Risikofaktor Mensch
August-Wilhelm Scheer, Herausgeber IM+io
(Titelbild: © Adobe Stock | 288526357 | pink eyes)
Über Jahrzehnte haben Unternehmen große Summen in Hard – und Software zur Abwehr von Cyberangriffen gesteckt. Dies war und ist notwendig, auch wenn der Versuch, technologische Firewalls zu erstellen, eher einem „Hase und Igel Wettlauf“ entspricht – Cyberkriminelle sind gemeinhin immer eine Nasenlänge voraus. Aber selbst mit bester Technologie ist der Wettlauf nicht zu gewinnen, wenn man den Faktor Mensch außer Acht lässt.
Cyberbetrüger setzen bei ihren Angriffsstrategien auch auf die menschliche Psychologie. Sie machen sich grundlegende menschliche Eigenschaften wie Neugier, Angst, Begierde, Wut und Besorgnis zunutze. Anstatt sich aber mit der Schwachstelle Mensch zu befassen, tendieren immer noch viele Unternehmen dazu, ihre Netzwerke und Systeme rein mit technischen Mitteln zu schützen. Mitarbeitende werden als Einfallstor für Cyberangriffe weit unterschätzt.
Ich halte es für enorm wichtig, dass man sich in Unternehmen verstärkt auf den Faktor Mensch konzentriert, um die Cybersicherheit und damit die Resilienz von Unternehmen gegen Angriffe zu erhöhen, und ich stehe damit nicht allein. Der Marktanalyst Gartner geht in seiner aktuellen Cybersecurity Trendanalyse davon aus, dass 50 Prozent der großen Unternehmen 2027 einen menschenzentrierten Ansatz wählen werden, um ihre Daten und Prozesse zu schützen. Der Schutz vor der Risikolücke Mensch lässt sich laut Gartner am besten durch den Inhouse Aufbau von Cybersicherheitskräften gewährleisten. Diese wissen viel besser als externe Spezialisten, wo Mitarbeitende Unterstützung und Schulung zur Cybersicherheit brauchen oder auch individuelle Risiken darstellen. Verantwortung übernehmen hier im Idealfall die Chief Information Security Officers (CISOs). Ihre Bedeutung wächst mit der Erkenntnis, dass Cybersecurity Risiken unterdessen zu den Toprisiken beim Unternehmensmanagement gehören.
Bei dem menschenzentrierten Ansatz geht es unter anderem darum, abwehrende Technologie so einzusetzen, dass diese keine Hürde für die anwendenden Personen darstellen – denn lästigen Aufgaben weicht man eher und gerne aus. Genauso geht es darum, bei Mitarbeitenden eine Sensibilität dafür zu schaffen, wo Gefahrenquellen lauern. Sie müssen wissen, dass Cyberkriminelle in der Angriffskette den Menschen als einfache niedrigschwellige Option sehen, um ein Netzwerk zu infiltrieren und einen zerstörerischen und oft finanziell lukrativen Cyberangriff durchzuführen.
Unterdessen haben auch Hochschulen erkannt, dass sich hier ganz neue Berufsbilder entwickeln und reagieren mit eigenen Studiengängen zur Cybersecurity. Diese haben zumeist sowohl eine forschungs- als auch anwendungsorientierte Ausrichtung. Dabei enthalten sie Themen wie die Analyse von Schadsoftware, Identitätsdiebstahl, den Faktor Mensch bei IT-Sicherheit, Passwortsicherheit oder technische Möglichkeiten in der Abwehr und Erkennung von Cyberangriffen. Wichtig wäre sicher auch, das Thema Cybercrime bereits in den Fächerkanon der Schulen aufzunehmen – nicht nur zur Sensibilisierung gegen Angriffe, sondern auch, um junge Menschen für diese neuen Berufsbilder zu begeistern.
Cyberkriminalität lässt sich genauso wenig abschaffen wie analoge Kriminalität. Wichtig ist aber, die komplexe Bedrohungslage zu erkennen und gezielt gegenzusteuern. Es hat eine Weile gedauert, bis die Erkenntnis gewachsen ist, dass Sicherheitstechnologien nur so wirksam sind, wie Menschen sie einsetzen. Der zunehmende Fokus auf den Faktor Mensch in der Bedrohungskette stellt einen wichtigen Schritt in die richtige Richtung dar und sollte nicht nur von großen Unternehmen eingenommen werden.