Gestern habe ich mich in einem Blogpost mit dem Umstand befasst, dass viele Sicherheitsprobleme in Organisationen und Unternehmen darin begründet liegen, dass Mitarbeiter nicht richtig geschult sind. Daraus ist eine Diskussion auf Google+ entstanden, in deren Verlauf deutlich wurde, dass ein anderes Problem darin besteht, dass IT-Sicherheit oft nur an technischen Lösungen orientiert ist. Die psychologische Seite, das Verhalten der Beteiligten, wird meist komplett ausgeblendet. In diesem Artikel möchte ich daher darlegen, warum ich der Meinung bin, dass IT-Sicherheit nicht primär ein Problem ist, das auf der technischen Ebene zu lösen ist, sondern ein psychologischer Prozess. Zahlreiche psychologische Faktoren beeinflussen diesen Prozess und entscheiden darüber, ob IT-Security erfolgreich implementiert werden kann oder nicht.
Wissen: Wissen ist einer der zentralen psychologischen Faktoren in diesem Prozess. Die Sicherheit einer eingesetzten Software hängt vom Wissen des Programmierers der Software ab. Die Implementierung und Wartung sicherer Systeme setzt profundes Wissen der zuständigen Administratoren voraus. Und natürlich benötigen auch die Mitarbeiter, die die Systeme tagtäglich benutzen, ein gewisses Maß an Wissen für den sicheren Umgang damit. Darüber hinaus muss dieses Wissen regelmäßig auf den neuesten Stand gebracht und aufgefrischt werden.
Die (Un)fähigkeit von Menschen, komplexe Systeme zu handhaben: Software und IT-Systeme sind oft sehr komplexe Systeme. Das bedeutet, dass sie viele Elemente umfasssen, die miteinander verknüpft sind und sich gegenseitig beeinflussen. Aus psychologischen Untersuchungen weiß man, dass Menschen nicht sonderlich gut darin sind, mit allzu komplexen Systemen umzugehen. Je komplexer ein System ist, umso wahrscheinlicher ist es daher, dass sicherheitsrelevante Fehler bei der Programmierung, Implementierung, Wartung oder Benutzung des Systems passieren oder sicherheitsrelevante Prozesse vereinfacht oder umgangen werden, um Komplexität zu reduzieren. Ein bekanntes Beispiel dafür ist die Wahl schwacher Passwörter oder die Verwendung ein und desselben Passworts für alle Accounts.
Motivation: IT-Security wird insbesondere von Anwendern oft als lästige Pflicht empfunden. Sicherheitsregeln erschweren die Arbeit und gehen zu Lasten der Effektivität. Der Nutzen von Policies bleibt Anwendern dagegen oft verborgen, solange nichts passiert. Sie profitieren nicht direkt von ihrer Einhaltung. Das senkt die Motivation, Regeln zum sicheren Umgang mit IT zu beachten.
Emotionen: Angreifer, die ein IT-System kompromittieren wollen, agieren oft auf der emotionalen Ebene, um sich mittels Social Engineering Zugang zu IT-Systemen zu verschaffen. Ein beliebtes und oft sehr erfolgreiches Angriffsszenario ist beispielsweise, Mitarbeitern ein schlechtes Gewissen zu machen oder Angst vor Konsequenzen zu schüren, wenn sie den Anweisungen des Angreifers nicht folgen. Die Folge sind Stresssituationen, in denen Mitarbeiter nicht mehr rational handeln. Emotionen spielen so regelmäßig eine entscheidende Rolle bei Einbrüchen in IT-Systeme.
Routine und Monotonie als Sicherheitsrisiko: Aus der Arbeitspsychologie wissen wir, dass Routine und Monotonie die Wahrscheinlichkeit von Arbeitsunfällen erheblich erhöhen können. Gleiches gilt für IT-Security. Zwar ist Routine in einem gewissen Maß auch förderlich, um sicherheitskonformes Verhalten zu verinnerlichen. Auf der anderen Seite kann das Wissen, etwas sehr gut zu beherrschen, dazu führen, dass Prozeduren lax gehandhabt, abgekürzt oder gar umgangen werden, was sich negativ auf die Sicherheit auswirken kann.
Die Abstraktheit von Sicherheitsrisiken der Gefahr: Wie bereits angedeutet, besteht ein erhebliches Problem darin, dass Gefahren für die IT-Sicherheit oft als sehr abstrakt empfunden werden. Unter Umständen werden die Auswirkungen eines erfolgreichen Angriffs zunächst gar nicht bemerkt. Darüber hinaus sind auch die positiven Auswirkungen der Beachtung von Sicherheitsmaßnahmen meist nicht sichtbar. Wer sie beachtet, hat kein direktes Erfolgserlebnis. Der Erfolg besteht darin, dass nichts passiert.
Diese Ausführungen sollten deutlich machen, dass es nicht ausreicht, IT-Security als rein technisches Problem zu sehen, das mit der Implementierung bestimmter Technologien gelöst werden kann, wie es leider allzu oft üblich ist. Erfolgreiche IT-Security ist vielmehr von der Entwicklung bis zur Anwendung ein komplexer psychologischer Prozess. Auf allen Ebenen müssen die Akteure ausreichendes Wissen mitbringen, das auf dem neuesten Stand zu halten und regelmäßig aufzufrischen ist. Systeme müssen so wenig komplex wie möglich gestaltet sein, um Sicherheitsmängeln durch eine Überforderung angesichts allzu hoher Komplexität oder durch eigenmächtige Komplexitätsreduktion seitens Administratoren und Anwendern vorzubeugen. Programmierer, Administratoren und Anwender müssen stets aufs Neue motiviert werden, IT-Sicherheit ernst zu nehmen. Sie müssen in Social Engineering geschult werden, um emotionalen Stress, den ein Angreifer erzeugen will, frühzeitig erkennen und Gegenmaßnahmen ergreifen zu können. Routine und Monotonie bei sicherheitsrelevanten Abläufen ist ebenso vorzubeugen wie der Wahrnehmung von Sicherheitsrisiken als vollständig abstrakt. Hier können beispielsweise regelmäßige Übungen helfen, die Mitarbeitern die Konsequenzen ihres Handelns direkt vor Augen führen und so Erfolg bei der Beachtung von Policies, aber auch negative Konsequenzen bei ihrer Missachtung sichtbar machen.
Ich danke Hans-Erik Gaßner für die anregende Diskussion auf Google+ und für die Idee zu diesem Artikel.
4 comments on IT-Security als psychologischer Prozess