Cybersicherheit: Ein zutiefst menschliches Anliegen

Sagen Ihnen die Begriffe „maximal tolerierbare Ausfallzeit“, „Accounting Legend Code“ oder „Secure Sockets Layer“ etwas? Vermutlich nicht, und damit stehen Sie keineswegs alleine da. Die überwiegende Mehrheit der EDV-Nutzer*innen weiß wenig bis gar nichts über die Technologie, die in ihren Geräten steckt und für ihre Cybersicherheit sorgt. User wollen genauso schnell wie unkompliziert arbeiten, und das zu einem akzeptablen Preis. Die allerwenigsten von ihnen möchten sich mit einer Vielzahl undurchsichtiger Regeln auseinandersetzen. Im folgenden Artikel erläutert Richard Knowlton, Direktor für Security Studies an der Oxford Cyber Academy, die Herausforderung, den Anspruch „schnell und unkompliziert“ mit dem Schutz vor Cyberangriffen abzuwägen. Wie sich zeigt, stellt uns das vor ein zutiefst menschliches Problem.

Wir alle haben viel zu tun und müssen eine Menge von Dingen gleichzeitig erledigen. Die digitale Technologie, die uns im Berufs- und Privatleben unterstützt, hat sich an diese Bedürfnisse angepasst. Moderne Systeme und Geräte arbeiten intuitiv und aufeinander abgestimmt, um uns Zeit und Stress zu ersparen. Dabei sind sie so effizient, dass sie mittlerweile aus unserem Alltag nicht mehr wegzudenken sind. Gleichzeitig haben die meisten von uns wenig oder gar keine Ahnung von den technischen Details, die diese Systeme und Geräte eigentlich ausmachen.

Was ist die Kehrseite der Medaille? Die Welt ist voll von Bösewich*iInnen – Kriminellen gleichermaßen wie feindlich gesonnenen Nationalstaaten –, die ganz genau wissen, wie man digitale Technologien für Verbrechen missbraucht: von Diebstahl und Erpressung bis hin zu Körperverletzung oder sogar Mord. All das wirft eine wichtige Frage auf: Wie können wir unsere Abhängigkeit von schneller und unkomplizierter „Smart Technology“ mit ernstzunehmenden Cyber Security-Risiken, mit denen ihr Einsatz nun einmal einhergeht, in Einklang bringen? Die naheliegendste Antwort ist wohl, dass man die Hilfe von Technikexpert*innen in Anspruch nimmt. Ihnen muss es lediglich gelingen, im Zuge dieser „Cyber-Aufrüstung“ immer ausgeklügeltere Verteidigungsmechanismen zu erfinden, damit Verbrecher*innen nicht durchkommen.

Leider ist die Sache nicht ganz so einfach. Dass Technikexpert*innen eine tragende Rolle im Kampf gegen HackerInnen einnehmen – und ihre Aufgabe bravourös erledigen – steht außer Frage. Oft sind sie jedoch genauso anfällig für kommerziellen Druck wie alle anderen Segmente ihres Geschäfts. In ihren Abwägungen könnten sich etwa Hersteller gegen die Verzögerungen, zusätzlichen Kosten und Komplikationen, die ein Fokus auf Sicherheit mit sich bringt, entscheiden.

Und das wissen Hacker*innen ganz genau. Sie haben ein ganzes Arsenal an Strategien entwickelt, um sich mit menschlicher Hilfe an technischen Abwehrmechanismen vorbeizuschleusen. Seit Beginn der Coronakrise und damit der Einführung von Homeoffice beziehungsweise Arbeit außerhalb der üblichen Büroumgebung ist der Einsatz dieser Taktiken explosionsartig angestiegen.

Vielen Führungskräften bereitet der Faktor Mensch im Zusammenhang mit Cybersicherheit großes Kopfzerbrechen; einige gehen sogar so weit, ihr Personal als „schwächstes Glied“ in der Cyberabwehr ihres Unternehmens zu bezeichnen. Damit könnten sie aber grundlegend falsch liegen, denn, wenn sie umfassend informiert und vorbereitet werden, sind Mitarbeiter*innen in Wahrheit der größte Trumpf für den Schutz des Unternehmens.

Wo liegt nun also das Problem? Zahlreiche Themen werden in Betrieben mit Hilfe von Kommunikation und (Fort-)Bildung angegangen. Warum sollte dieses Erfolgsrezept nicht auch im Bereich Sicherheit funktionieren? Man müsste einfach nur den Mitarbeiter*innen die Grundlagen der Cybersicherheit und die größten Gefahren (wie etwa Phishing-Mails) vermitteln, oder etwa nicht?

Leider ist es damit nicht getan, und dafür gibt es zumindest zwei Gründe:

Erstens zeigt uns die Erfahrung, dass das Vermögen, ein Risiko zu erkennen und sein Gefahrenpotenzial einzuschätzen, noch längst keine Garantie dafür ist, dass Menschen es umgehen. Denken Sie an Zigarettenkonsum, übermäßigen Alkoholkonsum, Verhütung, Gurtpflicht – die Liste ließe sich endlos fortsetzen. Der Mensch ist nun mal kein rein rationales Wesen.

©WU Executive Academy

Zweitens neigen Sicherheitsmanager*innen dazu, in absoluten Kategorien zu denken: Der Bedarf an Sicherheit ist „offensichtlich“. Gleichzeitig sind die wenigsten von ihnen in professioneller Kommunikation geschult, wodurch sich ihr Bemühen, Problembewusstsein zu fördern, in simplen Online-Kursen erschöpft, in welchen Mitarbeiter*innen lediglich die grundlegenden „Dos und Don‘ts“ der Cybersicherheit vorgesetzt bekommen. Das Ergebnis ist wenig überraschend. Die Mitarbeiter*innen betrachten die Bedeutung dieser Kurse für ihren Arbeitsalltag als marginal; sie sind eine mühsame Zusatzaufgabe, die man erledigen muss, um den entsprechenden Eintrag in der Personalakte zu bekommen. Es ist naheliegend, dass diese Einstellung nichts zu einer tatsächlichen Bewusstseinsbildung beiträgt.

Die Lösung liegt darin, Sicherheit als grundlegenden Aspekt der Unternehmenskultur zu sehen. Dafür muss jede und jeder ausgehend von der Unternehmensspitze Sicherheit als wesentliche Voraussetzung für den Erfolg ihres oder seines Handelns betrachten. Solange sich diese Kultur nicht in allen Unternehmensaktivitäten niederschlägt, werden grundlegende Regeln der Sicherheitshygiene entweder vergessen oder gar nicht erst vermittelt werden. Die erfolgreichsten Unternehmen wissen das. Ihre Sicherheitskultur ist ein zentrales Element ihrer Selbstwahrnehmung und Außendarstellung.

Schließen Sie sich 15.000+ Abonnent*innen an und erhalten Sie regelmäßige Updates zu Führungs- und Managementthemen. Lernen Sie jedes Mal etwas Neues.