„Es besteht kein `Maßnahmenmangel`, sondern ein `Umsetzungsmangel`“ – so das BSI zur Lage der Cybersicherheit in einem Beitrag auf Linkedin.
Woran aber scheitert die Umsetzung von sicherheitsstiftenden Maßnahmen in deutschen Unternehmen?
Obwohl Informationen und Aufklärung zu IT-Security grundsätzlich sehr wichtig und relevant sind, könnte hier eine psychologische Schwierigkeit vorliegen. Der amerikanische Psychologe Martin Seligman hat 1967 in einem Experiment eine spannende Erkenntnis gewonnen:
Wenn Handlung und Handlungsergebnis keine Kontingenz aufweisen, können wir in einen Zustand der „erlernten Hilflosigkeit“ verfallen. Diese weist sogar vergleichbare Symptome wie eine Depression auf.
Bei erlernter Hilflosigkeit empfindet das Individuum nach dem Erfahren von negativen Sanktionen, ohne zugehöriges schlechtes Verhalten, einen Verlust der Kompetenz positiv auf die eigene Situation einzuwirken. Die wahrgenommene Hilflosigkeit bleibt auch dann bestehen, wenn die objektiven äußeren Umstände sich ändern und die Möglichkeit der Einflussnahme wieder besteht.
Nun sind alarmierende Schlagzeilen und erschreckende Zahlen zur Bedrohungslage noch keine negative Sanktion, sie weisen allerdings dauerhaft auf eine mögliche Gefahrensituation hin, was für Verantwortliche durchaus als Stressfaktor fungieren kann. Insbesondere durch die Notwendigkeit von stetigen Anpassungen, um den Status Quo aufrecht zu erhalten, gepaart mit andauernder Information zur Bedrohung, könnte sich auch hier ein Gefühl der Hilflosigkeit oder Resignation ausbreiten, das bei der Umsetzung von Maßnahmen hemmt. Besonders die fachlich Verantwortlichen könnten dabei Gedanken wie diesen entwickeln: „Egal was ich tue, ich hinke der steigenden Bedrohungslage immer hinterher.“
Ein ähnliches Bild wird bei einer Befragung von 206 Security Verantwortlichen aus deutschen Unternehmen mit mindestens 100 Mitarbeitern gezeichnet:
Die Anforderungen an wirksame Sicherheitsmaßnahmen steigen kontinuierlich an, die äußere Bedrohungslage ist komplex (kompliziert und dynamisch) und Kriminelle organisieren sich zunehmend professionell. Mehr als ein Viertel der Befragten empfindet die gesteigerte Komplexität als größte Hürde für die IT-Security. IDC, die die Befragung durchgeführt haben, sprechen insbesondere vom Fehlen einer „Security-Kultur“.
Auch der sogenannte „Instant Gratification Bias" (bedeutet so viel wie „sofortige Belohnungs Verzerrung“) könnte Einfluss auf die Umsetzung von Cybersecurity Maßnahmen haben.
Dabei handelt es sich um die Tendenz von Menschen kurzfristige Belohnungen höher zu bewerten als langfristige. Setzt man Kinder vor eine leckere Süßigkeit und versichert ihnen, sie würden eine zweite bekommen, wenn sie mit dem Essen der ersten warten, bis man zurückkehrt, greifen viele Kinder bereits nach kurzer Wartezeit beherzt zu und das obwohl sie doppelt so viel Schokolade hätten haben können.
Natürlich sind Budgetverantwortliche keine Kinder und die Thematik der IT-Security weitaus komplexer. Dennoch kann auch in Managern ein großes Kind stecken, wenn es darum geht Kosten zu sparen: Ein unsichtbares und weit entfernt scheinende Risiko eines Cyberangriffs ist weniger greifbar, die möglichen positiven Ergebnisse noch nicht erlebbar und der Invest in Maßnahmen bindet schon jetzt spürbar wichtige Ressourcen.
Für einen langfristigen Schutz vor Cyberbedrohungen ist es daher relevant die eigenen Verhaltensmuster stetig bewusst zu reflektieren. Fachwissen und Aufklärung sollten daher mit einem sinnvollen Anreizsystem ergänzt werden.