Vom schwächsten Glied zum Sicherheitsfaktor

Verena Zimmermann ist überzeugt, dass es zu kurz greift, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen. Vielmehr sollten die besonderen Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.
Verena Zimmermann ist Assistenzprofessorin für Sicherheit, Privatsphäre und Gesellschaft an der ETH Zürich. Ihre Forschungsgebiet sind menschlichen Aspekte bei der IT-Sicherheit und dem Datenschutz.

Bei Cybersicherheit denken viele zuerst an ausgefeilte Technologien wie Verschlüsselungsprogramme, E-Mail-Filter oder Anti-Viren Programme. Nur: Das beste Verschlüsselungsprogramm hilft nicht viel, wenn es nicht genutzt wird. Schwache Passwörter sind durchaus ein Risikofaktor. Doch der Grund dafür ist nicht unbedingt Faulheit oder Unwissenheit. Das menschliche Gehirn ist schlicht nicht darauf ausgelegt, sich 50 oder mehr unterschiedliche zufällige Passwörter zu merken. Dennoch wird der Mensch im Bereich der Cybersicherheit oft als das «schwächste Glied», als «Risiko» oder als «Problem» bezeichnet. Damit Cybersicherheit gelingt, ist die Interaktion von Mensch und Technologie entscheidend.

Faktor Mensch reduzieren?

In der Vergangenheit hat man oft versucht den «Faktor Mensch» weitgehend zu eliminieren, indem man die Interaktion mit den Nutzenden ganz vermieden, stark eingeschränkt oder reglementiert hat. Beispiele dafür sind strenge Richtlinien, wie ein monatlicher Passwortwechsel, das Verbot von USB-Sticks oder die Automatisierung von Prozessen.

«Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur mässig erfolgreich.»      Verena Zimmermann

Sicherheits-Richtlinien können durchaus hilfreich sein. Wenn Richtlinien allerdings mit täglichen Arbeitsabläufen kollidieren oder nicht leicht anwendbar sind, entwickeln Nutzende häufig unsichere Strategien, um diese zu umgehen. Beispielsweise bewahren sie ihr Passwort offen auf, weil es schwer zu merken ist oder sie passen simpel eine Zahl am Ende des Passworts an, wenn häufige Passwortwechsel erforderlich sind. Leider macht dieses Verhalten oft ein Angriff viel einfacher. Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur mässig erfolgreich.

Gezielte Angriffe werden häufiger

Beunruhigend ist zudem, dass die Zahl und auch die Qualität der Cyberangriffe steigt, die auf den «Faktor Mensch» abzielen. Zum Beispiel Phishing-Angriffe, die durch Social Engineering versuchen, Menschen dazu zu bringen, schädliche Anhänge herunterzuladen oder ihre geheimen Zugangsdaten auf gefälschten Webseiten einzugeben.

Zeit also für die Cybersicherheitsforschung neue Wege zu gehen. Das Ziel neuerer Forschungsansätze ist unter anderem die Passung zwischen Mensch und Sicherheitslösungen zu verbessern. So können Passwortalternativen aus Bildern oder spielerische Trainings dabei helfen, dass Nutzende sich der Cyber-Bedrohungen besser bewusst werden. Die Kluft zwischen den technischen Anforderungen und den menschlichen Fähigkeiten soll damit besser überbrückt werden.

Allerdings noch sinnvoller wäre meiner Ansicht nach, den Menschen und seine Fähigkeiten als ungenutztes Potenzial zu verstehen und einzusetzen.

Menschliches Potenzial besser nutzen

Aus der Psychologie und der Sicherheitsforschung kennen wir dieses Potenzial eigentlich: Menschen sind sehr kreativ, anpassungsfähig an neue Situationen und können auch unter Unsicherheit gute Entscheidungen treffen. Bisher haben wir uns hauptsächlich darauf konzentriert, was Menschen falsch machen und versucht, das zu verhindern. Wenn wir nun aber auch analysieren, was Menschen richtig machen und warum, können wir neue Ansätze für die Cybersicherheit entwickeln.

Phishing ist ein gutes Beispiel dafür: Forschende haben herausgefunden, dass menschliche Intuition und Mustererkennung, die durch jahrelange Erfahrung verfeinert wurden, komplexen Algorithmen bei der Erkennung subtiler Phishing-Versuche oft überlegen sind. Wenn wir also verstehen, warum einige Personen Phishing-E-Mails nicht nur erkennen, sondern sogar melden und andere proaktiv warnen, können wir untersuchen, wie wir andere Personen besser bei diese Aufgabe unterstützen können.

Die hohe Flexibilität und Anpassungsfähigkeit der Menschen könnten in der heutigen dynamischen Bedrohungslage eine wichtige Funktion bekommen. Wenn wir es schaffen, eine Kultur zu etablieren, in der sich jeder und jede Einzelne verantwortlich fühlt - und auch motiviert und befähigt ist entsprechend zu agieren - könnten wir einen entscheidenden Beitrag zur Cybersicherheit leisten. Es ist an der Zeit, den Menschen nicht länger als das schwächste Glied, sondern als wertvollen Sicherheitsfaktor zu betrachten.

Weitere Informationen

Zimmermann, V., Schöni, L., Schaltegger, T., Ambühl, B., Knieps, M., & Ebert, N. (2024). Human-Centered Cybersecurity Revisited: From Enemies to Partners. Communications of the ACM. https://doi.org/10.1145/3665665