Der Faktor Mensch in der Cybersicherheit

Dieser Beitrag von Sibylle Veigl über den CYRENZH “CAS Cyber Risk Awarenesserschien erstmals in der Dezember-Ausgabe des Magazins «Impact» der Zürcher Hochschule für Angewandte Wissenschaften.

Angriffe von Cyberkriminellen auf Unternehmen nehmen rasant zu, mögliche Schäden können gravierend sein. Technik und organisatorische Massnahmen allein sind keine Antwort mehr darauf. Zum Schutz vor solchen Risiken gehört heute auch die Sensibilisierung der Mitarbeitenden.

Social Engineering, CEO-Betrug, Datenabflüsse, Ransomware, Rechnungsmanipulationsbetrug, Angriffe auf die Verfügbarkeit von Webseiten oder das bekannte Phishing: Die Formen der Cyberkriminalität, welche Unternehmen bedrohen, werden immer zahlreicher und auch immer komplexer, wie auf der Webseite des Bundesamts für Cybersicherheit (BACS) aufgeführt. Über 34’000 Meldungen gingen im ersten Halbjahr 2024 beim Bundesamt ein – die Fälle, die zu Schäden führen, steigen jährlich um 30 Prozent. Das ist einerseits darauf zurückzuführen, dass ein immer grösserer Teil des Geschäftsalltags im digitalen Raum stattfindet. Anderseits sind viele Systeme unzureichend gesichert, gerade mittleren und kleineren Unternehmen fehlen oft die personellen und finanziellen Mittel.

Ohne Awareness keine vollständige Sicherheit

Unternehmen versuchen sich mit technischen und organisatorischen Massnahmen gegen solche Angriffe zu wappnen. Doch das reiche nicht mehr, sagt Nico Ebert. Er ist Studienleiter des neuen CAS Cyber Risk Awareness der School of Management and Law an der Zürcher Hochschule für Angewandte Wissenschaften ZHAW. «Um Cyberrisiken zu verringern, muss heute auch beim Menschen angesetzt werden.» Die «Awareness» ist zum dritten Schwerpunkt der Schutzmassnahmen geworden.

Dies ist umso wichtiger, als 68 Prozent der Sicherheitsverletzungen auf nicht böswilliges menschliches Verhalten zurückzuführen sind, wie der US-Telekomanbieter Verizon in einer aktuellen Studie feststellte. Zum Beispiel, indem eine Person Opfer eines Social-Engineering-Angriffs wird, oder ganz einfach den Fehler macht, ein vertrauliches E-Mail versehentlich an einen falschen Empfänger zu schicken. Gerade Social-Engineering-Kampagnen, wo Menschen unter Druck gesetzt werden, um Informationen preiszugeben, sind eine erhebliche Bedrohung: «Besonders beunruhigend ist, dass mit dem Aufkommen von generativer KI diese Bedrohung weiter zunimmt», schreibt Cornelia Puhze in einem Beitrag auf der Webseite der Stiftung Switch. Sie ist Security Awareness & Communications Expert bei Switch, welcher digitale Dienstleistungen für Hochschulen anbietet und Kooperationspartner der Weiterbildung ist.

Zum Mitmachen animieren

Das menschliche Verhalten bezüglich Cybersicherheit steht auch im Zentrum dieser Weiterbildung: Es gilt, die Mitarbeitenden für die Risiken zu sensibilisieren wie auch für die Frage, wie sie sich bei einem Cyberangriff verhalten sollen. Der Kurs nutzt dafür etablierte Konzepte der Psychologie (insbesondere zur Verhaltensänderung) und Wissen über menschliches Lernen, Kommunikation und Informatik. Dabei geht es um Fragen, wie Menschen Risiken wahrnehmen, wie sicheres Verhalten gefördert werden kann und wie die richtige Technologie wie auch Lernmaterialien dabei helfen können. «Die Leute zum Mitmachen zu animieren», das sei das Ziel, so Ebert. Zum Beispiel, indem Mitarbeitende verdächtige Phishing-Mails systematisch melden. Oder sich keine Kundendaten nach Hause ans private Mail schicken.

Umfrage unter Mitarbeitenden der ZHAW

Das Verhalten der Mitarbeitenden gegenüber Cyberrisiken war auch Inhalt einer internen Umfrage an der ZHAW im Sommer 2024. Die Umfrage basierte auf einem an der ZHAW entwickelten Messinstrument für Cybersicherheits-Verhalten: Die Teilnehmenden nennen ihr persönliches Verhalten zu über 30 konkreten Beispielen, die für die Cybersicherheit relevant sind. Diese Verhalten sind in fünf Verhaltensgruppen zusammengefasst und mit technischen Messgrössen kombiniert. Das Messinstrument der ZHAW wird bereits von anderen Unternehmen angewendet: Organisationen können mit ihm spezifische Verbesserungsmassnahmen ableiten und den Ist-Zustand auch mit internationalen Normen vergleichen.

An der ZHAW zeigte sich, dass die meisten Mitarbeitenden sich daran halten, persönliche Logins nicht zu teilen, verschiedene Logins zu verwenden und Zugangsdaten nicht einfach einsehbar zu notieren. In der Regel öffnen sie E-Mail-Anhänge unbekannter Absender nicht und laden auch keine Daten unbekannter Absender auf das beruflich genutzte Gerät. Mehrheitlich haben die Befragten auch einen Sperrmechanismus auf ihren Geräten aktiviert. Sie sind sich auch bewusst, dass die Cybersicherheit in der Verantwortung aller liegt. Unter dem Durchschnitt lag die Zustimmung dagegen bei Verhaltensbeispielen wie: Backups von Arbeitsdateien zu erstellen wie auch Arbeitsdateien vor dem Versand zu verschlüsseln, einen Passwort-Manager zu verwenden oder die Sicherheit einer Webseitenverbindung zu kontrollieren.

Knappes Gut Aufmerksamkeit

Verhaltensweisen zu ändern, sei sehr schwierig, sagt Ebert. Nicht nur, weil der Mensch ein Gewohnheitstier ist. «Auch Aufmerksamkeit und Zeit sind kein unendliches Gut.» Schliesslich sind die Mitarbeitenden für ganz andere Aufgaben im Unternehmen zuständig. Um den Mitarbeitenden zu ermöglichen, ihr Verhalten bezüglich Cybersicherheit zu ändern, muss auch das Arbeitsumfeld entsprechend gestaltet sein. Zum Beispiel müssen technische Hilfsmittel zur Verfügung stehen, um E-Mails verschlüsseln zu können – und diese Hilfsmittel müssen auch einfach handhabbar und Gegenstand von Schulungen sein.

Das Arbeitsumfeld muss das Vertrauen vermitteln, das Mitarbeitende brauchen, um Phishing-Mails auch dann zu melden, wenn sie zuvor versehentlich auf den Link geklickt haben. Sanktionierungen sind deshalb nicht zielführend. «Man darf die Motivation nicht zerstören», so Ebert. «Wenn Menschen zudem das Gefühl haben, dass ihre Meldungen nicht ernst genommen werden oder zu keinen Veränderungen führen», so Puhze. «dann sinkt die Bereitschaft, künftige Vorfälle zu melden.»

Massnahmen und Schulungen müssen spielerisch und anregend aufgebaut sein, und sind im Idealfall auch im Privaten anwendbar. Etwa durch eine Demonstration eines Profis, wie eine Webseite gehackt werden kann. Oder indem die Schulung als Quiz konzipiert wird. Grosse Firmen machen es schon: Sie führen Trainings durch, um Phishing-Mails zu erkennen, stellen Videos bereit und laden sogar Hacker ein, welche die Trickkiste der Cyberkriminellen kennen und davon erzählen. Mitarbeitende sollen ein Gefühl für das Risiko bekommen, sie sollen verstehen, warum sie in diesen Bereichen mitdenken sollen – nicht nur aus Pflichtgefühl, sondern weil es ihre Unterstützung wirklich braucht.