Im ersten Teil dieser kleinen Blogreihe ging es um die Gründe, warum IT-Sicherheit so schwer für viele Nutzer:innen zu verstehen ist. Für dieses Problem gibt es Lösungsansätze und darum geht es in diesem Artikel.
Wir erinnern uns: IT-Sicherheit ist ein komplexes technisches Thema, welches viele von uns Internetnutzer:innen nur schwer begreifen können. In der Folge beschäftigen sich viele von uns nicht ausreichend oder überhaupt nicht mit Cybersecurity und vernachlässigen den Schutz der eigenen digitalen Identität. Angreifer haben dann leichtes Spiel, persönliche Informationen auszuspionieren oder Geldbeträge zu erbeuten.
Natürlich liegt es generell an uns Anwender:innen, sich mit dem Thema eingehend zu beschäftigen, denn wir alle nutzen internetfähige Geräte. Wir sollten daher auch wissen, dass im Web Gefahren lauern und wie wir uns davor schützen. Diese beiden Sätze lesen sich sehr gut und es klingt einfach. Wenn dies aber schon die Lösung des komplexen Problems wäre, könnte dieser Artikel an genau dieser Stelle enden. Sie, lieber Leser, ahnen aber schon, dass dies nicht der Fall ist. Leider ist es doch nicht so simpel, wie es erscheint.
Wie ich schon im ersten Blogpost zu diesem Thema erläutert hatte, wählen wir Menschen generell sehr gerne den einfachen Weg, um an ein Ziel zu kommen. Wir gehen Schwierigkeiten konsequent aus dem Weg. Das bedeutet, dass ein einfacher Aufruf, wie „Beschäftigen Sie sich bitte mehr mit IT-Security zum Wohle Ihrer eigenen Sicherheit“ zwar gut gemeint ist, aber wirkungslos verpufft. Warum ist das so? Die Antwort: Wir sehen hierdurch keinen Anlass, es tatsächlich zu tun. Wir müssen zuerst unsere Komfortzone verlassen und das eigentliche Problem verstehen. Zudem müssen wir – und das ist enorm wichtig – einen Bezug zu uns selbst herstellen. Warum betrifft es auch mich?
Ein Beispiel: In der Zeitung steht, dass in der Nachbarstadt aktuell eine große Einbruchsserie stattfindet. Die Täter steigen in Häuser und Wohnungen ein, um Schmuck, Geld und andere Wertsachen zu entwenden. Den Großteil der Bevölkerung der Nachbarstädte interessiert diese Nachricht weniger, obwohl die Einbrecherbande als nächstes auch im eigenen Wohnort und möglicherweise auch im Stadtteil aktiv werden könnte. Könnte ich vielleicht selbst ein Einbruchsopfer sein und reichen meine Sicherheitsvorkehrungen eigentlich aus? Nicht jeder stellt sich diese Fragen und wird im Fall eines Diebstahls böse überrascht – und überdenkt dann, ob zum Beispiel die Türschlösser wirklich sicher sind. Dabei liegt es auf der Hand, dass sich Einbrecher auch bald an meiner Balkon- oder Terrassentür zu schaffen machen könnten, um bei mir einzubrechen.
Menschen müssen immer einen emotionalen Bezug herstellen, um zu erkennen, dass eine Problematik auch sie selbst betreffen kann. Ein Beispiel: Wer in der Familie oder im Freundeskreis eine Person kennt, welche von einer Ransomware-Infektion oder von Onlinebanking-Betrug betroffen war, wird eher eine Verbindung zu sich selbst herstellen und dafür sorgen, dass es einem selbst nicht passiert.
Wir alle müssen uns mit der Tatsache abfinden, dass es neben vielen Vorteilen des Internets auch Kriminelle gibt, die uns schädigen und sich selbst bereichern möchten. Dabei spielt es keine Rolle, ob wir uns im privaten oder im beruflichen Umfeld bewegen. Wir sind allesamt potenziell interessante Angriffsziele für Cyberkriminelle. Dies ist der Schlüssel zur Erkenntnis und die Basis für IT-Sicherheit.
Die von einigen Usern „gern“ genutzte „Lernen durch Schmerz-Methode“, die in diesem Fall durch einen Cybercrime-Schaden für eine Sensibilisierung für IT-Sicherheit mit der Brechstange sorgt, ist veraltet. Das Stichwort von heute lautet: Security Awareness. Nutzer:innen müssen lernen, wo genau Gefahren lauern und wie sie sich und ihr Unternehmen dagegen schützen. IT-Sicherheit muss aus der Abstraktheit herausgeholt und in einfacher Sprache kommuniziert werden, damit die Information – der Kern – verständlich wird. Dr. Steffen Hessler von der Ruhr-Universität beschäftigt sich auf der sprachlichen Ebene mit dem Thema, warum IT und IT-Sicherheit schwer zu verstehen sind. Oft greift die Kommunikation zu kurz - Sachverhalte werden zu knapp und kompliziert vermittelt.
IT-Sicherheit muss ausführlich und allgemein verständlich vermittelt werden. Expertinnen und Experten müssen die Themen so weit runterbrechen, dass die Botschaft klar wird. Fachsprache ist dazu weniger gut geeignet, denn sie verkompliziert die Erfassung des Sachverhaltes, anstelle ihn zu vereinfachen. Eine einfache Sprache und ein Praxisbezug sind dabei zielführend. Je abstrakter etwas erklärt wird, desto größer ist die Hürde, es zu verstehen.
Oft werden Forderungen laut, dass Informatik ein verpflichtendes Schulfach werden sollte, um die Digitalkompetenz der Schüler:innen zu steigern. Nach einer repräsentativen Umfrage von Bitkom, fordern fast drei Viertel der Bevölkerung in Deutschland dies. Weiterführende Schulen sollen ab der fünften Klasse Informatik unterrichten. Sicherlich steigert dies die Digitalkompetenz der Schülerschaft, aber das bedeutet nicht zwangsläufig, dass sie damit auch sensibel für Cybergefahren sind und wissen, was sie machen müssen, um sich vor Schadprogrammen und Angriffen zu schützen. IT und Informatik sind nicht gleich IT-Sicherheit. Genauso profitieren die höheren Altersklassen davon weniger.
Nötig ist das Schaffen von Security-Awareness. Dies wird zum Beispiel durch spezielle Schulungen zum Thema IT-Sicherheit erreicht. Mitarbeitende in Unternehmen setzen sich dadurch mit dem Themenkomplex auseinander, wie sie Brandschutzregeln oder andere betriebliche Vorgaben lernen. Der Belegschaft wird dadurch bewusst, dass Cybergefahren eine ernste Bedrohung darstellen und dabei der Faktor Mensch eine entscheidende Rolle spielt. Technische Security-Maßnahmen sind unerlässlich für eine umfassende IT-Sicherheit, sie haben aber ihre Grenzen. Das ist insbesondere dann der Fall, wenn Kriminelle auf Methoden wie Social Engineering setzen, um direkt über die Angestellten ein Unternehmen anzugreifen – zum Beispiel in Form von Phishing-Mails. Einmalige Präsenzveranstaltungen oder auch reine Informationen, die von IT-Verantwortlichen per Intranet oder E-Mail an die Belegschaft kommuniziert werden, sind dabei wenig hilfreich und nicht zielführend. Es braucht ein umfangreiches und nachhaltiges Lernkonzept, dass die Mitarbeitenden dauerhaft als Teil der Cyberabwehr miteinbindet.
Wenn in möglichst wenig Zeit möglichst viel Wissen in die Köpfe der Lernenden gebracht werden soll, ist unter Nutzung der entsprechenden Formate, wie etwa sehr langen, sehr statischen E-Learnings, das meiste Wissen schon nach kurzer Zeit wieder verloren. Die Vergessenskurve nach Ebbinghaus bestätigt dieses Phänomen. Sinniger sind dagegen Trainings, die sich in den Arbeitsalltag integrieren lassen, nicht zu lang, aber praxisnah und verständlich sind. Durch diese Formate kann eine effektive Wiederholung des Gelernten gewährleistet werden, was dem Vergessen entgegenwirkt.
Ratsam ist der Einsatz von E-Learning mit kurzen Einheiten, die sich beispielsweise zwischen zwei Meetings oder neben der Buchführung absolvieren lassen. So ein Konzept kommt in den G DATA Security Awareness Trainings und bei der Phishing-Simulation zum Einsatz. Per Learning Journey lernen die Mitarbeitenden in mehr als 35 Kursen Know-how, um mit Cybergefahren umzugehen und im Ernstfall richtig zu reagieren.
Der Sprecher des Chaos Computer Clubs (CCC) und Netzaktivist Linus Neumann hat den Spruch geprägt: „IT-Sicherheit ist kein Zustand, sondern ein Prozess“. Das zeigt, dass wir alle bei diesem Thema immer am Ball bleiben müssen. Wir lernen unser Leben lang dazu und das muss auch bei IT-Sicherheit der Fall sein. Cyberkriminelle entwickeln ständig neue Strategien und Angriffswege und darauf müssen wir uns vorbereiten. Mit dem nötigen Know-how und einer Sensibilisierung für Cybergefahren kommen wir dabei schon sehr weit.
Natürlich liegt es an der Politik, aber auch an Verbänden und der Wirtschaft, das Thema IT-Sicherheit permanent ganz oben auf die Agenda zu bringen und dort zu halten, um die Bevölkerung gegen Cyberbedrohungen zu schützen und die kritischen Infrastrukturen dauerhaft am Laufen zu halten. Wir bei G DATA CyberDefense haben uns als Security-Unternehmen dieser Mission verschrieben und arbeiten jeden Tag dafür, die digitale Welt ein Stück sicherer zu machen. Am Ende liegt die persönliche IT-Sicherheit aber in der Hand von uns Nutzer:innen und wir sind dafür verantwortlich, uns selbst zu schützen - und unsere Familie und Freunde. Es liegt an uns, unseren Teil dazu beizusteuern, denn Security beginnt bei jedem selbst – und daran lässt sich nicht rütteln.
Kathrin Beckert-Plewka
Public Relations Manager
