Jenseits der traditionellen Betrachtung: Der Faktor Mensch in der Informationssicherheit

IT-Sicherheitsvorfälle und Cyberattacken durch cyberkriminelle Strukturen nehmen kontinuierlich zu. Laut Auswertungen ist dabei der menschliche Faktor bei über 95% der Vorfälle beteiligt. Trotz zunehmend intelligenter technischer Abwehrmaßnahmen können verhaltensbedingte, kognitive, geistige und heterogene Motivationen, die zu menschlichem Versagen führen können, oft nicht vollständig und umfangreich berücksichtigt werden.
19. Mai 2023

Aber was genau ist der Faktor Mensch in der Informationssicherheit?

Der Faktor Mensch in der Informationssicherheit bezieht sich auf die Rolle und das Verhalten von Menschen im Umgang mit IT-Systemen und analogen sowie digitalen Informationen.
Die Interpretation von Forschung, Gesellschaft, und Politik sowie die damit verbundenen internationalen und nationalen Cybersicherheitsstrategien, Initiativen und Gesetzgebungen sind zwar in diesem Zusammenhang folgerichtig, jedoch gleichzeitig unvollständig und lückenhaft. Dies ist auf eine assoziative und selektive Wahrnehmung in Politik, Gesellschaft und Wirtschaft zurückzuführen. Oft wird geglaubt, dass Sicherheitsprobleme eine Frage der technischen Verteidigung und Resilienz von IT-Systemen sind. Dieser Eindruck entsteht zumindest häufig, wenn man präventive Maßnahmen zur Reduzierung der menschlich basierten Gefahrenvektoren umsetzen möchte.

Doch von Anfang an war es offensichtlich, dass wir uns mit sogenannten soziotechnischen Systemen beschäftigen müssen, die aus den beiden untrennbaren und miteinander verbundenen Faktoren „Mensch“ und „Maschine“ bestehen. Das bedeutet, dass Mensch und Maschine sich gegenseitig ergänzen und ohne den jeweils anderen nicht vollständig funktionieren können. Ähnlich wie bei einer Zahnbürste und Zahnpasta.

Aktuell ist bei der Implementierung und Zertifizierung von Intrusion Detection Systemen (IDS) in der Energiewirtschaft eine einseitige technische Fokussierung zu beobachten. Bis zum 1. Mai 2023 mussten Verteilnetzbetreiber und Energieanlagenbetreiber Nachweise über den IDS-Reifegrad 3 erbringen, der die Erfüllung von 140 Muss-Anforderungen aus der Orientierungshilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) einschließt. Die Implementierung und Zertifizierung von IDS-Systemen in der Energiewirtschaft erfordert die Umsetzung von drei Prozessbausteinen des IT-Grundschutz-Kompendiums, die technische, organisatorische und menschenbezogene Anforderungen beinhaltet. Während technische Anforderungen oft schnell bewältigt werden können, sind die Erfüllung organisatorischer Anforderungen und die Berücksichtigung des menschlichen Faktors, wie Wissen und Können, zeitaufwändiger und komplexer Natur.

Zur vollen Ausschöpfung des Potenzials von fortschrittlichen IDS- oder Security Information and Event Management (SIEM-) Technologien ist der Mensch allerdings unverzichtbar. Eine besondere Aufbauorganisation, klare Verantwortlichkeiten, Meldestrukturen und operative Verfahrensanweisungen im Bereich des Incident Response Managements sind notwendig, um die volle Effektivität von Systemen zur Angriffserkennung zu erreichen. Dabei ist der Faktor „Mensch“ sowohl als strategischer Entscheidungsträger als auch als operativer Ausführer von entscheidender Bedeutung. Eine neue Perspektive des menschlichen Faktors?

Naja, es entsteht oft der Eindruck, dass in der Informationssicherheit der Faktor Mensch zu stark auf seine vulnerablen Charaktereigenschaften reduziert wird, als Schwachstelle. Allerdings kann der menschliche Faktor auch als Stütze der Informationssicherheit betrachtet werden, wenn man ihn positiv betrachtet. Unabhängig davon, ob man den Fokus auf seine vulnerablen oder resilienten Eigenschaften wie Emotionen, Wissen, Können und Wollen legt, sollte man den menschlichen Faktor nicht allein auf seine Wehrfähigkeiten reduzieren. Diese Betrachtungsweise öffnet den Blick für menschlich-basierte Threat Intelligence und Social Engineering, aber nicht wirklich für das Management der Informationssicherheit. Die Reduktion des menschlichen Faktors auf seine vulnerablen Eigenschaften und seine Rolle als potenzielle Schwachstelle ist daher oft zu kurz gedacht. Vielmehr sollte der Fokus auch auf der strategischen und operativen Orchestrierung von Menschen im Kollektiv liegen, damit sie ihr Potenzial als Stratege oder Operator der Informationssicherheit voll ausschöpfen können. Es geht darum, eine gemeinsame Basis zu schaffen, auf der alle Beteiligten mit gleichem Verständnis, Mindset, Geschwindigkeit, Wissen, Können und Wollen zur Resilienzerhöhung der Systeme beitragen können.

Die Rolle des Menschen in der Informationssicherheit: Eine Betrachtung auf vier Ebenen

So kann der menschliche Faktor auf vier kohärente Ebenen bezogen werden, die für das Management der Informationssicherheit von großer Bedeutung sind. Diese sind die Ebene der technischen Entwicklung, der operativen Umsetzung, strategischen Führung und taktischen Entscheidungsfindung sowie cyberkriminalistische Ebene. Jede dieser Ebenen trägt auf ihre eigene Art und Weise zum Erhalt oder zur Verletzung der Informationssicherheit bei und erfordert eine spezifische Herangehensweise sowie Problem- und Lösungsverständnis.

Die erste Ebene, bei der der Faktor Mensch eine Rolle spielt, betrifft das technische Entwicklungsfeld. In den Konzeptions- und Entwicklungsprozessen von Software- und Hardwaretechnologien stehen zunächst die Prinzipien der funktionalen Sicherheit im Vordergrund. Dabei geht es primär darum, dass die Technologien die definierten und erwarteten fachlichen Funktionen erfüllen. Sicherheitstechnische Aspekte werden oft vernachlässigt. Allerdings wirken hier auch marktwirtschaftliche Prinzipien wie Angebot und Nachfrage mit. Wenn keine Nachfrage nach Informationssicherheit besteht, gibt es auch kein Angebot dafür. So müssen sichere Software-Komponenten eine Vielzahl von Sicherheitsprozessen durchlaufen, was zu einer Verteuerung des Produkts führen kann. Dieser Aufpreis wird von Betreibern oft nicht bereitwillig bezahlt, was dazu führt, dass Entwickler oft gezwungen sind, Abstriche bei der Informationssicherheit zu machen.
Die fehlenden Prüfmechanismen und Prinzipien wie Security by Design führen dazu, dass die codierte Software zwar die erforderlichen Funktionen ausführt, jedoch systematisch eine Vielzahl integraler Sicherheitslücken aufweist.

Diese Schwachstellen werden tagtäglich in der freien Wildbahn identifiziert und ausgenutzt. Kurz gesagt: Wir haben ein selbstgemachtes Problem, indem wir mit unsicheren Soft- und Hardwaretechnologien arbeiten. Die Schuld und Verantwortung für diesen Zustand lässt sich nicht eindeutig auf Entwickler oder Betreiber abschieben, es entsteht vielmehr ein Cycle of Blame.

Die zweite Ebene betrifft den Faktor Mensch als Systemnutzer. In der Regel werden normale Anwender und technische Fachanwender in die First Line of Defense zur operativen Umsetzung integriert, wo sie ebenfalls verschiedenen Angriffsvektoren und -arten ausgesetzt sind. Dabei spielt das richtige Verhalten der Mitarbeitenden eine entscheidende Rolle, ebenso wie das Risikobewusstsein und die Sicherheitsakzeptanz. In diesem Zusammenhang wird oft über Information Security Awareness und Education Programme gesprochen, aber oft vernachlässigt man dabei die grundlegenden Eigenschaften menschlichen Verhaltens. Hierzu gehören die kulturelle Heterogenität der Systemnutzer, Verhaltensabsichten, Salienz, Wahrnehmung, Risikobewusstsein, Sicherheitsakzeptanz, Verständnis sowie Wollen, Können und Wissen der Mitarbeitenden. Dabei stellt sich die folgende Frage: Wie bringt man die Mitarbeitenden dazu, sich sicherheitskonformer zu verhalten? Beispielsweise nicht auf jeden Link willkürlich zu klicken oder den verdächtig wirkenden Unbekannten im Unternehmen anzusprechen. Ähnlich wie in der Medizin stellt sich auch hier also die Frage, wie man das Verhalten der Menschen positiv beeinflussen kann, beispielsweise um das Rauchen aufzugeben. Mediziner beschäftigen sich mit kognitiver und verhaltensbasierter Forschung, um entsprechende Modelle zu entwickeln. Im Bereich der Informationssicherheit fehlen jedoch häufig entsprechende Erkenntnisse, weil man vielleicht dieses Problem erst gar nicht registriert hat?

Die dritte Ebene der Informationssicherheit bezieht sich auf den Faktor Mensch als interner und externer Regulator in der strategischen Führung und der taktischen Entscheidungsfindung. Auf dieser Ebene werden Risiken erkannt, Nutzungen reguliert und Maßnahmen operationalisiert. Neben dem Gesetzgeber und unabhängigen Standardinstitutionen sind der Informationssicherheitsbeauftragte und das Management hierbei Schlüsselrollen. Sie müssen sicherstellen, dass die IT-Systeme und Prozesse mit erforderlichen Ressourcen auf dem neuesten Stand der Technik sind und dass die Sicherheitsmechanismen von den Systemnutzern verstanden und umgesetzt werden. Um erfolgreich zu sein, müssen sie ein tiefes Verständnis für ihre Umgebung entwickeln. Wie Sun Tzu in der Kunst des Krieges erklärte: „Wenn du den Feind kennst und dich selbst kennst, brauchst du das Ergebnis von hundert Schlachten nicht zu fürchten. Kennst du dagegen nur dich selbst, aber nicht den Feind, so wirst du für jeden errungenen Sieg auch eine Niederlage erleiden.“ Das bedeutet, dass sie über ein umfassendes Situationsbewusstsein verfügen müssen, um dynamische und interaktive interne und externe Faktoren zu identifizieren, überwachen und zu verstehen. Sie müssen sich darüber im Klaren sein, dass ihre Systeme und Nutzer verwundbare Stellen aufweisen, die von Angreifern über physische und logische Vektoren ausgenutzt werden können. Während technische Abwehrmaßnahmen leicht umzusetzen und sofort wirksam sind, erfordert die Aktivierung der menschlichen Firewall eine Sicherheits- und Fehlerkultur sowie das entsprechende Mindset. Dies erfordert einen langen und mühsamen Prozess, der zur DNA des Unternehmens werden muss.
Die vierte Ebene befasst sich mit der Professionalisierung und Separierung innerhalb der cyberkriminalistischen Strukturen und spielt eine entscheidende Rolle bei der Verteidigung gegen Cyberangriffe. So auch Sun Tzu.

Um ein effektives und effizientes Sicherheitskonzept zu entwickeln, müssen Menschen ein tiefes Verständnis für alle vier Ebenen erlangen, da diese in einem interaktiven Verhältnis zueinanderstehen. In Bezug auf den Faktor Mensch in der Informationssicherheit könnte man von einem Causa-Sui-Phänomen sprechen, da er die Ursache für sein eigenes Sein ist. Der Faktor Mensch ist somit ein „argumentum ad infinitum“, dessen Verständnis durch den Einsatz von inter- und intradisziplinärer Forschung in Bereichen wie strategischer Entscheidungstheorien, Priorisierungsstrategien, Verhaltenspsychologie, Physik, Mathematik und Informatik verbessert werden muss.

Was ist das neue Mindset?

Um sich also vorausschauend und effizient auf Cyberangriffe vorzubereiten, müssen Menschen ihre Wahrnehmung, Wahrnehmungsgeschwindigkeit, ihr Mindset, Wissen, Können und Wollen so orchestrieren, dass sie wahrhaftig in der Lage sind, den coup d’oeil zu erkennen, um eine potenziell bedrohliche Situation, eine sich entwickelnde Bedrohung und die verfügbaren Verteidigungsoptionen vorauszusehen und zu praktizieren.

Die menschliche Komponente ist in diesem Zusammenhang ein äußerst komplexer Faktor und stellt eine neue Herausforderung für Organisationen, Wirtschaft, Bildung und Politik dar. Dieser Faktor geht weit aus über die einseitige und isolierte Schwachstellenbetrachtung, wenn es darum geht Informationssicherheit sicherzustellen und aufrechtzuerhalten.

Erfan Koza ist seit 2020 Dozent an der Hochschule Niederrhein am Cyber Management Campus Mönchengladbach im Studiengang Bachelor und Master Cyber Security Management. Zudem wurde er im Rahmen seiner Forschungsaktivtäten im CLAVIS Institut für Informationssicherheit im Auftrag des Deutschen Bundestags über das Büro für Technikfolgen-Abschätzung (TAB) als fachlicher Forschungsleiter und Autor des Gutachtens „Präventive Informationssicherheit in der Wasserwirtschaft“ engagiert. Das Forschungsprojekt schließt mit einem 250-seitigen Gutachten ab, das am 26.11.20 vom Büro für Technikfolgen-Abschätzung des Deutschen Bundestags erfolgreich abgenommen wurde. Zur Erfüllung des Hochschulleitbildes in den angewandten Wissenschaften fokussiert er sich in seinen weiteren Forschungsaktivitäten im Bereich des Cyber Security Researchs auf aktuelle Forschungsfragen, die ihre Relevanz aus der Praxis/Industrie haben. In diesem Zusammenhang werden dedizierte Forschungsprojekte im Bereich des Incident Response Managements sowie Untersuchungen von quantifizierbaren Modellen durchgeführt. Weitere laufende Forschungsinitiativen beschäftigen sich im Kern mit der Identifizierung und Analyse der Hemmnisse und kritischen Erfolgsfaktoren, welche für einen nachhaltigen und effizienten Betrieb eines ISMS eine essentielle Rolle haben. Aktuell beschäftigt er sich mit dem Thema Human Hacking und untersucht inwieweit der Faktor Mensch in der Informationssicherheit als menschliche Firewall gegen Cyberattacken dienen kann. Im Rahmen des Wissenstransfers fungiert er seit 2017 als fachlicher Projektleiter und seit 2021 als Lead Auditor DIN ISO/IEC 27001 in mehr als 25 KRITIS – Projekten, die in den Anwendungsfeldern der Energiewirtschaft, Wasserwirtschaft, IKT und der Stationären Versorgung im Gesundheitswesen stattfinden.   Erfan Koza erwartet sein PhD bis Ende 2023 in der Fakultät für Sicherheitstechnik und Maschinenbau der Bergischen Universität Wuppertal über die Forschung von partizipativen Sicherheitsmodellen zur Priorisierung von Schwachstellen in T-Netzwerken. Zudem ist er Trainer für Informationssicherheits-Kurse bei LinkedIn Learning.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

35256

share

Artikel teilen

Top Artikel

Ähnliche Artikel