Bei Cybersicherheit denken viele zuerst an Technologien wie Verschlüsselungsprogramme, E-Mail-Filter oder Antiviren-Programme. Nur: Das beste Verschlüsselungsprogramm hilft nicht viel, wenn es nicht genutzt wird. Schwache Passwörter sind durchaus ein Risikofaktor. Doch der Grund dafür ist nicht unbedingt Faulheit oder Unwissenheit. Das menschliche Gehirn ist schlicht nicht darauf ausgelegt, sich 50 oder mehr unterschiedliche zufällige Passwörter zu merken. Dennoch wird der Mensch im Bereich der Cybersicherheit oft als das "schwächste Glied", als "Risiko" oder als "Problem" bezeichnet. Damit Cybersicherheit gelingt, ist die Interaktion von Mensch und Technologie entscheidend.

In der Vergangenheit hat man oft versucht, den "Faktor Mensch" weitgehend zu eliminieren, indem man die Interaktion mit den Nutzenden ganz vermieden, stark eingeschränkt oder reglementiert hat. Beispiele dafür sind strenge Richtlinien, wie ein monatlicher Passwortwechsel, das Verbot von USB-Sticks oder die Automatisierung von Prozessen.

Sicherheits-Richtlinien können durchaus hilfreich sein. Wenn Richtlinien allerdings mit täglichen Arbeitsabläufen kollidieren oder nicht leicht anwendbar sind, entwickeln Nutzende häufig unsichere Strategien, um diese zu umgehen. Beispielsweise bewahren sie ihr Passwort offen auf, weil es schwer zu merken ist oder sie passen simpel eine Zahl am Ende des Passworts an, wenn häufige Passwortwechsel erforderlich sind. Leider macht dieses Verhalten oft ein Angriff viel einfacher. Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur mässig erfolgreich.

Beunruhigend ist zudem, dass die Zahl und auch die Qualität der Cyberangriffe steigt, die auf den "Faktor Mensch" abzielen. Zum Beispiel Phishing-Angriffe, die durch Social Engineering versuchen, Menschen dazu zu bringen, schädliche Anhänge herunterzuladen oder ihre geheimen Zugangsdaten auf gefälschten Webseiten einzugeben.

Zeit also für die Cybersicherheitsforschung neue Wege zu gehen. Das Ziel neuerer Forschungsansätze ist unter anderem, die Passung zwischen Mensch und Sicherheitslösungen zu verbessern. So können Passwortalternativen aus Bildern oder spielerische Trainings dabei helfen, dass Nutzende sich der Cyber-Bedrohungen besser bewusst werden. Die Kluft zwischen den technischen Anforderungen und den menschlichen Fähigkeiten soll damit besser überbrückt werden.

Allerdings noch sinnvoller wäre meiner Ansicht nach, den Menschen und seine Fähigkeiten als ungenutztes Potenzial zu verstehen und einzusetzen.

Aus der Psychologie und der Sicherheitsforschung kennen wir dieses Potenzial eigentlich: Menschen sind sehr kreativ, anpassungsfähig an neue Situationen und können auch unter Unsicherheit gute Entscheidungen treffen. Bisher haben wir uns hauptsächlich darauf konzentriert, was Menschen falsch machen und versucht, das zu verhindern. Wenn wir nun aber auch analysieren, was Menschen richtig machen und warum, können wir neue Ansätze für die Cybersicherheit entwickeln.

Phishing ist ein gutes Beispiel dafür: Forschende haben herausgefunden, dass menschliche Intuition und Mustererkennung, die durch jahrelange Erfahrung verfeinert wurden, komplexen Algorithmen bei der Erkennung subtiler Phishing-Versuche oft überlegen sind. Wenn wir also verstehen, warum einige Personen Phishing-E-Mails nicht nur erkennen, sondern sogar melden und andere proaktiv warnen, können wir untersuchen, wie wir andere Personen besser bei dieser Aufgabe unterstützen können.

Die hohe Flexibilität und Anpassungsfähigkeit der Menschen könnten in der heutigen dynamischen Bedrohungslage eine wichtige Funktion bekommen. Wenn wir es schaffen, eine Kultur zu etablieren, in der sich jeder und jede Einzelne verantwortlich fühlt – und auch motiviert und befähigt ist, entsprechend zu agieren – könnten wir einen entscheidenden Beitrag zur Cybersicherheit leisten. Es ist an der Zeit, den Menschen nicht länger als das schwächste Glied, sondern als wertvollen Sicherheitsfaktor zu betrachten. (Verena Zimmermann / Zukunftsblog der ETH Zürich)