Der menschliche Faktor in der Cybersicherheit wird überlistet

Obwohl viele Menschen immer noch glauben, dass der Mensch das schwächste Glied in der Cybersicherheit ist, ist es nicht nur möglich, sondern auch notwendig, seine Fehler zu vermeiden.

Social Engineering, Bequemlichkeit, mangelnde Kenntnisse und Fähigkeiten, unbewusstes Verhalten… die Liste der Faktoren, die Menschen zu Fehlern in der Cybersicherheit verleiten können, ist endlos lang. Es ist kein Witz: Einfache Fehler, die von normalen Geschäftsanwendern, IT-Teammitgliedern und Managern der mittleren Ebene begangen werden, sind für bis zu 50 % aller Datenverluste verantwortlich.

Aber sind die Menschen daran schuld? Das Thema ist sicherlich umstritten.

Wir haben Experten auf der Global Cyber Conference befragt, und sie haben uns einen Hinweis gegeben: Der menschliche Faktor hat möglicherweise weniger mit Fehlern von Einzelpersonen zu tun als vielmehr mit einer unzureichenden Sicherheitskultur in Unternehmen.

Wie wir im Laufe dieses Artikels feststellen werden, lassen sich menschliche Fehler am besten dadurch vermeiden, dass man die Arbeitsweise der Menschen am Arbeitsplatz versteht und sich mit den Bereichen befasst, die böswillige Akteure ausnutzen wollen.

Es beginnt mit dem Bewusstsein

Menschen haben schon immer eine zentrale Rolle bei der Cybersicherheit gespielt. Genau aus diesem Grund zieht es Stéphane Duguin, Chief Executive Officer des CyberPeace Institute, vor, den Menschen nicht als das Problem darzustellen, da dies die Schuld auf diejenigen lenken könnte, die am wenigsten in der Lage sind, die Probleme zu lösen.

„Wenn ein Vorfall im Bereich der Cybersicherheit auf einen internen Fehler zurückzuführen ist, ist es wichtig zu verstehen, warum“, sagt er. „Liegt es an einer fehlenden starken Cybersicherheitskultur, an mangelnder Schulung oder an fehlenden Investitionen des Unternehmens in die Überwachung und Aktualisierung der Systeme?“

Die Wahrheit ist, dass die Berücksichtigung des Faktors Mensch ein wesentlicher Bestandteil des Gesamtkonzepts einer Organisation ist, um einen robusten Rahmen für die Cybersicherheit zu schaffen.

„Wenn die Organisation Cyberangriffen von externen Bedrohungsakteuren ausgesetzt ist, ist es wichtig, den Opfern des Angriffs nicht die Schuld zu geben, sondern anzuerkennen, dass es sich um kriminelles Verhalten handelt, und dafür zu sorgen, dass Abhilfemassnahmen ergriffen werden“, sagt Duguin.

Für Arbeitgeber ist es wichtig zu erkennen, dass sie durch das Verständnis der verschiedenen Arten von Cyberangriffen und der häufigsten Arten, wie sie menschliche Eigenschaften ausnutzen, ihre Mitarbeiter besser darauf vorbereiten können, potenzielle Bedrohungen zu erkennen, indem sie ihre Mitarbeiter vorwarnen und Sicherheitsprotokolle einführen.

Annahme einer Verletzung und Verteidigung in der Tiefe

Tom Hoffman, CISO beim Sicherheitsdepartement des Kantons Zürich, ist der Meinung, dass wir die Rolle des Organisationsdesigns bei Verstössen gegen die Cybersicherheit unterschätzen.

„Sicherheitsvorfälle sind auf viele verschiedene Faktoren zurückzuführen“, sagt er. „War es, weil jemand auf einen Link geklickt hat? Mag sein. Aber Links sind dazu da, angeklickt zu werden“.

Hoffman zufolge sind das Paradigma der angenommenen Sicherheitslücke und das Konzept der „Defense in Depth“ immer noch unglaublich hilfreich und effektiv, wenn es um die Einrichtung einer sicheren Infrastruktur für Ihr Unternehmen geht.

Wenn wir zum Beispiel bereits davon ausgehen, dass menschliche Fehler passieren werden, ist es möglich, mehrere Sicherheitsmassnahmen zum Schutz der Vermögenswerte eines Unternehmens zu ergreifen. Selbst wenn eine Verteidigungslinie kompromittiert wird, gibt es zusätzliche Schichten, um sicherzustellen, dass die Bedrohungen auf dem Weg gestoppt werden.

Solche Strategien entwickeln sich sicherlich, wenn ein Unternehmen die verschiedenen Stufen eines Reifegradmodells für das Sicherheitsbewusstsein durchläuft, aber es ist wichtig, dass der menschliche Faktor nicht außer Acht gelassen wird.

„Organisatorischer Stress, fehlende Ressourcen, Budgetkürzungen… sind enorme Stressfaktoren, die unweigerlich zu riskantem Verhalten und Umgehungslösungen führen“, sagt Hoffman. „Wenn wir sie weiterhin vernachlässigen, sind wir dazu verdammt, immer wieder zu scheitern.

Ist es an der Zeit, den menschlichen Faktor auszuschliessen?

Aber auch wenn sich Fehler nie ganz vermeiden lassen, gibt es Stimmen, die vorschlagen, den menschlichen Faktor so weit wie möglich auszuschliessen.

Iskro Mollov, Group CISO, Vice President Security, Business Continuity and Crisis Management bei der GEA Group, erinnert uns an eine Methode, die häufig bei der Prozessverbesserung eingesetzt wird: Der „Poka-Yoke“-Ansatz (oder „Fehlersicherung“).

Aufgrund der beabsichtigten Einfachheit und Wiederholbarkeit bilden sich mit der Zeit Gewohnheiten heraus. Zum Beispiel:

Die Geldautomaten in Deutschland geben das Geld erst aus, wenn die Karte entnommen wurde.

Telefonstecker können nicht verkehrt herum eingesteckt werden

Betätigen des Kupplungspedals eines Fahrzeugs mit Schaltgetriebe, bevor Sie das Fahrzeug starten können (oder des Bremspedals in einem Automatikfahrzeug)

Laut Mollov brauchen wir mehr „Poka-Yoke“ im Bereich der Informations- und Cybersicherheit. „Passwortloses Einloggen, Gesichtserkennung und Multi-Faktor-Authentifizierung sind gute Beispiele dafür“, sagt er. „Ihre Anmeldedaten können nicht so leicht gefälscht und versehentlich preisgegeben werden.“

Diese Art der Prozessverbesserung kann zwar nicht alle Probleme im Zusammenhang mit Sicherheitsinteraktionen allein lösen, aber in Kombination mit anderen in diesem Artikel erwähnten Strategien kann sie zu einem wirksamen Instrument werden, um zu verhindern, dass menschliche Fehler jemals zu grossen Schaden für ein Unternehmen anrichten.

Beteiligen Sie sich an der Diskussion

Wenn Sie an weiteren Erkenntnissen über die Vermeidung menschlicher Fehler bei der Cybersicherheit interessiert sind und persönlich mit den in diesem Artikel vorgestellten Sicherheitsexperten in Kontakt treten möchten, laden wir Sie ein, an der Global Cyber Conference teilzunehmen.
Folgen Sie diesen Links, um das Konferenzprogramm und die vollständige Rednerliste einzusehen.

Es beginnt mit dem Bewusstsein

Annahme einer Verletzung und Verteidigung in der Tiefe

Ist es an der Zeit, den menschlichen Faktor auszuschliessen?

Beteiligen Sie sich an der Diskussion

Die Finalisten der Swiss CISO Awards 2024

Navigieren in der sich wandelnden Landschaft von IT- zu OT-Cybersecurity

Cybersicherheit Wiki: 20 must-know Konzepte

Digitale Verantwortung: Schutz der Kinder vor digitalen Gefahren