„Es besteht kein `Maßnahmenmangel`, sondern ein `Umsetzungsmangel`“ – so das BSI zur Lage der Cybersicherheit in einem Beitrag auf Linkedin.
Woran aber scheitert die Umsetzung von sicherheitsstiftenden Maßnahmen in deutschen Unternehmen?
Bestimmt haben Sie schon einmal vom sogenannten „homo oeconomicus“, dem wirtschaftlichen Menschen, gehört. Ökonomen haben den homo oeconomicus als Idealtypus entwickelt, um menschliches Verhalten innerhalb der Wirtschaft zu konstruieren.
Das Modell sollte unter anderem dabei unterstützen, Marktverhalten zu verstehen und prognostizieren zu können. Dabei fußt das Modell auf verschiedenen Annahmen. Die wohl zentralste: Rationalität und Nutzen- beziehungsweise Gewinnmaximierung. Ökonomen gehen also davon aus, dass alle Akteure innerhalb der Wirtschaft stets nach dem Prinzip des optimalen Verhältnisses von Input und Output agieren.
Wie das mit Idealtypen so üblich ist, sind diese in der realen Welt eher nicht anzutreffen. Würden Menschen ausschließlich rationale Kaufentscheidungen treffen, so müsste eine Starbucks Filiale beispielsweise immer leer sein. Die Qualität des Kaffees ist nicht besser (kein größerer Nutzen) die Kosten dafür im Vergleich zur Konkurrenz höher. Das Verhältnis von Kosten zu Nutzen insgesamt also verschlechtert.
Thaler und Sunstein beschreiben das in ihrem Buch zu „Nudging“ wie folgt:
„Schaut man sich ökonomische Lehrbücher an, dann liest man dort, dass dieser homo oeconomicus denkt wie Albert Einstein, Informationen speichert wie IBMs Supercomputer Big Blue und eine Willenskraft hat wie Mahatma Gandhi. Die Leute, die wir kennen, sind freilich nicht so. Echte Menschen haben ohne Taschenrechner Schwierigkeiten mit der Division, vergessen manchmal den Geburtstag ihres Ehepartners und haben am Neujahrsmorgen einen Kater.“1
Auch wenn das Konzept innerhalb der Ökonomie noch immer Anwendung findet, sind die Grenzen des Modells bekannt und es wird gesamtheitlich eher von einer „begrenzten Rationalität“ der Wirtschaftssubjekte ausgegangen. Emotionen, Bias2 und soziale Beziehungen werden zunehmend mit bedacht, wenn das Verhalten von Menschen in der Wirtschaft erklärt werden soll.
Wenn wir nun also davon ausgehen, dass IT-Sicherheit in allen Unternehmen auf Basis der Gefahren- und Informationslage als höchste Priorität behandelt wird, werden wir nicht nur dem einschränkenden Faktor des Fachkräftemangels nicht gerecht, sondern erliegen demselben Irrglauben, dass Menschen in wirtschaftlichen Kontexten stets rein rational und gewinnmaximierend agieren.
Führt man sich die Gefahren, die von Cyberangriffen ausgehen, vor Augen, gibt es kaum einen Anhaltspunkt die Thematik nicht auf oberster Chefebene anzusiedeln und dementsprechend zu behandeln.
Dass wir Menschen ausschließlich begrenzt dazu fähig sind rational zu handeln, ist den Kriminellen schon lange bewusst. Die Bedeutung von Emotionen, sozialen Gefügen und Bias werden sich im Social Engineering sogar systematisch zunutze gemacht. So zielen Phishing und dergleichen immer auf Emotionen wie Angst, (Neu)Gier und Vertrauen ab.
Zeit also, dass auch wir einen Versuch wagen, die sozio- und psychologischen Hintergründe für den Mangel an Umsetzung innerhalb der Cybersecurity zu verstehen.
Problemwissen (Aufklärung) ist der nötige erste Schritt zur Verhaltensänderung. Aber Problemwissen allein führt nicht zu einem Wandel und reicht häufig nicht aus, um eine Verhaltensänderung herbeizuführen.
Etwas später haben die Psychologen Thorndike und Skinner das Phänomen der Konditionierung weiter erforscht und dabei belegen können, dass Konditionierung Lernprozesse verstärkt. In diesem Fall spricht man von „operanter Konditionierung“. Verhaltensweisen werden dann wiederholt, wenn sie eine erfreuliche Konsequenz, oder Belohnung, mit sich bringen. Verhaltensweisen, die zu negativen Sanktionen führen, werden abgelegt.
Der Mensch lernt also durch Belohnung und Bestrafung - So weit so trivial. Was hat das nun mit der Umsetzung von IT-Security Maßnahmen zu tun?
Das Umsetzen und Aufrechterhalten von Maßnahmen zur Verbesserung der IT-Security ist, im besten Fall, mit dem Ausbleiben jeglicher Konsequenz verbunden. Alle Ressourcen und Aufwendungen, die damit verbunden sind, dienen nur dem Erhalt des Status-quo, im Idealfall verändert sich also nichts (erlebbares).
Rein verhaltenspsychologisch wird also überhaupt kein Anreiz gesetzt entsprechende Maßnahmen zu ergreifen. Vielmehr kann man davon ausgehen, dass diejenigen Unternehmen, die sich nicht (ausreichend) kümmern, und bisher (noch) nicht erfolgreich angegriffen wurden, daraus lernen, dass ihr Verhalten (gemessen an den Konsequenzen) in Ordnung ist.
Erst, wenn die negative Sanktion eines erfolgreichen Angriffs stattfindet, ist das Vernachlässigen der Sicherheitsmaßnahmen erlebbar. Daraus wird dann (viel zu spät) gelernt, dass IT-Sicherheit künftig priorisiert werden muss.
Wer seine Mitarbeitenden zielführend sensibilisieren möchte, muss daher immer auch eine emotionale und individuelle Ansprache finden, um das Thema näherzubringen. Auch eine positive Feedbackkultur trägt dazu bei, das eigene Unternehmen sicherer zu gestalten. Wer beispielsweise frühzeitig untypisches Verhalten bemerkt und meldet, sollte hierfür stets Anerkennung erhalten. Angst (eigene) Fehler zu melden verschlimmern das Problem und rauben wertvolle Zeit in der Bekämpfung und Wiederherstellung eines Vorfalls!
Weiterführende Quellen:
(1) Thaler, Richard; Sunstein, Cass (2008): Nudge – Wie man kluge Entscheidungen anstößt. Berlin.
(2) systematische Verzerrung oder Neigung in der Wahrnehmung, Beurteilung oder Reaktion, die von objektiver Rationalität abweicht