Die schnelle Falle eines Klicks: Es ist ein normaler Tag im Büro, als ein Mitarbeiter einen Link klickt, der ihn zu einem Dokument führen soll. Seine Kollegin, vermeintlicher Absender der Nachricht, bittet ihn um schnelle Korrektur des Dokuments.
Doch was nach eilig und einfach zu erfüllender Aufgabe aussieht, entwickelt sich schnell zu einem digitalen Alptraum. Die professionell aufgesetzte E-Mail erweist sich als eine Phishing-Nachricht. Ransomware infiltriert das Netzwerk. Weite Teile des Unternehmens sind für die kommenden Tage und Wochen nicht arbeitsfähig. So oder so ähnlich legen Cyberkriminelle fast täglich Unternehmen und Organisationen lahm.
In der öffentlichen Wahrnehmung erscheinen Cyberattacken oft als das Werk gesichtsloser Hacker, die sich durch trickreiche Angriffswellen Zugang zu Systemen verschaffen. Der entscheidende Auslöser ist – wie im obigen Beispiel – oft ein simpler Klick. Aus diesem Grund gilt der Mensch gleichzeitig als das wichtigste und schwächste Glied eines ganzheitlichen Sicherheitskonzepts.
Eindringlich zeigt dieses Beispiel, wie ein einziger, unbedachter Klick das Tor für verheerende digitale Angriffe öffnen kann. Es verdeutlicht, dass die Sensibilisierung der Mitarbeitenden für Cybergefahren von grundlegender Bedeutung ist, um solche Katastrophen zu verhindern. Während IT-Netzwerke gegen externe Angriffe in der Regel gut geschützt sind, setzen Cyberkriminelle häufig auf Methoden, die menschliches Verhalten ins Visier nehmen.
Social Engineering zielt darauf ab, den Zugriff auf Systeme über die Manipulation von Anwendern innerhalb einer Organisation zu erhalten. Zwei entscheidende Faktoren, die über Erfolg und Misserfolg einer Cyberattacke entscheiden können, sind Kreativität und kritisches Denken. Sie spielen sowohl auf Seite der Angreifenden wie auch auf Seite der Verteidigenden eine kritische Rolle. Auf Seite der Angreifenden geht es darum, welche Gestaltung und Inhalte mit größter Wahrscheinlichkeit zum gewünschten Klick führen. Auf Seite der Verteidigenden gilt es, einen kritischen Blick für Absender, URLs und auch für die sprachliche Gestaltung oder die Wahl der Tonalität in einer E-Mail zu entwickeln.
Der Ansatz der „User Centric Security“ betont diese Fähigkeiten und damit die entscheidende Rolle des Menschen in der Cybersicherheit. Eine erfolgreiche Sicherheitsstrategie integriert menschliche Begabung und nutzt diese ergänzend zu Technologien und Tools. Sie schafft eine dauerhafte und effektive Kultur der Cybersicherheit, die die Mitarbeitenden auf emotionaler und intellektueller Ebene anspricht. Konkrete Maßnahmen hierfür umfassen gezielte und kontinuierliche Schulungen zum Sicherheitsbewusstsein sowie benutzerfreundliche Sicherheitsrichtlinien und -lösungen.
Mensch und Maschine
Das Beispiel oben verdeutlicht: In vielen Fällen entscheiden Menschen darüber, ob sich ein Tor für Cyberkriminelle öffnet oder nicht. Öffnet sich eines dieser Tore versehentlich oder aus Unwissenheit so können Security-Tools wie eine Applikationskontrolle Schlimmeres verhindern. Aber: Wäre es nicht viel besser, wenn sich diese Tore gar nicht erst öffneten?
Trotz intensiver Bemühungen können Security-Tools und künstliche Intelligenz eines bisher nicht: Die Intuition und Kreativität des Menschen vollständig reproduzieren. Ein feines Gespür für Nuancen, das Erkennen ungewöhnlicher Betreffzeilen und Absender in Phishing- Mails sowie die Fähigkeit, Veränderungen im Sprachgebrauch zu erfassen, sind essenziell für die Verteidigung. Die kreativen und kritischen Fähigkeiten des Menschen spielen eine unersetzliche Rolle im Wettkampf gegen die Methoden von Cyberkriminellen.
Die Einzigartigkeit menschlicher Fähigkeiten macht den Menschen unersetzlich in der Verteidigung. „Menschlichkeit“ ist bisher nicht durch künstliche Intelligenz replizierbar. Daher setzen die besten IT-Sicherheitsmodelle auf die Fähigkeit zu kritischem Denken und Kreativität, unterstützt von modernen Cybersecurity-Technologien.
Die Herausforderung moderner Sicherheitsstrategien ist es, User und Systeme zusammenzubringen.
Andreas Fuchs, DriveLock SE
Für Sicherheitsrisiken sensibilisieren
Diese Fähigkeiten nun in die Praxis zu übertragen ist das Ziel von „User Centric Security“. Denn trotz theoretischen Wissens über sicheres Verhalten im Netz zeigen viele Anwender und Anwenderinnen unsichere Praktiken. Konkret heißt das: Sie sind sich über die Gefahren „dort draußen“ durchaus bewusst, verhalten sich aber nicht entsprechend. Aus diesem Grund ist es wichtig, nicht nur das Bewusstsein für potenzielle Risiken zu schaffen, sondern gleichzeitig auch nachhaltige Verhaltensänderungen und eine Kultur der Cybersicherheit zu etablieren.
Herkömmliche Schulungen erzielen hier oft nicht die gewünschten Ergebnisse. Regulierungen wie ISO 27001 schreiben Security Awareness als Teil eines Sicherheitsprogramms vor und so werden Schulungen oft lediglich als Pflicht – oder anders formuliert: für den Haken auf dem Audit-Bogen – erfüllt. Ihr Ziel ist es nicht, nachhaltig zu wirken.
Effektiver sind kontinuierliche Sensibilisierungsmaßnahmen, die Herz und Verstand der Lernenden erreichen. Erfolgreiche Initiativen sprechen sowohl emotional als auch intellektuell an, nutzen moderne Lernmethoden und kurze, prägnante Inhalte. Situationsbedingte Sicherheitstrainings, die zu relevanten Zeitpunkten stattfinden, bringen mehr als umfassende Schulungen.
Wenn Sicherheitsmaßnahmen im Weg stehen
Was ist der größte Fehler, den Verantwortliche bei der Implementierung von Sicherheitsrichtlinien oder -tools begehen können? Sie können noch so wirksame Lösungen einführen. Sobald diese aber die Produktivität der Mitarbeitenden gefährden passiert Folgendes: Die Kollegen und Kolleginnen setzen auf ihre einzigartigen menschlichen Fähigkeiten – sie werden kreativ.
Die Erfahrung zeigt, dass Teile der Belegschaft Sicherheitsrichtlinien aktiv umgehen, wenn sie das Gefühl haben, anders nicht produktiv genug zu sein. Die Einführung neuer Maßnahmen scheitert oft nicht am Unverständnis der Risiken, sondern an umständlichen Prozessen oder Technologien, die dazu führen, dass Anwendende nach Wegen suchen, Beschränkungen zu umgehen. Das Ergebnis ist häufig eine Schatten-IT.
Die Herausforderung moderner Sicherheitsstrategien ist es, User und Systeme zusammenzubringen. Ein gelungenes Zusammenspiel von modernen Technologien und menschlichen Fähigkeiten schützt Unternehmen und Organisationen effektiv vor Cyberbedrohungen. Sicherheitslösungen sollten Security-Teams in ihren Aufgaben unterstützen, ohne die menschlichen Aspekte zu vernachlässigen.