Der menschliche Faktor Das Dilemma der IT-Sicherheitsbeauftragten
Awareness- und Phishing-Simulationen bringen nicht viel Sicherheit in Unternehmen. Wichtiger wäre eine gute Einbindung der Sicherheitsbeauftragten.
Beauftragte für IT-Sicherheit in Unternehmen haben es schwer: Sie verlangen dem Personal zusätzlichen Aufwand ab und müssen dem Management in Zahlen belegen, dass sie erfolgreich sind. Dabei sind sie wenig in Unternehmensstrukturen eingebunden und auf eingekaufte Werkzeuge angewiesen, die nur wenig zum sicheren Verhalten der Mitarbeitenden beitragen. Das hat eine Workshopreihe über acht Monate mit 30 schweizerischen Chief Information Security Officers (CISO) ergeben, die ein Team des Exzellenzclusters Cyber Security in the Age of Large-Scale Adversaries, kurz CASA, durchgeführt hat. Sie stellten ihre Ergebnisse bei der 32. Usenix-Konferenz in den USA im August 2023 vor.
Auf die Mitarbeitenden kommt es an
Um vor Cyberattacken geschützt zu sein, müssen Unternehmen nicht nur ihre Technik up to date halten, sondern auch dafür sorgen, dass die Mitarbeitenden sich sicher verhalten. Dieser menschenzentrierte Ansatz der IT-Sicherheit erfordert, das Verhalten des Personals zu beeinflussen – eine komplexe Aufgabe. Wie gut das in der Praxis funktioniert, hat das Forschungsteam der Ruhr-Universität Bochum in einer fünfteiligen Workshopreihe mit 30 schweizerischen Chief Information Security Officers, kurz CISOs, untersucht.
„Die Diskussionen haben gezeigt, dass die CISOs menschenzentrierte Sicherheit in erster Linie als das verstehen, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen“, berichtet Jonas Hielscher vom Forschungsteam. Solche Simulationen bestehen in Mails mit Phishinglinks, die von einer Sicherheitsfirma an das Personal einer Firma versendet werden. Es lässt sich im Anschluss beziffern, wie viele Mitarbeitende die Links angeklickt haben. „Das ist auch schon der größte Vorteil, den die Simulationen für CISOs haben, die ihrem Management gegenüber Zahlen liefern müssen“, meint Forscherin Uta Menges. Zum sicheren Verhalten tragen solche Aktionen nach dem aktuellen Stand der IT-Sicherheitsforschung nur wenig bei.
Mangel an Einfluss
Die Forschenden arbeiteten heraus, dass die CISOs zu wenig in die Unternehmensstrukturen eingebunden sind und dass es ihnen an direkten Einfluss- und Gestaltungsmöglichkeiten mangelt, um notwendige Maßnahmen bei der Belegschaft durchzusetzen. „Sie neigen dazu, die Verantwortung daher einerseits dem Management zuzuschieben, indem sie mehr Unterstützung fordern, oder auf die Mitarbeitenden abzuwälzen, die sie als Sicherheitsrisiko ansehen“, so das Forschungsteam. Aus dem Blick gerät dabei, dass Mitarbeitende mit ihrem eigentlichen Job ausgelastet sind, und IT-Sicherheitsaufgaben zulasten dieser Tätigkeiten gehen. „Das erzeugt Reibungen, die berücksichtigt werden müssen“, so Prof. Dr. Angela Sasse, Inhaberin des Lehrstuhls für Human Centered Security der Ruhr-Universität Bochum. „Um die Ergebnisse der Forschung zur menschenzentrierten Sicherheit mit den Praktiken in Unternehmen in Einklang zu bringen, braucht es mehr Zusammenarbeit zwischen der Unternehmensleitung und den CISOs, um Blockaden auszumachen und anzugehen“, ergänzt Prof. Dr. Annette Kluge, Inhaberin des Lehrstuhls Arbeits-, Organisations- & Wirtschaftspsychologie. Die Forschenden schlagen vor, CISOs zum Beispiel in Multi-Stakeholder-Risikoausschüsse einzubeziehen. Zudem sei mehr Forschung zur Perspektive der Vorstandsmitglieder und des Top-Managements auf Sicherheit notwendig, zum Beispiel indem man CISOs und Vorstandsmitglieder in einem ähnlichen Workshop-Setting zusammenbringe.