Bild generiert durch OpenAI's DALL·E
Ein klassisches Dilemma: Der Mensch als Sicherheitsrisiko
Es ist eine altbekannte These: Der Mensch ist das schwÀchste Glied in der Sicherheitskette.
Phishing-E-Mails werden geöffnet, unsichere Passwörter verwendet, Regeln umgangen. Klassische AnsĂ€tze zur Verbesserung des Sicherheitsbewusstseins wie Schulungen und Kampagnen setzen genau hier an. Doch oft bleibt ihre Wirkung hinter den Erwartungen zurĂŒck.
Dies liegt nicht allein an der QualitĂ€t der MaĂnahmen, sondern auch daran, wie Sicherheitsrichtlinien gestaltet und umgesetzt werden. Viele Vorgaben zielen darauf ab, idealisiertes Verhalten durchzusetzen, das mit den tatsĂ€chlichen Arbeitsweisen der Mitarbeitenden nicht immer vereinbar ist. Vielleicht ist es an der Zeit, die Perspektive zu wechseln: Nicht die Menschen sollten sich den Policies anpassen â die Policies mĂŒssen sich den Menschen und ihrer RealitĂ€t anpassen.
Policies fĂŒr Menschen, nicht gegen sie
Ein alternativer Ansatz könnte folgende Ăberlegungen umfassen:
Sicherheitsrichtlinien, die Arbeitsweisen unterstĂŒtzen
Vorgaben sollten den Alltag der Mitarbeitenden erleichtern, statt ihn zu erschweren. Beispielsweise sind komplizierte Passwortanforderungen oft unpraktisch und fĂŒhren zu RegelverstöĂen. Passwortlose Technologien wie FIDO2-Standards bieten eine sichere und benutzerfreundliche Alternative.
Technologie als Partner, nicht als Blockade
Statt Sicherheitslösungen als Barriere wahrzunehmen, sollten diese Mitarbeitende unauffĂ€llig unterstĂŒtzen. Adaptive Authentifizierung, die sich an das Verhalten des Nutzers anpasst, oder automatisierte Phishing-Erkennung können Risiken minimieren, ohne den Workflow zu behindern.
Mitarbeitende als Mitgestalter einbeziehen
Wenn Mitarbeitende frĂŒhzeitig in die Entwicklung von Sicherheitsrichtlinien eingebunden werden, entsteht eine stĂ€rkere Akzeptanz. MaĂnahmen, die auf realen Arbeitsprozessen basieren, sind oft effektiver als rein theoretische Vorgaben.
Fehler als Lernchancen nutzen
Statt Fehler zu sanktionieren, könnten Unternehmen diese als wertvolle Hinweise auf Schwachstellen betrachten. Ein transparenter und offener Umgang mit SicherheitsvorfÀllen fördert eine Kultur, in der Probleme proaktiv gemeldet werden.
Beispiele: Wie der menschliche Faktor wirken kann
Phishing-Angriffe und Resilienztests
Laut einer Verizon Data Breach Investigations Report-Analyse (2023) sind 74 % der Cyberangriffe auf Menschen als Einstiegspunkt zurĂŒckzufĂŒhren. Firmen, die Mitarbeitende aktiv in Phishing-Simulationen einbinden und regelmĂ€Ăiges Feedback geben, berichten von einer deutlichen Verringerung erfolgreicher Angriffe.
Passwortmanagement und Akzeptanz passwortloser Technologien
Unternehmen wie Microsoft haben durch die EinfĂŒhrung von passwortlosen Systemen nicht nur die Sicherheit erhöht, sondern auch die Nutzerzufriedenheit gesteigert. Diese Lösungen reduzieren die FehleranfĂ€lligkeit und schaffen eine bessere Arbeitsumgebung.
Offene Feedback-Kultur
Ein Security Champion-Programm kann dazu beitragen, die Sicherheitskultur in Unternehmen zu verbessern und SicherheitsvorfÀlle zu reduzieren.
Fazit: Vom Sicherheitsrisiko zur Ressource
Der Mensch darf in der Cyber Security nicht nur als potenzielles Risiko gesehen werden, sondern vor allem als zentrale StĂ€rke, die es zu fördern gilt. Richtlinien und Technologien sollten so gestaltet werden, dass sie die ArbeitsrealitĂ€t und die individuellen FĂ€higkeiten der Mitarbeitenden berĂŒcksichtigen. So kann eine Umgebung entstehen, in der Sicherheit als natĂŒrlicher und unterstĂŒtzender Bestandteil des Arbeitsalltags wahrgenommen wird.
Es sollte weniger darum gehen, Mitarbeitende zu verĂ€ndern, sondern vielmehr darum, gemeinsam Lösungen zu entwickeln, die ihre StĂ€rken fördern und sie aktiv in die Sicherheitsstrategie einbinden. Denn eine erfolgreiche Cyber Security Strategie muss dort ansetzen, wo Menschen und Technologien Hand in Hand arbeiten â mit dem Ziel, eine sichere und produktive Umgebung fĂŒr alle zu schaffen.