Slideshow

Psychologie Paper

Psychologie der IT- und Cyber-Security

Unschwer zu erkennen ist es, dass Psychologie in heutigen Unternehmen einen hohen Stellenwert besitzt. Leider haben das viele Geschäftsführer und leitende Angestellte noch nicht erkannt. Sei es im positiven Sinne, wie auch im negativen. Es scheint unbestritten, dass der bedeutendste Gefahrenbereich in der IT-Security in Unternehmen Irrtum und Nachlässigkeit eigener Mitarbeiter ist. Diese Phänomene, die in der Regel unter dem Schlagwort »Fehlleistungen« zusammengefasst werden, wurden jedoch bisher nie ernsthaft erforscht oder ernsthaft in Betracht gezogen diese zu Behandeln. Sicherheit entsteht zunächst in den Köpfen der Mitarbeiter. Der menschliche Faktor ist eines der größten Herausforderungen in der IT-Sicherheit (engl. IT-Security). Oder anders herum gesagt: Der Fehler sitzt meist nicht im Gehäuse, sondern vor dem Bildschirm.

Seit der Cebit 2012 jedenfalls scheint es so zu sein, das die Aufmerksamkeit gegenüber diesem Defizit Bedeutung geschenkt wird. Fragt sich halt für wie lange das Interesse anhält. Irgendetwas hält jedoch viele Mitarbeiter davon ab, die ihnen weitgehend bekannten präventiven Sicherheitsstandards in die Tat umzusetzen. Es ist die Frage, was ist das Irgendetwas und was bringt diese Subjekte (Subjekt = Bediener, der etwas mit einem Objekt tut) dazu, hohe Standards zu missachten? Zu allererst ist es so, wie viel Hard- und Software uns heute zur Verfügung steht, dass oftmals Bedienerfehler passieren, die dann für Sicherheitskritische Lecks verantwortlich sind. Was nützt die beste Firewall, wenn sie nicht richtig oder falsch konfiguriert ist. Das Verhältnis von Fehlverhalten am Arbeitsplatz und böswilligem Verhalten von Angreifern liegt laut einer Studie 70 zu 30. Also 70 Prozent geht auf das Konto von Fehlverhalten am Arbeitsplatz zurück und tatsächlich nur 30 Prozent auf böswillige Angriffe.

 

Was heißt das?

 

Ein Mitarbeiter, der eine Arbeit erledigen will, stellt sich die Frage: Lade ich die Datei aus dem Internet herunter, die ich dafür brauche? Unternehmen müssen Produkte herstellen oder Dienstleistungen erledigen, Mitarbeiter müssen jedoch ihre Arbeit erledigen, die dafür meist immer weniger Zeit zur Verfügung haben. IT-Sicherheit ist da eher hinderlich. Sie steht im Gegensatz mit den Aufgaben, die primär erledigt werden sollen. Also letztendlich mit dem Erwerbstrieb. Werden jedoch Schwachstellen der 70 Prozent geöffnet, sind dem entsprecht auch die 30 Prozent wieder höher, man denke an Drive-by-Download, zum Beispiel.

Sicherheitssituationen und Menschen sind denkbar schlecht aufeinander abgestimmt, denn sicheres IT-Verhalten muss man erst einmal lernen. Normalerweise lernt der Mensch, indem er für gutes Verhalten belohnt und für Fehlverhalten bestraft wird. Bei der IT-Sicherheit fallen Belohnung und Bestrafung aus. Wer eine unbekannte Datei aus dem Internet laden will, wird zwar mit Warnungen konfrontiert, was alles passieren könnte. Tut man es dennoch, wird man jedoch nicht unmittelbar bestraft, sondern gegeben falls verwarnt, wenn es denn überhaupt geloggt wurde und derjenige bekannt ist. Meist passiert das jedoch anonym.

IT-Sicherheit ist wie Kindererziehung, nur bei Erwachsenen und es kostet mitunter auch richtig Kraft, Erwachsenen deutlich zu machen, das IT-Sicherheit unmittelbar auch zu den alltäglichen Aufgaben dazugehört. Deshalb sehe ich auch einen Teil meiner Arbeit darin, Schulungen anzubieten, die in Grundschulen ablaufen könnten, da wie beschrieben, deutlich das Bewusstsein hinsichtlich fehlt.

Der Kern des Problems ist auch, dass Sicherheitsrichtlinien schlicht weg ignoriert werden, selbst wenn man dafür unterschrieben haben sollte und wenn es natürlich diese Richtlinien auch geben mag. Es reicht auch nicht, einfach ein paar Sicherheitsrichtlinien aufzuschreiben, auch Awareness-Kampagnen gehen meines Erachtens von falschen Voraussetzungen aus, nämlich dass menschliches Verhalten durch einmalige Maßnahmen dauerhaft geändert werden können. Dem ist nicht so. Wir alle wissen, Lernen ist wiederholen. Der Mensch lernt nicht, indem er einmal etwas gelesen oder getan hat. Schon gar nicht, wenn es nicht in seinem Sinn ist. Der Mensch ist von Haus aus faul, er ist neugierig, wie fast jedes Lebewesen auf unserem Planeten und er missachtet gerne einmal Gesetzmäßigkeiten, sofern diese nicht unter schwerer Straftat stehen. Dies alles sind Dinge, die die IT-Sicherheit berücksichtigen muss. Ein Großteil der IT-Sicherheit beschäftigt sich also mit den Auswirkungen von Leckagen und nicht unmittelbar mit der Ursache. Irgendwie auch zu vergleichen mit der Medizin. Überlegen Sie mal wie viele Medikamente es auf dem Markt gibt, die nur die Auswirkungen bekämpfen, jedoch nicht die Ursache selbst.

 

Ein Sprichwort heißt: Vorsorge ist besser als Nachsicht.

Genau das verfolgt auch der Ansatz der Forensik und der Schulungen von Kindern. Genau diese Dinge sind es, die Ursachen Bekämpfung möglich machen. Forensische Möglichkeiten sind erst einmal Auswirkungen zu bekämpfen, trägt diese jedoch Früchte, weil man explizit nachweisen kann, wer denn wo was gemacht hat, auch dafür bestraft wird, überlegen sich sicher viele, ob es denn Sinn macht eine Sicherheit Richtlinie zu umgehen, auszuschalten, oder den Chef zu betrügen, sogar bis hin zu wirtschaftlichen Schäden. Forensik ist also ein Mittel, die die Anonymität ausschalten kann und beweissicheres Material bereitstellt. Mittel gibt es jedenfalls genügend  für diese Zwecke um effektive Darstellung zu erreichen. Fraglich ist, ob dies immer im rechtlichen Rahmen bleiben kann.

Eine weitere Maßnahme die leider auch eingesetzt wird, ist, indem die Freiheit des Mitarbeiters dermaßen beschnitten wird, dass nichts reinkommt und auch nichts rausgeht. Ich halte das aus psychologischen Gründen nicht als das Maß der Dinge. Denn ein 100-prozentiges dichtes Unternehmen ist seelisch nicht auszuhalten. Stellen Sie sich einen modernen Neubau vor, mit Mehrfachverglasung, ohne Belüftung. Hier wuchert der Schimmel schon nach kurzer Zeit von selbst, sofern nicht ab und an ordentlich durchgelüftet wird.

Psychologisch gesehen wird IT-Security zu einer Frage der Unternehmenskultur. Unternehmen, die immer weniger rein und auch immer weniger raus lassen, minimieren ihre Entwicklungschancen und die ihrer Mitarbeiter. Arbeit, die sich immer sachlicher gestaltet und immer weniger eigenes bzw. Menschliches zulässt, erscheint leblos und fade, sogar bis hin zu Gleichgültigkeit und negativ wirtschaftlicher Arbeitsweise.

Was macht ein Mensch in so einer Situation? Richtig, er greift in die Trickkiste und vergisst dabei alles Rationale. Dabei verkehrt sich das im Rahmen des sachlichen Verschließens (Schutz vor Rein- und Rauslassen), quasi die Versachlichung der Identität. Es kommt, wie Sie Vermuten zu einem Ausbruch, die dem Prinzip des Menschlichen Eröffnens folgt, quasi eine Notlösung, bei der die Mitarbeiter die bereits fortgeschrittene entmenschlichte Sachlichkeit nicht länger aushalten können. Man könnte das auch mit dem Begriff Zuchthaus vergleichen.

Exakt an dieser Schnittstelle lassen sich in Unternehmen die meisten der so genannten Fehlleistungen und Fehlbedienungen identifizieren, bei dem die Mitarbeiter sich und ihr Umfeld entsichern. Genau das ist aber die Hauptursache für schwere Sicherheitslücken, die durch dieses Handeln geöffnet werden. Die andere Variante für die Fehlbedienungen war eben die Unübersichtlichkeit der verschiedenen Softwarekomponenten, die durch nachlässige Schulungen (innerbetrieblich) bzw. durch nicht fachkundiges Personal verursacht werden. Nicht alles ist auf Fachkräfte Mangel zurückzuführen, aber teilweise sind die Unternehmen in Ihren Vorstellungen jenseits des Verständnisses, was dieses Thema anbelangt.

Es kann somit auch gesagt werden, das IT-Security / Cyber-Security die Waage eines Unternehmens darstellt.

Eine Waage jedoch, die nirgends fehlen darf.