#Security: Menschen schaffen Sicherheit

21. August 2024 um 12:27
  • kolumne
  • #security
  • ZHAW
  • cybersecurity
  • ciso
image
Cornelia Puhze

Eine Sicherheitskultur zu etablieren ist für viele CISOs das erklärte Ziel, doch wie soll das konkret erreicht werden? Cornelia Puhze von der Stiftung Switch zeichnet in ihrer Kolumne mögliche Wege auf.

In der IT-Security-Branche ist technisches Wissen fest verankert. Fachleute sind mit den komplexen Systemen und den vielfältigen Bedrohungsszenarien bestens vertraut. Doch oft mangelt es an einem ebenso wichtigen Aspekt: dem effektiven Umgang mit Menschen und Organisationen. Das ist erstaunlich, denn 68 % der Sicherheitsverletzungen werden von Menschen verursacht, die keine böswillige Absicht haben, sondern zum Beispiel Opfer eines Social-Engineering-Angriffs geworden sind oder einen Fehler gemacht haben. Diese Tatsache unterstreicht die Dringlichkeit, den Faktor Mensch in der Cybersicherheit ernster zu nehmen.
Der Enisa Threat Landscape Report 2023 bestätigt diese Erkenntnis. Eine der wichtigsten Schlussfolgerungen ist, dass Social-Engineering-Kampagnen in verschiedenen Formen eine erhebliche Bedrohung für Internet-Nutzende darstellen. Besonders beunruhigend ist, dass mit dem Aufkommen von generativer Künstlicher diese Bedrohung weiter zunimmt. Kriminelle Organisationen nutzen zunehmend ausgeklügelte Methoden, um Menschen zielgerichtet zu manipulieren.
Diese Entwicklungen zeigen klar: Technische Lösungen allein reichen nicht aus. Es ist unerlässlich, den Faktor Mensch zu verstehen und gezielt zu adressieren. Nur so können Organisationen gegen die immer komplexer werdenden Bedrohungen geschützt werden.

Der Mensch im Mittelpunkt der Cybersicherheit

Organisationen stehen vor der Herausforderung, ihre Mitarbeitenden für Cyberrisiken zu sensibilisieren und sie in die Lage zu versetzen, sich im digitalen Raum sicher zu verhalten. IT-Sicherheit ist nicht länger das alleinige Terrain der technischen Abteilungen. Alle Mitarbeitenden, vom Management bis zu Mitarbeitenden im Praktikum, spielen eine entscheidende Rolle im Schutz vor Cyberangriffen.
Info-Webinar CAS Cyber Risk Awareness
Am Dienstag, 1.10., 12:00 – 13:00 stellen wir den neuen CAS Cyber Risk Awareness vor und beantworten Ihre Fragen. Zur Webinar-Anmeldung.
Es wird immer deutlicher, dass der "Human Factor" in der Informationssicherheit nicht nur ein potenzielles Risiko, sondern auch eine Ressource ist, die es zu stärken gilt. Hier setzt die neue Weiterbildung an der ZHAW School of Management and Law an. Der CAS Cyber Risk Awareness zielt darauf ab, die sicherheitsorientierte Unternehmenskultur zu fördern, indem sie den Teilnehmenden praxisnah vermittelt, wie sie Verhalten in ihrer Organisation positiv beeinflussen können.

Human-Centered Security ist interdisziplinär

Bisher hatten die meisten Weiterbildungen in der Informationssicherheit einen eher technischen Fokus, weshalb wir mit Professor Nico Ebert von der ZHAW einen neuen CAS konzipiert haben, der diese Lücke schliesst und Human-Centered Security in den Mittelpunkt rückt.
Der CAS Cyber Risk Awareness vermittelt gezielt Wissen darüber, wie Organisationen ihre Sicherheitskultur stärken, indem sie Verhaltensänderungen bei ihren Mitarbeitenden anstossen. Als Grundlage des Curriculums dient das Cyber Risk Awareness Framework, das vom St. Galler Management-Modell abgeleitet ist.
image
Foto: ZHAW
Der Kurs ist in mehrere Module gegliedert, die systematisch aufeinander aufbauen. Im ersten Modul geht es um die Konzeption von Awareness-Massnahmen. Hier lernen die Teilnehmenden, wie sie ein Bewusstsein für Cyberrisiken in ihrer Organisation schaffen und Sicherheitsprozesse so gestalten können, dass sie für Menschen handhabbar sind. Im zweiten Modul liegt der Fokus auf der praktischen Umsetzung dieser Massnahmen. Es werden konkrete Werkzeuge und Methoden vermittelt, um das Verhalten von Mitarbeitenden positiv zu beeinflussen und sicherzustellen, dass Sicherheitsrichtlinien nicht nur verstanden, sondern auch umgesetzt werden können.

Verhalten ändern ist komplex

Menschen zu überzeugen, ihr Verhalten zu ändern, insbesondere im Kontext der Cybersicherheit, ist eine komplexe Aufgabe. Menschen nehmen Risiken unterschiedlich wahr, und ihre Handlungen werden oft von Gewohnheiten, unbewussten Einstellungen und weiteren Faktoren beeinflusst.
Nehmen wir als Beispiel die unterschiedlichen Faktoren auf das Reporting-Verhalten in Organisationen: Faktoren wie Zeit, die Benutzerfreundlichkeit von Reporting-Systemen und die Angst vor persönlichen Konsequenzen beim Melden eines eigenen Fehlers spielen eine grosse Rolle, ob Mitarbeitende sicherheitsrelevante Vorfälle melden oder nicht. Wenn sie ausserdem das Gefühl haben, dass ihre Meldungen nicht ernst genommen werden oder zu keinen Veränderungen führen, sinkt ihre Bereitschaft, zukünftige Vorfälle zu melden.
image
Foto: Humanistic Systems
Dieser Blogartikel visualisiert mit Einflussdiagrammen, warum es mehr als einer einmaligen Aufforderung bedarf, Sicherheitsvorfälle zu melden. Reporting-Verhalten hängt – wie dieses Beispiel zeigt – von vielen Faktoren ab, und um ein gewünschtes Zielverhalten zu etablieren, ist ein grundlegendes Verständnis von Verhaltenspsychologie entscheidend.

Eine sicherheitsorientierte Unternehmenskultur fördern

Eine Sicherheitskultur ist für viele CISOs das erklärte Ziel. Der CAS Cyber Risk Awareness soll das nötige Rüstzeug vermitteln, um diesen Weg erfolgreich zu beschreiten. Praxisnahes Wissen ermöglicht den Teilnehmenden massgeschneiderte Awareness-Konzepte mit fundierten Massnahmen zu entwickeln, zu evaluieren und kontinuierlich zu verbessern. Durch gezielte Sensibilisierung und Ausbildung aller Mitarbeitenden wird die Basis für eine resiliente Organisation geschaffen.
Über die Autorin
Cornelia Puhze ist IT-Security-Awareness-Spezialistin bei Switch. Als Teil von Switch CERT unterstützt sie die Schweizer Bildungs-, Forschungs- und Innovationsgemeinschaft, um den «Faktor Mensch» in der Informationssicherheit wirksam zu adressieren. Gerüstet mit einem MA in Political Communications, erlernte sie ihr Handwerk in Privatwirtschaft, öffentlichem Sektor und NGOs in Zürich und London.

Loading

Mehr zum Thema

image

Prantl behauptet: Besseres für Wenige

Welche Strategie sollen hiesige Softwareunternehmen verfolgen? Ziel könnte eine Qualitätsführerschaft in einem klar definierten Markt sein, schreibt unser Kolumnist Urs Prantl.

publiziert am 30.9.2024
image

Vor 70 Jahren: Das Cern wird gegründet

An der Forschungseinrichtung wird an physikalischen Grundlagen und der Entstehungsgeschichte des Universums geforscht. Inside IT hat die Geburtsstätte des World Wide Webs besucht.

publiziert am 27.9.2024
image

Parldigi direkt: Macht die "Swiss Government Cloud" den Bund tatsächlich unabhängiger von Big Tech?

Nationalrat Gerhard Andrey nimmt als Gastautor die "Swiss Government Cloud" unter die Lupe.

publiziert am 25.9.2024
image

Vogt am Freitag: Schönen Gruss, auf Wiederseh'n

Für meine letzte Kolumne lasse ich die Toten Hosen sprechen. Die können besser dichten als ich. Und singen sowieso: 15 Songs der Band haben sich in diesen Text geschlichen.

publiziert am 13.9.2024