Kommentar : Cybersecurity – über die menschliche Seite der Prävention
Menschen begreifen die Notwendigkeit des Handelns am besten, wenn Kausalität und Koinzidenz zeitlich und räumlich zusammenfallen. Das wohl bekannteste Beispiel dafür ist das Kind, das auf eine heiße Herdplatte fasst. Die Handlung führt unmittelbar zu einer schmerzhaften Erfahrung, was einen sofortigen Lerneffekt zur Folge hat. Von da an wird das Kind die Herdplatte wohl meiden oder zumindest vor dem Anfassen vorsichtig prüfen. Bei vielen anderen Situationen ist der Zusammenhang nicht mehr so deutlich, wie etwa bei Maßnahmen gegen die Klimakrise oder bei der Cybersicherheit.
Die Gefahr scheint weit weg
Es fehlt bei Cyberkriminalität noch immer das Bewusstsein, dass jede und jeder Opfer werden kann. Im Fall von Industrieunternehmen können solche Vorfälle sogar existenzbedrohlich sein, wenn diese ohne funktionierende IT-Infrastruktur völlig handlungsunfähig sind. Aber wie kann man sich auf so etwas vorbereiten?
Cybersicherheit: Vier Maßnahmen gegen die Ohnmacht
Von technischer Seite sind u.a. Firewalls, Spam-Filter, Zugriffsbeschränkungen, Multi-Faktor-Authentifizierung und versionierte Backups von Fachleuten schnell eingerichtet. Das Vertrauen auf die technischen Maßnahmen greift aber zu kurz.
Das größte Problem ist der Mensch
Denn in 90 % der Fälle greifen Kriminelle nicht auf der technischen Ebene an, sondern auf der menschlichen, was als „Social Engineering“ bezeichnet wird. Beispiele sind täuschend echte Emails oder glaubhaft wirkende Anrufe, die dazu auffordern, einen Link zu klicken oder vertrauliche Daten preiszugeben. Auch üblich sind auf dem Parkplatz „verlorene“ Datenträger, die sehr wahrscheinlich irgendjemand in irgendeinen Rechner steckt. Sind die Kriminellen einmal eingedrungen, beginnt ihre Zerstörung – häufig über Monate unbemerkt.
Nicht effizient, aber effektiv
Im Vergleich zu den Investitionen in Hard- und Software sind die Kosten für die menschliche Gefahrenabwehr auf Dauer wesentlich kostspieliger. IT-Expert:innen müssen Spezialwissen haben, um Gefahren rechtzeitig zu erkennen und abzuwehren. Damit ist es nicht getan. Auch für die Mitarbeitenden brauchte es gezielte Trainingsmaßnahmen, um ihnen einen Überblick zu verschaffen, wo welche Gefahren lauern. Zudem muss das Wissen auch kontinuierlich trainiert werden. Etwa werden Mitarbeitende bei Tests mit Täuschungs-Emails oder -Anrufen in eine „Falle“ gelockt um die Sensibilität für solche Gefahren zu entwickeln. Die Investition in die Mitarbeitenden ist sehr gut angelegt, denn potentielle Folgeschäden sind wesentlich teurer.
Experten am Werk
Spezialisierte Unternehmen können hier unterstützen. Vertrauen Sie nicht dem Erstbesten, sondern fragen Sie mehrere Unternehmen an und vergleichen Sie. Denn auch in dieser Branche treiben sich viele mit Berater-Mentalität herum, die möglichst viel Leistung verkaufen wollen, die man unter Umständen nicht braucht.
Sebastian Schlunds Appell für mehr Sicherheit im Netz: