Update aus der Forschung

Nico Ebert

In diesem Research Update stellen wir die beiden Artikel vor:

  • Artikel 1 beleuchtet, wie wir von etablierten Sicherheitsdisziplinen wie der Luftfahrt oder dem Gesundheitswesen lernen können, um bessere Meldesysteme für Cybervorfälle zu entwickeln.
  • Artikel 2 zeigt, wie die Risikoforschung mit ihren Erkenntnissen zu Wahrnehmung, Kommunikation und Verhalten einen entscheidenden Beitrag zur Cybersicherheit leisten kann.

Artikel 1: Lernen von der «Safety» – Was Cybersecurity für das Meldewesen lernen kann

Der Artikel ist ein Review-Artikel, erschienen im Journal of Cybersecurity (2025. Er fasst den aktuellen Stand der Forschung zusammen, bewertet bestehendes Wissen kritisch und entwickelt neue Perspektiven. Das Forschungsteam – unter anderem von der ZHAW, der Universität Zürich und der ETH Zürich – verfolgt dabei einen interdisziplinären Ansatz. Statt eigene Experimente durchzuführen, analysieren die Autor:innen jahrzehntelange Erfahrungen aus der Sicherheitsforschung und prüfen, welche Lehren für die Cybersecurity gezogen werden können.

Im Mittelpunkt steht die Frage: Wie lassen sich bessere Meldesysteme für Cybervorfälle entwickeln?
Obwohl Unternehmen heute viele technische Überwachungssysteme einsetzen, bleibt die manuelle Meldung durch Menschen entscheidend – sei es das Weiterleiten einer Phishing-Mail oder das Melden einer Schwachstelle. Doch in der Praxis gibt es grosse Probleme: Viele Vorfälle werden nicht gemeldet, die Kanäle sind unklar, und oft herrscht Unsicherheit darüber, was überhaupt relevant ist.

Die Autor:innen schlagen deshalb vor, sich an der „Safety Science“ zu orientieren. In der Luftfahrt oder im Gesundheitswesen sind Meldesysteme seit Jahrzehnten etabliert und haben dort massgeblich zur Verbesserung der Sicherheit beigetragen.

Vorgehen
Das Forschungsteam führte eine systematische Literaturübersicht durch. Analysiert wurden 37 Übersichtsarbeiten aus der Sicherheitsforschung, vor allem aus Luftfahrt und Medizin. Diese Ergebnisse wurden thematisch ausgewertet und auf die Cybersecurity übertragen. So entstand ein neues Rahmenmodell, das die unterschiedlichen Formen von Vorfallmeldungen in einem einheitlichen Konzept zusammenführt.

Ergebnisse
Die Autor:innen zeigen vier zentrale Ergebnisse:

  1. Einheitlicher Rahmen: Unterschiedliche Meldephänomene – von Phishing-Meldungen über Schwachstellen bis hin zu gesetzlichen Vorgaben – lassen sich unter einem gemeinsamen System betrachten.
  2. Erweiterung des Meldespektrums: Neben schweren Vorfällen sollten auch Beinahe-Vorfälle und latente Faktoren wie Sicherheitskultur oder Prozesslücken erfasst werden.
  3. Neue Meldekanäle: Neben internen IT-Abteilungen und Behörden könnten unabhängige, vertrauenswürdige Stellen geschaffen werden, an die Mitarbeitende ohne Angst vor Sanktionen berichten können.
  4. Gestaltungskriterien: Erfolgreiche Systeme zeichnen sich durch Freiwilligkeit, Vertraulichkeit, Schutz vor Strafen, Unabhängigkeit, Nutzerfreundlichkeit, Feedback an die Berichtenden sowie Management-Unterstützung aus.

Implikationen
Die Lehre ist eindeutig: Cybersecurity kann nur dann gestärkt werden, wenn nicht nur Technik, sondern auch menschliche und organisatorische Faktoren berücksichtigt werden.

  • Mehr Lernen statt nur Melden: Systeme müssen echten Erkenntnisgewinn ermöglichen, auch aus kleinen Vorfällen.
  • Psychologische Sicherheit: Mitarbeitende sollen ohne Angst berichten können.
  • Neue Institutionen: Unabhängige Stellen können Vertrauen schaffen.
  • Gesetzgeber sensibilisieren: Reine Meldepflichten greifen zu kurz, wenn Vertrauen und Schutz fehlen.
  • Interdisziplinarität fördern: Psychologie, Organisationsforschung und Sicherheitswissenschaften müssen gleichermassen einbezogen werden

Fazit
Wer Cybersecurity verbessern will, muss über rein technische Lösungen hinausdenken. Effektive Meldesysteme können nur dann entstehen, wenn sie auf Vertrauen beruhen, menschliches Verhalten berücksichtigen und ins Management eingebettet sind. Die Sicherheitsforschung zeigt seit Jahrzehnten, dass dies funktioniert – nun gilt es, die Erfahrungen auf die digitale Welt zu übertragen.

Autor:innen: Ebert, N., Schaltegger, T., Ambuehl, B., Geppert, T., Trammell, A., Knieps, M., & Zimmermann, V. (2025). Learning from safety science: designing incident reporting systems in cybersecurity. Journal of Cybersecurity11(1), tyaf019.

Zum Artikel

Artikel 2: Menschliches Verhalten in der Cybersecurity – Eine Chance für die Risikoforschung

Um was für eine Art von Artikel handelt es sich?
Dieser Beitrag ist ein Commentary-Artikel (Kommentar), erschienen im Journal of Risk Research (2025). Er stellt keine neuen Daten vor, sondern will eine Debatte anstossen. Die Autor:innen – ein Team der ZHAW und der ETH Zürich – argumentieren, dass die Risikoforschung mit ihren Erkenntnissen zu Wahrnehmung, Kommunikation und Unsicherheit einen entscheidenden Beitrag zur Cybersecurity leisten kann.

Was ist das Thema?
Im Zentrum steht die Integration menschlichen Verhaltens in die Cybersecurity. Viele Cyberangriffe – etwa Phishing oder Ransomware – hängen von menschlichen Entscheidungen ab. Trotzdem bleibt die Risikoforschung bisher weitgehend aussen vor. Die Autor:innen sehen hier eine grosse verpasste Chance und fordern, zentrale Konzepte wie Unsicherheitstypen, Risikowahrnehmung, Risikokompensation oder mentale Modelle systematisch einzubeziehen.

Wie wurde vorgegangen?
Der Artikel ist eine theoretische Analyse. Die Autor:innen schlagen eine Brücke zwischen Risikoforschung und Cybersecurity. Sie zeigen, dass viele bewährte Konzepte der Risikowissenschaft wertvolle Impulse geben können, und leiten daraus eine Forschungsagenda ab, die künftige Projekte inspirieren soll.

Was sind die Ergebnisse?
Fünf Bereiche stehen im Fokus:

  1. Individuelle Risikowahrnehmung: Menschen unterschätzen Cyberrisiken oft. Zielgruppenspezifische Forschung kann helfen, Trainings und Interventionen wirksamer zu gestalten.
  2. Kognitive, affektive und soziale Perspektiven: Emotionen, Vertrauen und soziale Kontexte beeinflussen, ob Sicherheitsmassnahmen eingehalten werden.
  3. Entscheidungsfindung unter Unsicherheit: Angesichts dynamischer Bedrohungen können einfache, robuste Heuristiken wertvoller sein als komplexe Modelle.
  4. Risikokommunikation: Statt genereller Warnungen braucht es passgenaue Botschaften, die an den mentalen Modellen der Zielgruppen ansetzen.
  5. Risikomanagement und Governance: Ressourcen müssen gezielt eingesetzt werden. Politiken und Regeln sind nur wirksam, wenn sie mit menschlichem Verhalten kompatibel sind.

Welche Implikationen ergeben sich?
Die Botschaft ist klar: Cybersecurity muss menschliche Faktoren ernsthaft einbeziehen.

  • Forschung: Interdisziplinäre Projekte sollten prüfen, wie etablierte Konzepte der Risikoforschung auf Cyberthemen übertragbar sind.
  • Praxis: Unternehmen sollten Sicherheitsstrategien realistisch gestalten, mit Fokus auf Verhalten statt nur auf Technik.
  • Politik: Gesetzgeber können von der Risikoforschung lernen, wie Unsicherheiten kommuniziert und Richtlinien wirksam gestaltet werden.
  • Gesellschaft: Bürgerinnen und Bürger profitieren von verständlicher Aufklärung, die ihre Alltagsrealität berücksichtigt.

Fazit
Der Kommentar macht deutlich, dass die grossen Herausforderungen der Cybersecurity nicht allein technisch gelöst werden können. Menschliches Verhalten ist der entscheidende Unsicherheitsfaktor. Die Risikoforschung verfügt über erprobte Konzepte, die dringend in die Cybersecurity integriert werden sollten. So entsteht eine neue Forschungsagenda, die den Weg zu einer menschzentrierten und wirksameren digitalen Sicherheit weist.

Autor:innen: Schaltegger, T., Ambuehl, B., Bosshart, N., Bearth, A., & Ebert, N. (2025). Human behavior in cybersecurity: an opportunity for risk research. Journal of Risk Research, 1–12.

Zum Artikel