Cybersecurity User Awareness stärken: Warum wir denken, dass wir unhackbar sind

Wie sicher sind Sie, dass Sie und Ihr Unternehmen vor Cyberangriffen geschützt sind? 

100%.

Oder?! Sind Ihre Geschäftsprozesse angesichts möglicher Cyberangriffe wirklich vollständig sicher? Über welche Möglichkeiten und Mechanismen verfügt Ihre Organisation wirklich, um sich und ihre Assets zu schützen?

Zuerst mag man an Cybersecurity-Tools alleine denken. Doch Cybersicherheit ist nicht nur eine technische, sondern auch eine psychologische Frage. Viele Organisationen unterliegen der ‚Illusion der Unverwundbarkeit‘, einem cognitive bias, der dazu führt, dass wir die Wahrscheinlichkeit und Ausmaß negativer Ereignisse, wie z. B. Cyberbedrohungen, unterschätzen. Dies kann zu einer überschätzten Selbstzufriedenheit, einem Verlust an Flexibilität und schlechter Entscheidungsfindung führen.

 

Aber woher kommt die Illusion der Unverwundbarkeit?

Mehrere Faktoren spielen dabei eine Rolle, darunter die folgenden:

• „Das wird mir einfach nicht passieren” oder die Verfügbarkeitsheuristik: Wir beurteilen die Wahrscheinlichkeit eines Ereignisses danach, wie leicht wir uns Beispiele davon ins Gedächtnis rufen können, das heißt, wie leicht diese Informationen für uns verfügbar sind. Wenn wir in letzter Zeit keinen Cyberangriff erlebt oder davon gehört haben, könnten wir annehmen, dass es selten ist oder uns unwahrscheinlich passieren wird.
• „Wir haben noch keine Maßnahmen ergriffen. Warum schlafende Hunde wecken?” & Soziale Normen: Menschen und Organisationen können sich in falscher Sicherheit wiegen, wenn sie sehen, dass auch andere keine Maßnahmen ergreifen. Warum schon sollten Sie der Erste sein? Am Ende riskiert man noch, sich lächerlich zu machen und den Eindruck zu erwecken, Ihre Organisation sei voll von Angsthasen. Aber so ist es nicht: Die steigende Anzahl an Cyberbedrohungen ist ein Fakt und geht einher mit kolossalen finanziellen und anderen Verlusten, die nicht ignoriert werden können.
• „Wir tun schon etwas – das muss genug sein” oder die Sunk-Cost-Falle: Wir neigen dazu, an unseren vergangenen Entscheidungen und Investitionen festzuhalten, auch wenn sie nicht mehr optimal oder vorteilhaft sind. Wir können z.B. daran zögern, unsere Cybersicherheitsstrategien oder -richtlinien zu ändern, auch wenn sie veraltet oder unwirksam sind, weil wir Zeit, Geld oder unseren Ruf in sie investiert haben. Die Landschaft der Cyberthreats hat sich verändert und wird sich stets weiter entwickeln, so sehr, dass das Thema inzwischen auch zu einer Managementverantwortung geworden ist und nicht länger vernachlässigt werden kann.
• „Wir haben ISO” – Von einem dokumentierten Standard zum menschlichen Verhalten Wenn Ihre Organisation ISO-zertifiziert ist oder anderen optionalen oder verpflichtenden Standards und Normen folgt, befinden Sie sich sicherlich auf einer anderen Stufe Ihrer Cybersicherheitsreise als andere Organisationen. Sie investieren wesentliche Anstrengungen und Budget in den Aufbau und Aufrechterhaltung dieses Qualitätsniveaus, doch auch wenn es Ihrer Organisation hilft, besser gegen Cyberangriffe gerüstet zu sein, garantiert es keinen vollständigen Schutz. ISO zu haben und diese Standards lebendig zu halten, sollte nicht unterschätzt werden, umso mehr der menschliche Faktor.

Die Illusion der Unverwundbarkeit kann ernste Folgen für Organisationen haben. Die Folgen können sich auf interne Verhalten beziehen, wie das Fehlen bestimmter Initiativen, oder auf die Folgen, sobald ein Vorfall eingetreten ist. Einige davon sind:

• Übersehen menschlicher Faktoren: Wir könnten uns zu sehr auf technische Lösungen konzentrieren und die menschlichen Aspekte der Cybersicherheit vernachlässigen, wie Bewusstseinsschaffung, Training, Kultur und Verhalten.
• Unterschätzung der Cyber-Bedrohungslandschaft: Wir können die Vielfalt der Cyber-Bedrohungen und die potenzielle Auswirkung, die sie auf unsere Prozesse, Assets, Reputation und Kunden haben unterschätzen: von Betriebsunterbrechungen bis hin zu großen finanziellen und rufschädigenden Verlusten.
• Unterinvestition in Cybersicherheitsmaßnahmen: Wir können unzureichende Ressourcen, Aufmerksamkeit oder Priorität für die Cybersicherheit bereitstellen und es versäumen, angemessene Schutzmaßnahmen, Kontrollen oder bewährte Praktiken zu implementieren.

 

Wie können wir die Illusion der Unverwundbarkeit überwinden und unsere Cybersicherheitsposition verbessern?

• Berücksichtigung menschlicher Faktoren: Wir sollten erkennen, dass Cybersicherheit nicht nur ein technisches, sondern auch ein psychologisches Thema ist. Eine Kultur des Bewusstseins und der Verantwortung für Cybersicherheit unter unseren Mitarbeitern, Kunden und Geschäftspartnern aufzubauen, ist unerlässlich. Selbst das beste Cybersecurity-Tool hängt von der Person ab, die es verwendet – umso entscheidender, ein gemeinsames Verständnis für die Notwendigkeit zu schaffen, proaktiv auf Cybersicherheit zuzugehen.
• Bestimmung Ihrer Investition in Cybersicherheitsmaßnahmen: Wir sollten adäquate Ressourcen, Aufmerksamkeit und Priorität für die Cybersicherheit anbringen, die dem Risikoprofil der eigenen Organisation entsprechen.
• Bewertung der bestehenden Sicherheitskultur in Ihrer Organisation: Wie sieht unsere bestehende Cybersicherheitskultur aus? Auf welchen Parametern bauen wir unsere Sicherheitsbewusstseinskultur auf? Wird sie täglich gelebt oder ist sie in bestimmten Bereichen etwas verstaubt?