Vom schwächsten Glied zum Sicherheits­faktor

2. Dezember 2024 um 14:52
  • security
  • People
  • Governance
  • F+E
image
Foto: Mimi Thian / Unsplash

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

Bei Cybersicherheit denken viele zuerst an Technologien wie Verschlüsselungsprogramme, E-Mail-Filter oder Antiviren-Programme. Nur: Das beste Verschlüsselungsprogramm hilft nicht viel, wenn es nicht genutzt wird. Schwache Passwörter sind durchaus ein Risikofaktor. Doch der Grund dafür ist nicht unbedingt Faulheit oder Unwissenheit. Das menschliche Gehirn ist schlicht nicht darauf ausgelegt, sich 50 oder mehr unterschiedliche zufällige Passwörter zu merken. Dennoch wird der Mensch im Bereich der Cybersicherheit oft als das "schwächste Glied", als "Risiko" oder als "Problem" bezeichnet. Damit Cybersicherheit gelingt, ist die Interaktion von Mensch und Technologie entscheidend.

Faktor Mensch reduzieren?

In der Vergangenheit hat man oft versucht, den "Faktor Mensch" weitgehend zu eliminieren, indem man die Interaktion mit den Nutzenden ganz vermieden, stark eingeschränkt oder reglementiert hat. Beispiele dafür sind strenge Richtlinien, wie ein monatlicher Passwortwechsel, das Verbot von USB-Sticks oder die Automatisierung von Prozessen.
"Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur mässig erfolgreich." (Verena Zimmermann)
Sicherheits-Richtlinien können durchaus hilfreich sein. Wenn Richtlinien allerdings mit täglichen Arbeitsabläufen kollidieren oder nicht leicht anwendbar sind, entwickeln Nutzende häufig unsichere Strategien, um diese zu umgehen. Beispielsweise bewahren sie ihr Passwort offen auf, weil es schwer zu merken ist oder sie passen simpel eine Zahl am Ende des Passworts an, wenn häufige Passwortwechsel erforderlich sind. Leider macht dieses Verhalten oft ein Angriff viel einfacher. Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur mässig erfolgreich.

Gezielte Angriffe werden häufiger

Beunruhigend ist zudem, dass die Zahl und auch die Qualität der Cyberangriffe steigt, die auf den "Faktor Mensch" abzielen. Zum Beispiel Phishing-Angriffe, die durch Social Engineering versuchen, Menschen dazu zu bringen, schädliche Anhänge herunterzuladen oder ihre geheimen Zugangsdaten auf gefälschten Webseiten einzugeben.
Zeit also für die Cybersicherheitsforschung neue Wege zu gehen. Das Ziel neuerer Forschungsansätze ist unter anderem, die Passung zwischen Mensch und Sicherheitslösungen zu verbessern. So können Passwortalternativen aus Bildern oder spielerische Trainings dabei helfen, dass Nutzende sich der Cyber-Bedrohungen besser bewusst werden. Die Kluft zwischen den technischen Anforderungen und den menschlichen Fähigkeiten soll damit besser überbrückt werden.
Allerdings noch sinnvoller wäre meiner Ansicht nach, den Menschen und seine Fähigkeiten als ungenutztes Potenzial zu verstehen und einzusetzen.

Menschliches Potenzial besser nutzen

Aus der Psychologie und der Sicherheitsforschung kennen wir dieses Potenzial eigentlich: Menschen sind sehr kreativ, anpassungsfähig an neue Situationen und können auch unter Unsicherheit gute Entscheidungen treffen. Bisher haben wir uns hauptsächlich darauf konzentriert, was Menschen falsch machen und versucht, das zu verhindern. Wenn wir nun aber auch analysieren, was Menschen richtig machen und warum, können wir neue Ansätze für die Cybersicherheit entwickeln.
Phishing ist ein gutes Beispiel dafür: Forschende haben herausgefunden, dass menschliche Intuition und Mustererkennung, die durch jahrelange Erfahrung verfeinert wurden, komplexen Algorithmen bei der Erkennung subtiler Phishing-Versuche oft überlegen sind. Wenn wir also verstehen, warum einige Personen Phishing-E-Mails nicht nur erkennen, sondern sogar melden und andere proaktiv warnen, können wir untersuchen, wie wir andere Personen besser bei dieser Aufgabe unterstützen können.
Die hohe Flexibilität und Anpassungsfähigkeit der Menschen könnten in der heutigen dynamischen Bedrohungslage eine wichtige Funktion bekommen. Wenn wir es schaffen, eine Kultur zu etablieren, in der sich jeder und jede Einzelne verantwortlich fühlt – und auch motiviert und befähigt ist, entsprechend zu agieren – könnten wir einen entscheidenden Beitrag zur Cybersicherheit leisten. Es ist an der Zeit, den Menschen nicht länger als das schwächste Glied, sondern als wertvollen Sicherheitsfaktor zu betrachten. (Verena Zimmermann / Zukunftsblog der ETH Zürich)

 

image

Über die Autorin

Verena Zimmermann ist Assistenzprofessorin für Sicherheit, Privatsphäre und Gesellschaft an der ETH Zürich. Ihr Forschungsgebiet sind menschlichen Aspekte bei der IT-Sicherheit und dem Datenschutz.


Loading

Mehr zum Thema

image

Beginnt das WEF, starten die DDoS-Attacken

Prorussische Gruppen melden erste Angriffe in Graubünden. Das Bundesamt für Cybersicherheit sieht kritische Infrastrukturen gewappnet.

publiziert am 20.1.2025
image

Datasport gewinnt den Courage Award

Mit dem Award zeichnen Inside IT und ISSS Unternehmen aus, die nach einem Cyberangriff besonders vorbildlich kommunizierten.

publiziert am 16.1.2025
image

Podcast: Von Melani zum Bacs

Eine gewisse Narrenfreiheit und viel Aufbauarbeit: So verlief die Anfangszeit der Melde- und Analysestelle des Bundes. Im Podcast spricht Inside IT über den Start der Stelle vor 20 Jahren und die Entwicklung zum Bundesamt.

publiziert am 17.1.2025
image

UK-Regierung will Lösegeldverbot und Ransomware-Meldepflicht

Keine Lösegelder mehr von Behörden und allgemeine Meldepflicht auch für Privatunternehmen und -personen, so ein Vorschlag der britischen Regierung.

publiziert am 16.1.2025