Der schwächste Teil der Kette : Menschliches Versagen oder organisatorische Fehlleistung?
Menschen machen Fehler, schlecht geschulte Menschen umso mehr. Schaut man auf Zahlen und Studien der letzten Jahre müssten Schulungen oder Sensibilisierungsmaßnahmen offenbar an vielen Stellen noch höher priorisiert werden – aber genügt das? Fortwährende Schuldzuweisungen an die fehlerbehafteten Mitarbeiter:innen sind jedenfalls nicht zielführend.
Mehr als „82 % der [Sicherheits-]Verstöße haben mit dem menschlichen Element zu tun, einschließlich sozialer Angriffe, Fehler und Missbrauch“, so Verizon 2022. Solche Daten sind kein Einzelfall: Auch die vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) 2021 befragten KMUs in Deutschland stellen fest, dass der Weg zum IT-Sicherheitsvorfall häufig über die Mitarbeiter:innen führt. Außerdem gaben IT-Entscheidungsträger an, dass 44 % aller Sicherheitsverletzungen durch einen „nicht böswilligen Benutzerfehler“ (z. B. Phishing oder nicht böswillige Verstöße gegen Sicherheitsrichtlinien) verursacht wurden (G DATA 2022) – solche Fehler entstehen durch Unwissenheit oder Unachtsamkeit.
Einer der relevantesten Faktoren für die Menge an Vorfällen ist die fehlende Kompetenz auf Endbenutzerseite. Das wissen auch die Mitarbeiter:innen: Rund 33 % schätzen sich selbst als wenig oder sehr wenig kompetent in Sachen Cybersicherheit ein. Greift man die Gruppe der 16- bis 39-Jährigen heraus, bewerten gut 57 % ihre IT-Sicherheitskompetenzen mit der niedrigsten Note – die 65- bis 70-Jährigen nehmen sich selbst deutlich kompetenter war und vergeben nur in etwas über 27 % der Fälle die schlechteste Note (G DATA 2022).
Während einige Mitarbeiter:innen und Alterskohorten ihre Fähigkeiten im Bereich Cybersecurity realistisch einschätzen, scheint es, als würden sich andere überschätzen: So stellt eine Analyse der Daten von über 3800 Teilnehmern an Kaspersky-Schulungen zwischen 2021 und 2022 fest, dass „neun von zehn Mitarbeitern grundlegende Cybersecurity-Fertigkeiten trainieren müssen“. Der konstant hohe Schulungsbedarf – trotz der langjährigen Kenntnis um die menschliche Fehlerquote – ist ein Anzeichen dafür, dass das Cybersecurity-Training der Endnutzer nicht das einzige Problem ist.
Ein solches Training ist zwar essenziell, doch neben unzureichenden Kompetenzen der Endnutzer gibt es noch weitere Umstände, welche die Erfolgschancen eines Cyberangriffs erhöhen. Die Wirtschaftsprüfungsgesellschaft KPMG ließ Mitarbeiter:innen von Unternehmen, die von Cyberkriminalität betroffen waren, die begünstigenden Faktoren für die IT-Vorfälle 2022 ranken: Demzufolge ist eine größere Gefahr als die fehlende Kompetenz (81 %), mit 95 % die Unachtsamkeit der Mitarbeiter:innen. Dieses Rating der Unachtsamkeit bestätigt den Ursprung der bereits angesprochenen „nicht böswilligen Benutzerfehler“.
Viele Unternehmen berichteten außerdem von einer fehlenden Sicherheitskultur bei den Mitarbeiter:innen (86 %) und auch von der fehlenden Sicherheitskultur im Management (61 %). Eine fehlende Sicherheitskultur kann durchaus auch einer der Gründe sein, warum trotz des eindeutigen Fortbildungsbedarfs die Kompetenzen der Mitarbeiter:innen noch keinen sichtbaren Aufwärtstrend erlebt haben. Unwissenheit und Unachtsamkeit begünstigen Probleme und werden von einer fehlenden Sicherheitskultur verstärkt (siehe auch [1,2]).
Gefahr erkannt, Gefahr gebannt?
Gleichzeitig gaben 87 % der Teilnehmer:innen der KPMG-Studie an, Maßnahmen zur Sensibilisierung der Mitarbeiter:innen zu ergreifen. Die entstehende Diskrepanz aus Bewusstsein für die Lücken in deren Sicherheitsverständnis – trotz bereits ergriffener Sensibilisierungsmaßnahmen – blieb in dieser Studie unkommentiert. Nicht nur hier scheint es, als würde die Effektivität ergriffener Maßnahmen kaum untersucht. Die gezielte Verbesserung von Maßnahmen würde jedoch einen positiven Effekt auf alle genannten Faktoren haben – also auf fehlende Kompetenz, fehlende Sicherheitskultur und Unachtsamkeit.
Ein Gesichtspunkt, der an dieser Stelle einer Veränderung häufig im Weg steht, ist das verfügbare Budget. Allerdings sind im Fall der Cybersecurity die „durchschnittlichen [Cybersicherheits-]Ausgaben aller Befragten im vergangenen Jahr um 60 % auf 5,3 Mio. US-Dollar gestiegen und haben sich seit 2019 um 250 % erhöht“ (Hiscox 2022, [3]).
Basierend auf den bereits betrachteten Zahlen, die beschreiben, wie wichtig menschliches Verhalten für die Prävention von Cybersecurity-Vorfällen ist, würde man erwarten, dass ein beträchtlicher Teil dieses Budgets auch in dieses menschliche Verhalten investiert wird. Für die von Hiscox befragten Cybersicherheitsexpert:inn:en war die Schulung der Mitarbeiter allerdings nur die viertwichtigste Aktivität. Eine solche Fehlpriorisierung von Bildung zeigt sich auch bei den kleinen und mittleren Unternehmen (KMU) in Deutschland: So bieten nur 29 % überhaupt IT-Sicherheits- oder Datenschutzschulungen an (GDV 2021).
Dabei lohnen sich die Investitionen: „Unternehmen, die am besten geschult sind, sind bei der Abwehr von Angriffen doppelt so gut wie der Rest … Die Fähigkeit, mehr zu schulen, macht Sicherheitstools effektiver – aber Unternehmen versäumen es möglicherweise, Schulungen zu priorisieren, wenn CEOs und Vorstände Sicherheitsbudgets genehmigen“, konstatierte Accenture 2019. Auch in der Wissenschaft konnte ein „negativer Zusammenhang zwischen Sicherheitsschulungen und dem Auftreten von Cybersicherheitsvorfällen“ bewiesen werden (siehe etwa [4]).
Die Reife von Schulungsprogrammen geht deutlich auseinander: Für KMUs, die teilweise gar nicht schulen, große Unternehmen, die ineffektiv schulen, und Unternehmen, deren Schulungsprogramme Awards gewinnen, können naturgemäß nicht alle Aussagen gleichermaßen gelten. Aber: Cyberangriffe sind ein riesiges Problem – und ein begünstigender Faktor für sie ist leider zu oft das menschliche Verhalten.
Besser schulen!
Um die Effektivität von Sensibilisierungsmaßnahmen zu verbessern, können die folgenden Punkte aus der aktuellen Forschung als Inspiration und Hilfe dienen.
Motivation
Vor der Kommunikation rund um die IT-Security ist eine Motivationseinheit nicht zu unterschätzen. Lerneinheiten über die persönliche Sicherheit der Mitarbeiter:innen (z. B. auf Facebook) helfen dabei, eine intrinsische Motivation für das Thema IT-Security zu wecken. Ein weiterer Faktor, der motivieren kann, ist die Möglichkeit, (ausgewählte) Materialen mit Freunden und Familie zu teilen – je öfter die Materialien genutzt werden, desto mehr Wissen wird vermittelt [5].
Positive Verantwortung
Die Veröffentlichung einer 35-seitigen verpflichtenden Benutzer-Richtlinie führt selten zur gewünschten Verhaltensänderung. Richtlinien sollten benutzerfreundlich geschrieben sein und hinsichtlich ihrer Verständlichkeit sollte man Feedback einholen. Die persönliche Verantwortung und die möglichen Effekte der eigenen Handlungen sollten anhand von Beispielen erläutert werden, um den Mitarbeiter:innen das Verständnis für ihre Rolle bei der IT-Security zu verdeutlichen [6].
Security-Champions statt Einzelkämpfer:innen
Über „Security-Champions“ ein Netzwerk in die Fachabteilungen hinein aufzubauen ist eine wirksame Möglichkeit, um Wissen zu verbreiten. Die Security-Champions sind für die Mitarbeiter:innen leichter zu erreichen, falls bei praktischen Aufgaben (z. B. Meldung von Phishing-Mails) Hilfe benötigt wird. Außerdem können sie Wissenslücken direkter identifizieren und an das Security-Team weitergeben. Wissen lässt sich überdies effektiver vermitteln, denn oft lassen sich Mitarbeiter:innen von Kolleg:innen oder Führungskräften eher beeinflussen als von Security-Manager:innen. Durch das entstehende Netzwerk wird außerdem die geteilte Verantwortung für die Security im ganzen Unternehmen deutlich [7].
Wiederholung und Security-Fatigue
Trotz ihrer Relevanz sind Security-Compliance-Trainings nicht unbedingt positiv belegt; Interventionen – Trainings oder auch Aufforderungen zur Passwortänderung – können bei den Mitarbeiter:inne:n ungeplante Wirkungen erzielen. Häufig wird die „Security Fatigue“ beobachtet: Sie beschreibt eine allgemeine Ermüdung gegenüber Security-Themen (vgl. [8,9]). Bei Verdacht auf SecurityFatigue kann unter anderem das 4-Komponenten-Modell (Abb. 1) von Reeves et al. [10] helfen, um den genauen Ermüdungstyp zu bestimmen und ihm dann sinnvoll entgegenzuwirken.
Das Modell ist anzuwenden, wenn Mitarbeiter:innen sich von der IT-Security abwenden: Zunächst sollte ergründet werden, ob es die Art der Ratschläge oder die Menge an Maßnahmen der Cybersicherheit sind, die für die beobachtete Ermüdung sorgen. Danach lässt sich bestimmen, ob die Abwendung rein kognitiv ist, sich im Verhalten widerspiegelt oder eine Kombination
aus Kognition und Verhalten vorliegt. Nach dieser Analyse können dann entsprechende Anpassungen in den Schulungsmaßnahmen sowie Interventionen helfen, um effektiver zu kommunizieren und den Beobachtungen entgegenzuwirken.
Abbildung 1: Reeves et al. unterscheiden Security-Fatigue nach ihrer Ursache und Art [10]
Fazit
Schulungsmaßnahmen gehören für kein Unternehmen in die Kategorie „low-hanging Fruit“ – ein sinnvolles Lernmanagement zu etablieren, dauert häufig Jahre. Außerdem ist Sensibilisierung schwer messbar – Key-Performance-Indicators (KPI) lassen sich etwa im Vergleich zur Downtime eines Servers schwieriger aufstellen (vgl. [11]). Manchmal sind Lernen und Kompetenz auch sehr persönlich und schwer greifbar.
Studien legen weiterhin nahe, dass Mitarbeiter:innen auf motivierte Angreifer:innen schlecht vorbereitet sind und in der heutigen Schulungslandschaft von Unternehmen recht allein dastehen. Statt sie fortwährend als schwächstes Glied der Kette zu bezeichnen, wird es Zeit, Mitarbeiter:innen endlich dort abzuholen, wo sie stehen, sie effizient zu schulen und so die Unternehmensverteidigung nachhaltig zu stärken.
Kalina Sperber ist Beraterin der HiSolutions AG in Berlin im Bereich Security-Consulting.
Literatur
[1] Sicherheitskultur, das unbekannte Wesen?, Expertenbefragung, <kes> 2019# 2, S. 67
[2] Gerrit Aufderheide, Quo vadis, Informationssicherheits-Kultur?, <kes> 2022# 3, S. 49
[3] Hiscox, Cyber Readiness Report 2022, Mai 2022, www.hiscox.de/cyber-readiness-report-2022/ (Registrierung erforderlich)
[4] Eunkyung Kweon, Hansol Lee, Sangmi Chai, Kyeongwon Yoo, The Utility of Information Security Training and Education on Cybersecurity Incidents: An empirical evidence, Information Systems Frontiers 23 (4), S. 361, Dezember 2019, https://link.springer.com/article/10.1007/s10796-019-09977-z (kostenpflichtig)
[5] Wu He, Zuopeng Zhang, Enterprise cybersecurity training and awareness programs: Recommendations for success, Journal of Organizational Computing and Electronic Commerce 29 (4), S. 249, Juli 2019, www.tandfonline.com/doi/full/10.1080/10919392.2019.1611528 (kostenpflichtig)
[6] Hawra Milani, Sergi Bray, Antoine Vendeville, Good practices for cybersecurity behaviour change interventions, 2020, www.ucl.ac.uk/cybersecurity-cdt/sites/cybersecurity-cdt/files/student-profiles-policy-briefinggood-practices-cybersecurity-behaviour-change.pdf
[7] Moneer Alshaikh, Developing cybersecurity culture to influence employee behavior: A practice perspective, Computers & Security 98, Art. 102003, November 2020, www.sciencedirect.com/science/article/abs/pii/
S0167404820302765 (kostenpflichtig)
[8] David Kelm, Security-Fatigue I, Wenn Anwender es müde sind, sich um Sicherheit zu bemühen – und was man dagegen tun kann, <kes> 2017# 4, S. 54
[9] Ralph Dombach, Security-Fatigue II, Auch in der Security selbst gibt es Ermüdungserscheinungen, <kes> 2017# 4, S. 58
[10] Andrew Reeves, Paul Delfabbro, Dragana Calic, Encouraging Employee Engagement With Cybersecurity: How to Tackle Cyber Fatigue, SAGE Open 11 (1), März 2021, https://journals.sagepub.com/doi/10.1177/21582440211000049
[11] Anjuli Franz, David Kelm, Awareness-Index, Wie kann man das Sicherheitsverhalten gegenüber Cyberangriffen messbar machen?, <kes> 2018# 5, S. 14