Cyberpsychologie: Mitarbeitende als Schlüssel der IT-Sicherheit

Cyberpsychologie: Mitarbeitende als Schlüssel der IT-Sicherheit.

Gekommen, um zu bleiben: IT-Sicherheit. Ein allgegenwärtiges Thema, das zu häufig auf den Einsatz von Technologie beschränkt wird. Dabei spielt der Mensch eine Schlüsselrolle: auf Seiten der Cyberkriminellen ebenso wie auf Seite der Unternehmen. Welche psychologischen Dynamiken im fortwährenden Katz-und-Maus-Spiel wirken, erklärt Professor Stefan Sütterlin im Gespräch.

Zur Person.

Stefan Sütterlin ist Professor für Cyberpsychologie an der Fakultät Informatik der Hochschule Albstadt-Sigmaringen. Dort beschäftigt er sich mit Mensch-Computer-Interaktion, psychologischen Aspekten der IT-Sicherheit, Cybercrime, politischer Desinformation, Experimentalpsychologie und der Effektivität von Awareness-Trainings. In diesen Bereichen leitet er internationale Forschungsprojekte und engagiert sich im Expertenrat des European Security and Defence College der EU-Kommission.

Professor Sütterlin, gibt es ein ganz konkretes Beispiel für den Zusammenhang von IT-Sicherheit und Psychologie?

Natürlich, das Prävalenzparadox. Es zeigt, was passiert, wenn sich ein Unternehmen beim Thema E-Mail-Sicherheit technisch besser aufstellt. Eine eingesetzte Software führt dazu, dass kaum noch Phishing-Mails bis zu den Postfächern der Mitarbeitenden durchdringen – das ist großartig. Genau das wollen Unternehmen erreichen. Das Problem ist aber, dass die Nutzer:innen seltener in Kontakt mit diesen Mails kommen und den Umgang damit verlernen. Damit werden sie anfälliger für den berühmten falschen Klick. Und zwar laut experimentellen Untersuchungen in einem Maß, das den Effekt der technischen Verbesserung übertrifft. Das Unternehmen ist vulnerabler als zuvor.

Weil Menschen das größte Sicherheitsrisiko in einem Unternehmen sind?

Ja. Aber unter dieser Voraussetzung dürfen Unternehmen das Thema bei ihren Mitarbeitenden nicht platzieren: der Mensch als Schwachstelle. Wenn ich Mitarbeitende so anspreche, sie zum Problem erkläre, dann wollen sie nicht lernen oder gar ihre Gewohnheiten ändern. Deshalb müssen Unternehmen clever sein und Kolleg:innen nicht zu Schuldigen machen, sondern sie motivieren und ihnen erklären, dass sie Teil einer Strategie sind: die Human Firewall, die erste Verteidigungslinie gegen Cyberangriffe.

Definition Cyberpsychologie.

Cyberpsychologie ist ein Teil der Medienpsychologie. Sie wird auch Internetpsychologie, Computerpsychologie oder Webpsychologie genannt. Forschungsgegenstand ist die Interaktion von Menschen mit der digitalen Welt durch Computer und andere digitale Geräte sowie die damit einhergehenden psychologischen Prozesse, Auswirkungen und Verhaltensweisen bei den Anwender:innen. Forschende untersuchen, welchen Einfluss das Digitale auf Individuen und die Gesellschaft als Ganzes hat. Zudem wird analysiert, welche Chancen und Gefahren die virtuelle Welt bietet.

Gibt es Menschen, die besonders gefährdet sind?

Das ist schwierig einzuschätzen, weil die meisten Phishing-Angriffe immer noch mit der Gießkanne über Unternehmen ausgeschüttet werden. Wenn wir von Spear Phishing, also dem gezielten Angriff auf Einzelpersonen sprechen, sind Personen aus der IT-Abteilung, möglichst nah am CIO oder CISO die interessantesten Ziele, weil sie häufig die meisten Berechtigungen haben und Angreifende bei Erfolg auf dem direktesten Weg ins Netzwerk gelangen.

Wenn wir von Spear Phishing, also dem gezielten Angriff auf Einzelpersonen sprechen, sind Personen aus der IT-Abteilung, möglichst nah am CIO oder CISO die interessantesten Ziele, weil sie häufig die meisten Berechtigungen haben.

Jetzt haben wir über Positionen gesprochen. Gibt es Menschen, die aufgrund bestimmter Eigenschaften von Cyberkriminellen besonders ins Visier genommen werden?

Grundsätzlich sind alle Menschen gefährdet, weil Vertrauen für unser Zusammenleben ein elementarer Baustein ist. Wir vertrauen eher, als dass wir misstrauen. Und darauf setzen Cyberkriminelle. Ausgangspunkt für deren Überlegungen sind die sechs Prinzipien der Überzeugung des US-Psychologen Robert B. Cialdini: Wechselseitigkeit, Konsistenz, Sympathie, soziale Bewährtheit, Autorität und Knappheit.

Wie hilft das Hacker:innen?

Sie kombinieren es mit dem Wissen um die fünf Hauptfaktoren von Persönlichkeiten: Gewissenhaftigkeit, Extraversion, Verträglichkeit, Offenheit und Emotionale Instabilität. Cyberkriminelle werten zum Beispiel die Social-Media-Profile einer Person aus und stellen fest, dass es viele Fotos aus allen Lebenslagen gibt, dass die Fotos auch für Nicht-Freund:innen sichtbar und ein hoher Anteil davon Selfies sind. Sie gehen dann davon aus, dass es sich um eine offene, extravertierte Person handelt. Bei besonders vielen Selfies könnte es sich gar um Narzissmus handeln. Das ist ein toller Einfallsvektor, der häufig bei Personen in Führungspositionen ausgeprägt ist. Nehmen wir eine:n Hochschulprofessor:in. An ihr oder sein Postfach schicke ich eine Phishing-Mail mit dem Betreff „Sie wurden zitiert“. Darin ein Link zum angeblichen Zitat. Die Erfolgschance: unglaublich groß. Ich nenne Narzissmus den „Master Switch“.

An dieser Stelle finden Sie interaktive Podcast-Inhalte, welche über unseren Dienstleister Podigee eingebunden sind. Um Ihnen diese Inhalte zur Verfügung zu stellen, benötigen wir Ihre Zustimmung. Weitere Informationen zur Datenverarbeitung im Rahmen der Podcasts finden Sie in unserer Datenschutzerklärung

Alle Podcast-Folgen

Was können Unternehmen gegen das Ausnutzen dieser einfachen Mechanismen tun?

Regelmäßige Trainings reduzieren im Falle von Phishing das Risiko um 20 bis 80 Prozent. Dabei zeigt sich, dass dauerhafte Security-Kampagnen den größten und vor allem auch nachhaltigsten Effekt haben. Mitarbeitende verbessern sich auch nach der zehnten Schulung noch. Umgekehrt zeigt diese Bandbreite aber auch, dass man Vieles falsch machen kann.

Wir sprechen von Awareness-Schulungen?

Ja und nein. Das ist das Label, unter dem solche Schulungen laufen, aber Awareness allein bringt noch nichts. Durch Wissen allein wurde noch kein Angriff vermieden. Informationen über sichereres Verhalten werden kübelweise über den Mitarbeitenden ausgeschüttet und setzen oft ganz falsch an. Immer wieder beginnen sie mit einem Live-Hack. Als Resultat erfahren Mitarbeitende, wie wichtig das Thema ist, aber bemerken auch, dass sie es kaum verstehen. Das macht Angst und angstinduziertes Lernen funktioniert nicht. Da die meisten Fehler ja ohne persönliche Konsequenzen bleiben, gewöhnt man sich an die Bedrohungslage, die man ohnehin nicht versteht.

Was sollten Unternehmen stattdessen tun?

Vor einer Schulung sollten Fähigkeiten und Wissen abgefragt werden. Auf Basis dieser Daten können Cluster gebildet werden, die die passenden Schulungen erhalten. Dann kommt es natürlich auch auf die Ausgestaltung der Fortbildung an. Auch hier kann die Cyberpsychologie helfen. Wir wissen, wie Menschen motiviert werden können oder wie Gamification aussehen muss, damit sie tatsächlich spielerisch zum Erfolg führt. Die Schulungen müssen eine Verhaltensveränderung erwirken und sie bei den Mitarbeitenden zur Gewohnheit machen. Erst dann erzielen sie den gewünschten Effekt.

Dieser Artikel ist ein Auszug aus der Printausgabe Bechtle update 03/2022. Mehr zum Thema lesen Sie dort ab Seite 20.

ZUR PRINTAUSGABE

Zum Thema.

Newsroom: Zero Trust – Eine Frage des Vertrauens
Newsroom: Security Awareness Training als Teil der Sicherheitsstrategie
Pressemeldung: Bechtle will IT-Security-Team verdoppeln

Newsletter.

Erhalten Sie die besten Artikel aus dem Bechtle update alle sechs Wochen direkt in Ihr Postfach. Hier geht's zur Anmeldung:

NEWSLETTER