Vom schwächsten Glied zum Sicherheitsfaktor
Verena Zimmermann ist überzeugt, dass es zu kurz greift, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen. Vielmehr sollten die besonderen Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.
Bei Cybersicherheit denken viele zuerst an ausgefeilte Technologien wie Verschlüsselungsprogramme, E-Mail-Filter oder Anti-Viren Programme. Nur: Das beste Verschlüsselungsprogramm hilft nicht viel, wenn es nicht genutzt wird. Schwache Passwörter sind durchaus ein Risikofaktor. Doch der Grund dafür ist nicht unbedingt Faulheit oder Unwissenheit. Das menschliche Gehirn ist schlicht nicht darauf ausgelegt, sich 50 oder mehr unterschiedliche zufällige Passwörter zu merken. Dennoch wird der Mensch im Bereich der Cybersicherheit oft als das «schwächste Glied», als «Risiko» oder als «Problem» bezeichnet. Damit Cybersicherheit gelingt, ist die Interaktion von Mensch und Technologie entscheidend.
Faktor Mensch reduzieren?
In der Vergangenheit hat man oft versucht den «Faktor Mensch» weitgehend zu eliminieren, indem man die Interaktion mit den Nutzenden ganz vermieden, stark eingeschränkt oder reglementiert hat. Beispiele dafür sind strenge Richtlinien, wie ein monatlicher Passwortwechsel, das Verbot von USB-Sticks oder die Automatisierung von Prozessen.
«Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur mässig erfolgreich.»Verena Zimmermann
Sicherheits-Richtlinien können durchaus hilfreich sein. Wenn Richtlinien allerdings mit täglichen Arbeitsabläufen kollidieren oder nicht leicht anwendbar sind, entwickeln Nutzende häufig unsichere Strategien, um diese zu umgehen. Beispielsweise bewahren sie ihr Passwort offen auf, weil es schwer zu merken ist oder sie passen simpel eine Zahl am Ende des Passworts an, wenn häufige Passwortwechsel erforderlich sind. Leider macht dieses Verhalten oft ein Angriff viel einfacher. Die Strategie, dass Menschen sich einfach technischen Vorgaben anpassen, ist also nur mässig erfolgreich.
Gezielte Angriffe werden häufiger
Beunruhigend ist zudem, dass die Zahl und auch die Qualität der Cyberangriffe steigt, die auf den «Faktor Mensch» abzielen. Zum Beispiel Phishing-Angriffe, die durch Social Engineering versuchen, Menschen dazu zu bringen, schädliche Anhänge herunterzuladen oder ihre geheimen Zugangsdaten auf gefälschten Webseiten einzugeben.
Zeit also für die Cybersicherheitsforschung neue Wege zu gehen. Das Ziel neuerer Forschungsansätze ist unter anderem die Passung zwischen Mensch und Sicherheitslösungen zu verbessern. So können Passwortalternativen aus Bildern oder spielerische Trainings dabei helfen, dass Nutzende sich der Cyber-Bedrohungen besser bewusst werden. Die Kluft zwischen den technischen Anforderungen und den menschlichen Fähigkeiten soll damit besser überbrückt werden.
Allerdings noch sinnvoller wäre meiner Ansicht nach, den Menschen und seine Fähigkeiten als ungenutztes Potenzial zu verstehen und einzusetzen.
Menschliches Potenzial besser nutzen
Aus der Psychologie und der Sicherheitsforschung kennen wir dieses Potenzial eigentlich: Menschen sind sehr kreativ, anpassungsfähig an neue Situationen und können auch unter Unsicherheit gute Entscheidungen treffen. Bisher haben wir uns hauptsächlich darauf konzentriert, was Menschen falsch machen und versucht, das zu verhindern. Wenn wir nun aber auch analysieren, was Menschen richtig machen und warum, können wir neue Ansätze für die Cybersicherheit entwickeln.
Phishing ist ein gutes Beispiel dafür: Forschende haben herausgefunden, dass menschliche Intuition und Mustererkennung, die durch jahrelange Erfahrung verfeinert wurden, komplexen Algorithmen bei der Erkennung subtiler Phishing-Versuche oft überlegen sind. Wenn wir also verstehen, warum einige Personen Phishing-E-Mails nicht nur erkennen, sondern sogar melden und andere proaktiv warnen, können wir untersuchen, wie wir andere Personen besser bei diese Aufgabe unterstützen können.
Die hohe Flexibilität und Anpassungsfähigkeit der Menschen könnten in der heutigen dynamischen Bedrohungslage eine wichtige Funktion bekommen. Wenn wir es schaffen, eine Kultur zu etablieren, in der sich jeder und jede Einzelne verantwortlich fühlt - und auch motiviert und befähigt ist entsprechend zu agieren - könnten wir einen entscheidenden Beitrag zur Cybersicherheit leisten. Es ist an der Zeit, den Menschen nicht länger als das schwächste Glied, sondern als wertvollen Sicherheitsfaktor zu betrachten.
Kommentare
Wie wäre es wenn die ETH sich endlich von dieser PC Informatik verabschieden würde. Vereinfacht von Windows und nur noch Forschung im UNIX Bereich angehen würde. 100000 von Viren gibt es nur für Windows. Mitarbeiter die Windows abschiessen global, das kennt keiner der jemals AS400 im Betrieb hatte.
Zuerst wäre es besser zuverlässigere Methoden anzuwenden. Microsoft und Sicherheit ist der Witz des Jahres. Vor 40 Jahren hatten wir Passwörter die Automatisch unregelmässig vom System vergeben wurden. Ich halte das heute noch für ungeschlagen selbst wenn man das Passwort notierte. Hacker die eine Anzahl von Versuchen starten können über SSL unsäglich. Wo gibt es die grössten Angriffe? In den USA wo 16 Regierungsagenturen bei der Sicherheit mitreden.
Klar können menschliche Experten Phishing-Attacken besser erkennen als jedes Tool. Doch „gewöhnliche“ Menschen gibt es mehr als Phishing-Experten und Tools haben gerade die Aufgabe auch die Unbedarften vor Phishing-Attacken zu schützen. Heute scheinen KI-Programme die besten Phishing-Erkenner zu sein und da KI Fortschritte im Monatstakt macht wird der Vorsprung von KI wohl erhalten bleiben.