologie, Informationen und Sicherheit anbelangt, kommt Menschen eine zentrale Rolle zu. Im Verizon Data Breach Investigations Report 2022 heißt es auf Seite 30: “Das menschliche Element ist nach wie vor eine der Hauptursachen für 82 % aller Datenschutzverletzungen.”
Wenn wir die Statistik aus einem anderen Blickwinkel betrachten, stellen wir schnell fest, dass der obig angeführte Prozentsatz in Wirklichkeit eher bei 100 % liegt. Das menschliche Element betrifft dabei nicht nur gestohlene oder kompromittierte Anmeldedaten, sondern auch schwachstellenbehaftete Anwendungen.
Deshalb ist es wichtig, die Kompetenz von Mitarbeitenden zu stärken und ihnen hinsichtlich von Cybersicherheit zu vertrauen. Das macht sie zu Verbündeten, die nicht nur materielle Werte schützen, sondern auch immaterielle wie die Reputation eines Unternehmens.
Eine widerstandsfähige Sicherheitskultur aufbauen
Schulungsprogramme zum Thema Cybersicherheit sind die einzig verfügbaren Instrumente, um Mitarbeitende zu einer wirksamen Verteidigungslinie gegen Cyberangriffe und Cyberkriminelle zu machen. Trainings sollten sich dabei an der Realität der Anwender orientieren. Jährlich wiederkehrende, oftmals wenig ansprechende Veranstaltungen sind nicht unbedingt geeignet, die Motivation zu steigern. Will man jemanden kontinuierlich für Cybersicherheit sensibilisieren, sollte das für Mitarbeitende anregend sein, statt langweilig und banal.
Dr. Jessica Barker benennt in einem ihrer Blogs die Erfolgsformel als „Framing + Kontext = Engagement“.
Wider besseren Wissens gehen immer noch Mitarbeitende davon aus, dass es ihr eigenes Unternehmen schon nicht betreffen werde. Zudem gilt Cybersicherheit vielerorts eher als Produktionshemmnis, denn als Business Enabler.
Üblicherweise erklären Schulungsmaterialien, “warum” wir in Sachen Cybersicherheit kompetent sein sollten. Die Antwort auf die Frage hilft zwar, das Problem zu umreißen, ist aber nur die eine Hälfte des Sensibilisierungsprozesses. Damit das Programm für Ihre Zielgruppe aussagekräftig wird, brauchen Sie den Kontext des “warum gerade ich”. Es geht also um die Frage, was Cybersicherheit konkret mit jedem Einzelnen zu tun hat, und das sowohl am Arbeitsplatz als auch im privaten Umfeld.
Ein weiterer wichtiger Aspekt ist die Botschaft, die Sie mit Ihrem Awareness-Programm vermitteln wollen. Probleme aufzuzeigen, ohne Lösungsangebote zu machen, ist wenig empfehlenswert. Die unheiligen drei „Fear, Uncertainty, and Doubt” (FUD), also Angst, Unsicherheit und Zweifel, sind schlechte Ratgeber. Auch bei einem Lösungsangebot geht es um den Kontext: Multifaktor-Authentifizierung aktivieren ist das eine. Man sollte aber verstanden haben, an welcher Stelle und warum. Das gilt für so ziemlich alle Cybersicherheitsmaßnahmen.
Autor: Steffen Friis, VIPRE Security Group
vipre.com/de/