Interview mit Dirk Zimmermann, VP Awareness, Skills & Analytics bei Deutsche Post DHL Group.
Wir gehen heute einmal auf ein sehr bekanntes, aber auch immer noch sehr umstrittenes Thema im Rahmen von Cyber-Sicherheit ein, den “Faktor Mensch”. Ehrlich gesagt, finde ich das Thema sogar schon etwas überstrapaziert. Seit Jahren ist bekannt, dass der Mensch (als Schnittstelle zur Technik) das größte Einfallstor für Cyberangriffe ist. Die Zahlen bewegen sich meist so um 80%.
In den gängigen Standards zur Informationssicherheit und Cyber-Security ist der Faktor Mensch ja durchaus thematisiert. Im IT-Grundschutz-Kompendium zum Beispiel sind folgende Elemente enthalten:
- Der Beeinflussung von Menschen wird Rechnung getragen durch die Definition entsprechender “Gefährdungen” wie “Social Engineering” oder “Integritätsverlust schützenswerter Informationen”.
- Im Prozessbaustein “ORP: Organisation und Personal” wird explizit die Notwendigkeit der Information und Schulung von Mitarbeiter*innen gefordert. Und zwar immer unter dem Hinweis darauf, dass Mitarbeiter*innen eben auch in die Lage versetzt werden müssen, den technischen Anforderungen Genüge zu tun.
Warum also sind und bleiben die Menschen im Unternehmen nach wie vor ein so hohes Risiko für die Cyber-Sicherheit?
Menschen haben menschliche Eigenschaften, die nun einmal ausgenutzt werden können. Social Engineering z.B. setzt bewusst auf menschliche “Schwächen” und Manipulation, um an wertvolle Informationen zu kommen. Beispiele: Hilfsbereitschaft, Höflichkeit, Hierarchiedenken, das Bedürfnis zu helfen oder gut informiert zu wirken. Indem auf diese vermeintlichen Schwächen gesetzt und diese ausgenutzt werden, können nach wie vor technische Restriktionen erfolgreich umgangen werden.
“Es ist immer noch einfacher Menschen zu hacken, als hochkomplexe technische Systeme zu überwinden.”
Immer noch die beste und zuverlässigste Methode, um technologische oder organisatorische Restriktionen auszuhebeln. Der Mensch bleibt nun einmal das schwächste Glied in der Kette – wenn man ihn nicht ausbildet, informiert und trainiert.
Zudem kann man für “Verhalten” nicht einfach mal ein Patch installieren – wir reden hier von Verhaltensänderung bei Erwachsenen – das erfordert in der Regel viel Zeit und Aufwand. Gewünschtes Verhalten lässt sich nicht durch eine einzelne Mail “herbeikommunizieren”, dazu braucht es deutlich mehr!
In der Studie “IT WIRD KERN DER WERTSCHÖPFUNG. Studie IT-Trends 2022” von Capgemini und auch in anderen Quellen wird angegeben, dass knapp drei Viertel der Befragten mit höheren Ausgaben für die IT rechnen. Schaut man sich das IT-Budget näher an, so handelt es sich aber fast ausschließlich um Investitionen in Technologie und dort um Modernisierung und Absicherung bestehender Systeme und Anwendung sowie Neuentwicklungen oder -implementierung. Sollte das Budget für Cyber-Security-Awareness dort ebenfalls zu finden sein, wird es jedenfalls nicht näher beziffert (oder ist es zu gering, um eine “aktive” Rolle zu spielen?)
In einer Publikation von Gartner hingegen geben fast 90% der befragten Vorstände an, dass Cyber-Security vielmehr ein Geschäftsrisiko sei, nicht ein reines IT-Thema. Neue Wege müssten gesucht werden, um dieses potenzielle Risiko durch eine veränderte Unternehmenskultur zu verringern.
Wie passen diese beiden Fakten Deiner Ansicht nach zusammen?
Erste Herausforderung: Cyber-Security wird nach wie vor als “Problem der IT” gesehen, deren Instrumentarium aber klassischerweise nicht die nötigen Tools enthält, um Awareness zu erzeugen und Nutzerverhalten zu ändern – was ja nebenbei auch ein Grund für das Scheitern vieler IT-Projekte ist.
Zweite Herausforderung: in der Cyber-Security werden klassischerweise nur “tangible assets” (also Server, Applikationen, Datensätze etc.) betrachtet und im Rahmen des Risikomanagements bewertet. Gegenmaßnahmen werden dann ergriffen, wenn man einen sehr hohen Reifegrad erreicht hat, sogar mittels quantitativem Risikomanagement. Dann kann detailliert ermittelt werden, wie groß ein Risiko aus montärer Sicht ist.
Aber genau das wird in der Regel nicht auf den “human factor”, den menschlichen Faktor angewendet. Jedes der klassischen IT-Assets ist einem Besitzer/ einer Besitzerin zugeordnet, also einer Fachabteilung, die Einfluss auf dieses Asset nehmen kann. Wem “gehören” aber nun die Mitarbeiter*innen? Wer muss also in diese investieren? Mit wem können Maßnahmen und Gegenmaßnahmen beschlossen werden? An dieser Stelle davon auszugehen, dass der Aufbau von Wissensständen, die Vermittlung von Kenntnissen und Fertigkeiten ein IT-Thema ist, ist meiner Ansicht nach zu kurz gesprungen und einfach falsch. Dies ist doch eher ein Thema der Personalabteilung und die Personalbereiche sollten sich hier in der Pflicht sehen. Schließlich ist Qualifizierung und Training klassischerweise dort angesiedelt. Die Brücke der Aus- und Weiterbildung von Mitarbeiter*innen und Cyber-Security wird jedoch oft nicht geschlagen. Obwohl also die IT nicht spezialisiert ist auf Awareness und Training, verbleibt die Verantwortung dafür in Bezug auf Cyber-Security daher meist bei den IT- oder Security-Spezialist*innen. Sinnvoller wäre die Ansiedlung dieses Themas im Personalbereich oder besser noch, einer Kombination aus beiden Zuständigkeitsbereichen.
Noch mehr bekannte Fakten: alle Branchen beklagen oder fürchten einen Fachkräftemangel, vor allem hervorgerufen durch die demografische Entwicklung (also weniger junge Menschen, die ausgebildet werden, viele ältere, die in naher Zukunft in den Ruhestand gehen). Aus diesem Grund gibt es in vielen Unternehmen die Bestrebung, Teams diverser zu gestalten, also Anwerbung/ Integration internationaler Fachkräfte, mehr Teilzeitangebote, Aktivierung fachfremder Kräfte etc. Bringt das nicht auch die erhöhte Notwendigkeit mit sich, in die Sicherheit und Resilienz der Firmenkultur und der Mitarbeiter*innen zu investieren?
Auf jeden Fall. Es gibt nach wie vor erhebliche regionale und internationale Unterschiede im “Kollektiven Sicherheitsbewusstsein” und auch im Verständnis vom Datenschutz. Einen durchgängigen Standard in Bezug auf Awareness herzustellen ist deshalb besonders wichtig, aber auch besonders schwierig. Auch dies ist nicht vorrangig ein Interesse der IT oder des Security-Bereiches, sondern muss ein unternehmerisches sein. Denn wenn mein Unternehmen geschädigt wurde durch einen Angriff, der durch Social Engineering begründet ist, dann kann dies die Geschäftsbasis eklatant gefährden. Als Unternehmer*in muss ich mir daher auch ein realistisches Ziel setzen, welchen Grad von Awareness ich haben möchte und wie dieser zu erreichen ist. Cyber-Sicherheit und sicheres Verhalten muss ein integraler Bestandteil der Unternehmenskultur sein, quasi Teil der Firmen-DNA.
Hier können neue Trainingsansätze helfen: Es reicht nicht mehr das zentral bereitgestellte, für alle identische Onlinetraining, verteilt nach dem Gießkannenprinzip. Stattdessen braucht es adaptierte Trainings, die situativ bedingt sind. Also vom aktuellen Kontext und Nutzerverhalten getriggerte kurze Lern- und Trainingseinheit, der auch dem individuellen Wissensstand der Mitarbeiter*innen Rechnung trägt.
Die Digitalisierung bringt auch einen immer höheren Anteil an Automatisierung mit sich. Mich interessiert zum Schluss noch Deine persönliche Einschätzung: Reduziert der Einsatz von Technologie für Routinearbeiten (z.B. von Bots) zukünftig das Risiko des menschlichen Faktors? Und warum (ja oder nein)?
Ich glaube nicht, dass Automatisierung allein das Problem lösen können, solange noch Menschen im Unternehmen beschäftigt sind. Technologie ist sicher ein Teil einer Problemlösung, ich kann immer höhere technische Hürden um menschliches Verhalten herum bauen, um (absichtliches oder nicht absichtliches) Fehlverhalten zu vermeiden. Durch Automatisierung werden Menschen zukünftig andere, z.B. höher qualifizierte Tätigkeiten ausüben, während standardisierte Tätigkeiten durch Maschinen oder automatische Prozesse erledigt werden. Menschen werden aber immer ein lohnendes Angriffsziel und ein Angriffsvektor sein. Mit Veränderung der Tätigkeit werden sich auch die Arten und Mechanismen der Angriffe ändern, also anpassen.
Wenn ich beispielsweise durch Phishing keine Passwörter mehr stehlen kann, weil sie durch biometrische Systeme nicht mehr erforderlich sind, verlege ich mich als Cyber-Kriminelle*r auf andere Social-Engineering-Techniken. Es wird alternative Möglichkeiten geben, die technischen Hürden zu überwinden und Informationen zu beschaffen. Eine absolute technische Sicherheit, die uns Menschen vor unserer eigenen Menschlichkeit beschützt, wird es nicht geben. Awareness bedeutet vor allem, ein höheres Gefahrenbewusstsein zu entwickeln, das ist aus meiner Sicht der Schlüssel zu mehr Sicherheit.
Den Podcast zum Artikel hier anhören:
Bild von Brandon Serna Correa auf Pixabay
