Home » Fachbeiträge » Security Management » Die menschliche Dimension der Cybersicherheit

User-Centric Security: Die menschliche Dimension der Cybersicherheit

User-Centric Security-Awareness betont die Rolle des Menschen in der Cybersicherheit. Erfolgreiche Sicherheitsstrategien integrieren menschliche Fähigkeiten in Technologien und Tools. Im Zentrum dieses Ansatzes steht eine Kultur der Cybersicherheit, die Herz und Verstand der Mitarbeitenden anspricht.

5 Min. Lesezeit
Foto: ©AdobeStock/VideoFlow

Konkret geht es um anlassbezogene und dauerhafte Awareness-Schulungen sowie benutzerfreundliche Sicherheitsrichtlinien und -lösungen.

Wenn wir den Begriff „Cyberattacke“ hören, denken wir an gesichtslose Hacker, die nach vielen trickreichen Angriffswellen in ein System eindringen und dieses kompromittieren. In der Realität stehen hinter diesen Angriffen kriminelle Organisationen, die bewusst eine ganz bestimmte Schwachstelle in der IT-Sicherheitsarchitektur ausnutzen – den Menschen – und der entscheidende Auslöser für den Angriff ist oft nur ein einfacher Klick. Nicht umsonst wird der Faktor Mensch oft als das wichtigste – und zugleich schwächste – Glied eines ganzheitlichen Sicherheitskonzepts bezeichnet.

IT-Netzwerke von Unternehmen und Organisationen sind gegen externe Angriffe häufig gut geschützt. In der Regel kommen verschiedene Präventionswerkzeuge und Sicherheitslösungen zum Einsatz. Aus diesem Grund nutzen Cyberkriminelle gezielt Methoden, in deren Mittelpunkt menschliches Verhalten steht. Die Rede ist dann von Social Engineering und dem Ziel, den Zugriff auf Systeme über die Manipulation von Anwendern innerhalb einer Organisation zu erhalten. Phishing-Nachrichten werden an aktuelle Geschehnisse, Krisen oder bekannte Personen angepasst, mit dem Ziel, Menschen zum Öffnen des Anhangs einer E-Mail zu verleiten.

Kreativität und kritisches Denken: Die unschlagbaren Security-Features

Menschliche Fähigkeiten wie Kreativität, Sprachverständnis und kritisches Denken spielen eine entscheidende Rolle für den Erfolg oder Misserfolg von Social Engineering. Sie werden sowohl von Angreifern als auch von Verteidigern eingesetzt. Beide Seiten nutzen kritisches Denken für ihre Pläne und Methoden, finden kreative Lösungen für schwierige Probleme und haben die Fähigkeit, Informationen frei zu kommunizieren. Mit anderen Worten: Cybersicherheit ist vor allem ein intellektuelles Kopf-an-Kopf-Rennen. Cyberkriminelle bedienen sich beispielsweise brisanter Situationen wie zuletzt Pandemien oder Kriege, um Menschen genau dort zu treffen, wo sie verwundbar sind: in ihren Emotionen.

Aus diesem Grund funktionieren Spear-Phishing oder CEO-Fraud (gefälschte E-Mails angeblich von der Geschäftsführung) besonders gut, weil sie auf ein Verständnis von (Macht-)Konstellationen und kollegialen Beziehungen innerhalb eines Unternehmens aufbauen und entsprechend gezielt agieren.

Noch wichtiger sind menschliche Fähigkeiten auf Seite der Verteidigenden. Versuche, den Menschen in diesem Wettbewerb durch künstliche Intelligenz (KI) zu ersetzen, haben nur begrenzten Erfolg. Die KI kann menschliche Intuition und Kreativität nicht vollständig ersetzen.

Menschen haben ein feines Gespür für Nuancen, wie ungewöhnliche Betreffzeilen oder Absender im Fall von Phishingmails sowie Veränderungen im Sprachgebrauch im Kontext von CEO-Fraud. Zudem sind sie in der Lage, die Zeichen der Zeit zu lesen und so beispielsweise Phishingtrends zu antizipieren. Regelmäßige Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über bestimmte Betrugsmaschen sind ein gutes Beispiel dafür, wie Menschen eine neue Bedrohung identifizieren und kommunizieren.

Unsere einzigartigen Fähigkeiten machen die Rolle des Menschen in der Verteidigung so wichtig. Dessen Kernkompetenzen sind die blinden Flecken der KI. „Menschlichkeit“ ist noch nicht durch künstliche Intelligenz replizierbar. Die besten IT-Sicherheitsmodelle nutzen die Fähigkeit zu kritischem Denken und Kreativität, unterstützt von moderner Cybersecurity-Technologie.

Für Sicherheitsrisiken sensibilisieren

In der Theorie sollte die Mehrzahl der digital arbeitenden Mitarbeiter wissen, wie sicheres Verhalten im Netz aussieht. Dennoch notieren sich User weiterhin Passwörter oder speichern diese ungeschützt elektronisch ab. Sie umgehen Sicherheitsmaßnahmen, wenn diese ihnen im Weg stehen, oder zeigen unsichere Verhaltensweisen im Netz. Daher muss das Ziel einer guten Sicherheitsstrategie nicht nur sein, ein Bewusstsein für die Gefahren im Netz zu schaffen, sondern eine nachhaltige Verhaltensänderung und somit eine Kultur der Cybersicherheit herbeizuführen.

Viele namhafte Institute wie das National Institute of Standards and Technology (NIST), das Center for Internet Security (CIS), aber auch das BSI und der Bitkom-Verband in Deutschland sowie bald NIS-2 auf europäischer Ebene weisen auf die Bedeutung und Wichtigkeit von Security-Awareness-Trainings hin. Doch trotz Anforderungen wie der ISO 27001, die Security-Awareness als Teil eines Sicherheitsprogramms vorschreiben, führen die Schulungen oftmals nicht zu den gewünschten Ergebnissen. Warum ist das so? In den Regularien heißt es beispielsweise: „Sie müssen in der Lage sein, diese Schulungen und deren Einhaltung/Compliance gegenüber Auditoren nachzuweisen.“ Und das ist vielleicht auch das Problem. Die Anforderung beantwortet nicht die Frage nach dem Warum und dem Wie. Viele Sicherheitsteams bieten den Mitarbeitenden ein Security-Awareness-Training an, um die Checkbox für die Einhaltung der Vorschriften ankreuzen zu können. Doch der Zweck des Trainings sollte darin bestehen, eine dauerhafte Verhaltensänderung zu bewirken.

Das Ergebnis solcher „Anforderungs-Schulungen“ ist eine passive Teilnahme, wenig Spaß und zu viele Themen in zu kurzer Zeit. IT-Security Awareness-Methoden berücksichtigen oftmals kaum die Wirkungszusammenhänge und Angriffsketten, sondern behandeln hier und da einzelne Angriffsvektoren.

Besser gelingt dies mit kontinuierlichen Sensibilisierungsmaßnahmen wie situationsbedingten Sicherheitstrainings. Wichtig für den Erfolg ist, dass die Trainings Herz und Verstand der Lernenden erreichen. Erfolgreiche Initiativen sprechen sowohl emotional als auch intellektuell an, nutzen moderne Lernmethoden, wie Gamification (z. B. Quiz) oder Videos, und halten die User mit kurzen, knackigen Inhalten bei Laune.

Wenn diese Inhalte immer wieder zum passenden Zeitpunkt – eventbezogen – abgespielt werden, sind sie deutlich effektiver als ein zweistündiger Vortrag über Hacker und Schadsoftware. Zum Beispiel könnte ein 30-sekündiges Pop-up-Video über Bad USB erscheinen, wenn User einen privaten USB-Stick an den Unternehmensrechner anschließen. Mit diesem Video werden sie vor möglichen Risiken gewarnt und können noch einmal entscheiden, ob sie die auf dem Stick enthaltenen Dateien wirklich im Unternehmensnetzwerk öffnen möchten. So lässt sich mit einfachen Mitteln eine nachhaltige Kultur für Cybersicherheit etablieren.

Wenn Sicherheitsmaßnahmen im Weg stehen

Bei der Einführung von Sicherheitsrichtlinien oder Sicherheitstools gilt unbedingt und unverrückbar folgende Prämisse: Die Produktivität der Mitarbeiterinnen und Mitarbeiter darf nicht beeinträchtigt werden. Zehn Prozent der Mitarbeitenden im Informationsbereich geben an, dass sie eine Sicherheitsrichtlinie aktiv umgehen würden, wenn sie wüssten, wie. Der Hauptgrund: um produktiv zu bleiben. In vielen Fällen scheitert die Einführung neuer Sicherheitsmaßnahmen nicht, weil die Belegschaft die Risiken nicht versteht, sondern weil der Prozess oder die Technologie oder beides zu umständlich sind. Dies führt dazu, dass Anwender nach Möglichkeiten suchen, technische Beschränkungen oder Regularien zu überwinden, um ihren eigenen – unsicheren – Weg zu finden. Dann entsteht eine Schatten-IT.

Letztlich geht es darum, Benutzer und Systeme mit dem richtigen Zusammenspiel von moderner Technologie und menschlichen Fähigkeiten vor andauernden Cyberbedrohungen zu schützen.

Sicherheitslösungen müssen Security-Teams unterstützen, ihre Arbeit besser zu erledigen – sowohl auf menschlicher, prozessualer als auch auf technologischer Seite. Technologie und Automatisierung spielen dabei selbstverständlich wichtige Rollen. Indem wir den Schwerpunkt einer ganzheitlichen Sicherheitsstrategie von der reinen Technologie auf die Security-Analysten verlagern, versetzen wir diese in die Lage, echte Verteidiger zu sein. Technologie sollte den Menschen und sein Handeln besser machen und ihn nicht ersetzen.

Andreas Fuchs

Andreas Fuchs ist Director Product Management bei DriveLock SE.

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.