Die Rolle menschlichen Versagens bei erfolgreichen Cyber-Sicherheitsverstößen

Es gibt keinen einzigen Menschen, der nie Fehler macht. Tatsächlich ist das Machen von Fehlern ein wesentlicher Teil der menschlichen Erfahrung - so wachsen wir und lernen. Doch in der Cybersicherheit werden menschliche Fehler viel zu oft übersehen.

Laut einer Studie von IBM ist menschliches Versagen die Hauptursache für 95 % der Verstöße gegen die Cybersicherheit. Mit anderen Worten: Wenn menschliches Versagen irgendwie vollständig eliminiert würde, hätten 19 von 20 Cyberverletzungen möglicherweise gar nicht stattgefunden!

Warum also verursacht menschliches Versagen so viele Sicherheitsverletzungen, und warum haben bestehende Lösungen versagt, dieses Problem anzugehen? Werfen wir einen Blick auf die Geschichte hinter menschlichem Versagen - und darauf, was Sie tun können, um das Cyberverhalten der Mitarbeiter in Ihrem Unternehmen zu verbessern.

Was ist menschliches Versagen in der Computersicherheit?

Bei der Diskussion über menschliches Versagen in der Cybersicherheit ist der Begriff etwas anders gemeint als bei seiner Verwendung in allgemeineren Begriffen.

In einem Sicherheitskontext bedeutet menschliches Versagen unbeabsichtigte Handlungen - oder Untätigkeit - von Mitarbeitern und Benutzern, die eine Sicherheitsverletzung verursachen, verbreiten oder zulassen. 

Dies umfasst eine Vielzahl von Aktionen - vom Herunterladen eines mit Malware infizierten Anhangs bis hin zur Nichtverwendung eines sicheren Kennworts - was einer der Gründe ist, warum es so schwierig sein kann, dieses Problem anzugehen.

Mit unseren immer fortschrittlicheren und komplizierteren Arbeitsumgebungen haben wir eine zunehmende Anzahl von Tools und Diensten, die wir nutzen - und wir haben Benutzernamen und Passwörter und andere Dinge, die wir uns für jedes einzelne davon merken müssen. Das alles summiert sich, und wenn keine alternativen, sicheren Lösungen zur Verfügung gestellt werden, fangen Mitarbeiter an, Abkürzungen zu nehmen, um sich das Leben einfacher zu machen.

Als ob dies nicht schon genug wäre, dass Endanwender damit zu kämpfen haben, die richtigen Entscheidungen zu treffen, müssen sie sich auch noch mit der ständigen Bedrohung durch Cyber-Kriminelle auseinandersetzen, die ihre Entscheidungen beeinflussen. Social Engineering spielt bei allen Arten von Sicherheitsverletzungen eine immer größere Rolle. Dabei wird die Fähigkeit von Mitarbeitern ausgenutzt, Daten oder Anmeldeinformationen direkt in die Hände von bösen Akteuren zu geben, ohne dass diese eine einzige Zeile eines Malware-Programms oder Software-Exploits schreiben müssen.

employee with coffee and tablet making an error

Arten von menschlichen Fehlern

Während die Möglichkeiten für menschliche Fehler nahezu unendlich sind, können sie grob in zwei verschiedene Arten kategorisiert werden: fähigkeitsbasierte und entscheidungsbasierte Fehler. Der Unterschied zwischen diesen beiden besteht im Wesentlichen darin, ob die Person über das erforderliche Wissen verfügte, um die richtige Aktion auszuführen oder nicht.

Fähigkeitsbedingte Fehler

Fähigkeitsbedingte menschliche Fehler bestehen aus Ausrutschern und Lapsus: kleine Fehler, die bei der Ausführung vertrauter Aufgaben und Aktivitäten auftreten. In diesen Szenarien weiß der Endbenutzer, was die richtige Vorgehensweise ist, tut dies aber aufgrund eines vorübergehenden Ausrutschers, Fehlers oder einer Nachlässigkeit nicht. Dies kann passieren, weil der Mitarbeiter müde ist, nicht aufpasst, abgelenkt ist oder anderweitig eine kurze Gedächtnislücke hat.

Entscheidungsbedingte Fehler

Entscheidungsbasierte Fehler liegen vor, wenn ein Benutzer eine fehlerhafte Entscheidung trifft. Dabei können verschiedene Faktoren eine Rolle spielen: Oft ist es so, dass der Benutzer nicht über den notwendigen Wissensstand verfügt, nicht genügend Informationen über den spezifischen Umstand hat oder gar nicht merkt, dass er durch seine Untätigkeit eine Entscheidung trifft.

Reduzieren Sie menschliche Fehler mit effektiven Security Awareness Trainings.

Erfahren Sie, wie usecure Unternehmen dabei hilft, sicheres Verhalten mit intelligent-automatisierten Cyber Security Awareness Trainings zu fördern - die Ihre Mitarbeiter lieben werden.

Beispiele für menschliche Fehler in der Geschäftswelt

Menschliches Versagen kann die Sicherheit Ihres Unternehmens auf fast unendlich viele verschiedene Arten gefährden, aber einige Arten von Fehlern stechen in ihrer Häufigkeit über alle anderen heraus. Lassen Sie uns einen Blick auf einige dieser sehr häufigen Fehler werfen.

Fehllieferungen

Falsche Zustellung - etwas an einen falschen Empfänger zu senden - ist eine häufige Bedrohung für die Datensicherheit in Unternehmen. Laut dem Verizon-Bericht zu Sicherheitsverletzungen 2018 war die falsche Zustellung die fünfthäufigste Ursache für alle Cybersicherheitsverletzungen. Da sich viele Menschen auf Funktionen wie Auto-Suggest in ihren E-Mail-Clients verlassen, ist es für jeden Benutzer ein Leichtes, vertrauliche Informationen versehentlich an die falsche Person zu senden, wenn er nicht vorsichtig ist. 

an employee firing off emails from their mobile phoneEine der schwerwiegendsten Datenschutzverletzungen, die durch menschliches Versagen verursacht wurde, war, als eine NHS-Praxis die E-Mail-Adressen (und damit Namen) von über 800 Patienten preisgab, die HIV-Kliniken besucht hatten. Wie kam es zu dem Fehler? Die Mitarbeiterin, die eine E-Mail-Benachrichtigung an die HIV-Patienten verschickte, trug deren E-Mail-Adressen versehentlich in das "an"-Feld ein, anstatt in das "bcc"-Feld, wodurch die Daten der Patienten untereinander bekannt wurden. Dies ist ein klassisches Beispiel für einen fähigkeitsbasierten Fehler, da der Mitarbeiter die korrekte Vorgehensweise kannte, aber einfach nicht sorgfältig genug darauf geachtet hat, dass er das tut, was er vorhatte.

Passwort-Probleme

Menschen und Passwörter vertragen sich einfach nicht. Die Fakten aus dem Bericht 2019 des National Centre for Cyber Security werfen ein düsteres Bild: 123456 ist nach wie vor das beliebteste Passwort der Welt, und 45 % der Menschen verwenden das Passwort ihres Haupt-E-Mail-Kontos bei anderen Diensten wieder. Neben dem Verzicht auf die Erstellung starker, eindeutiger Passwörter begehen ungeschulte Nutzer viele weitere Passwort-Fehler, wie z. B. das Aufschreiben von Passwörtern auf Post-it-Zetteln auf dem Bildschirm oder die Weitergabe an Kollegen.

Patching

Cyber-Kriminelle sind ständig auf der Suche nach neuen Schwachstellen in Software. Wenn Exploits entdeckt werden, rennen die Software-Entwickler um die Wette, um die Schwachstelle zu beheben und den Patch an alle Benutzer zu senden, bevor Cyber-Kriminelle weitere Benutzer gefährden können. Aus diesem Grund ist es wichtig, dass Benutzer Sicherheitsupdates auf ihren Computern installieren, sobald sie verfügbar sind. Leider verzögern Endanwender häufig die Installation von Updates - und das mit fatalen Folgen.

a computer taken over by ransomwareDer WannaCry-Ransomware-Angriff von 2017 betraf Hunderttausende von Computern weltweit und kostete Unternehmen und Organisationen Millionen von Dollar an Schäden. Doch der Exploit, der für den Angriff verwendet wurde, genannt "EternalBlue", wurde von Microsoft bereits Monate vor den Angriffen gepatcht. Hätten die betroffenen Computer nur das Sicherheitsupdate heruntergeladen und installiert, wären sie niemals kompromittiert worden.

 

Physikalische Sicherheitsfehler

Während Datenschutzverletzungen am häufigsten auf Cyberangriffe zurückgeführt werden, sind Unternehmen auch physischen Bedrohungen ausgesetzt. Vertrauliche Informationen und Anmeldedaten können gestohlen oder von Unbefugten eingesehen werden, wenn diese sich Zugang zu sicheren Räumlichkeiten verschaffen. 

Physikalische Sicherheitsfehler gibt es in vielen verschiedenen Formen, aber einer der häufigsten ist das unbeaufsichtigte Liegenlassen sensibler Dokumente auf Schreibtischen, in Besprechungsräumen oder sogar in den Ausgabefächern von Druckern. Jeder, der sich Zugang zu den Geschäftsräumen verschafft, kann das Dokument dann einfach mitnehmen, ohne dass jemand bemerkt, dass es verschwunden ist.

Ein weiterer sehr häufiger Fehler bei der physischen Sicherheit ist das Zulassen von Tailgating. Tailgating bedeutet, dass eine unbefugte Person jemandem durch eine sichere Tür oder Schranke folgt - in der Regel, indem sie einfach dicht hinter der Person geht. Viele Mitarbeiter empfinden es als unhöflich, jemandem zu widersprechen, der ihnen durch eine Tür folgt, was eine hohe Erfolgsquote bei Tailgating-Versuchen gewährleistet.

Welche Faktoren verursachen menschliche Fehler?

Es gibt eine Vielzahl von Faktoren, die menschliches Versagen begünstigen, aber die meisten lassen sich auf diese drei Faktoren reduzieren: Gelegenheit, Umgebung und mangelndes Bewusstsein.

Gelegenheit

Menschliches Versagen kann nur dort auftreten, wo es die Möglichkeit dazu gibt. Das mag offensichtlich erscheinen, aber der Punkt ist: Je mehr Möglichkeiten es gibt, etwas falsch zu machen, desto höher ist die Wahrscheinlichkeit, dass irgendwann ein Fehler gemacht wird.

Umgebung

Es gibt viele Umgebungsfaktoren, die das Auftreten von Fehlern wahrscheinlicher machen können. 

Die physische Umgebung eines Arbeitsplatzes kann erheblich zur Anzahl der auftretenden Fehler beitragen. Jeder Arbeiter auf der Baustelle wird Ihnen sagen können, dass Fehler häufiger an kochend heißen oder eiskalten Tagen auftreten - diese Überlegungen gelten auch für Büros. Während die richtige Temperatur im Büro eine wichtige Überlegung ist, sind Privatsphäre, Geräuschpegel und Körperhaltung alles Dinge, die zu einer fehleranfälligeren Umgebung beitragen können.

an employee works in a loud environmentAuch die Kultur spielt bei Umweltüberlegungen eine wichtige Rolle. Oft wissen die Endbenutzer, was richtig ist, führen es aber nicht aus, weil es einen einfacheren Weg gibt oder sie es einfach nicht für wichtig halten. Eine Kultur, in der die Sicherheit immer in den Hintergrund gedrängt wird, wird dazu führen, dass Fehler immer alltäglicher werden.

Mangelndes Bewusstsein

Ein Großteil der menschlichen Fehler resultiert daraus, dass Endbenutzer einfach nicht wissen, was die richtige Vorgehensweise ist. Zum Beispiel fallen Benutzer, die sich des Risikos von Phishing nicht bewusst sind, viel eher auf Phishing-Versuche herein, und jemand, der die Risiken von öffentlichen WLAN-Netzwerken nicht kennt, wird schnell seine Anmeldedaten abgreifen. Ein Mangel an Wissen ist fast nie die Schuld des Benutzers - sondern sollte von der Organisation angegangen werden, um sicherzustellen, dass ihre Endbenutzer das Wissen und die Fähigkeiten haben, die sie benötigen, um sich selbst und das Unternehmen sicher zu halten.

Wie können Sie menschliche Fehler in Ihrem Unternehmen vermeiden?

Menschliche Fehler können nur dort auftreten, wo es die Möglichkeit dazu gibt, und daher ist es wichtig, Gelegenheiten für Fehler so weit wie möglich auszuschließen. Gleichzeitig werden Endbenutzer weiterhin Fehler machen, wenn sie nicht wissen, was die richtigen Aktionen sind und welche Risiken bestehen. Um diese Lücke zu schließen, ist es unerlässlich, das Thema menschliches Versagen von beiden Seiten anzugehen, um einen umfassenden Schutz für Ihr Unternehmen zu schaffen.

Reduzieren Sie die Möglichkeiten

Die Änderung Ihrer Arbeitspraktiken, Routinen und Technologien zur systematischen Reduzierung von Fehlermöglichkeiten ist der beste Weg, um Ihre Bemühungen zur Fehlerminderung zu beginnen. Obwohl die Art und Weise, wie Sie dies erreichen, von den spezifischen Aktivitäten und Umgebungen Ihres Unternehmens abhängt, gibt es einige allgemeine Richtlinien zur Minderung von menschlichen Fehlermöglichkeiten.

Berechtigungskontrolle: Stellen Sie sicher, dass Ihre Benutzer nur auf die Daten und Funktionen zugreifen können, die sie für die Ausübung ihrer Rolle benötigen. Dies reduziert die Menge an Informationen, die offengelegt werden, selbst wenn der Benutzer einen Fehler begeht, der zu einem Verstoß führt. 

passwords on post-it notes on a computer monitor

Passwortverwaltung: Da Fehler im Zusammenhang mit Passwörtern ein Hauptrisiko für menschliches Versagen darstellen, kann die Distanzierung Ihrer Benutzer von Passwörtern helfen, die Risiken zu reduzieren. Mit Passwort-Manager-Anwendungen können Ihre Benutzer sichere Passwörter erstellen und speichern, ohne sich diese merken zu müssen oder das Risiko einzugehen, sie auf Post-it-Zettel zu schreiben. Sie sollten auch die Verwendung von Zwei-Faktor-Authentifizierung in Ihrem Unternehmen vorschreiben, um Ihre Accounts zusätzlich zu schützen.

 

Ändern Sie Ihre Kultur

Eine auf Sicherheit ausgerichtete Kultur ist der Schlüssel zur Reduzierung menschlicher Fehler. In einer Sicherheitskultur wird die Sicherheit bei jeder Entscheidung und Handlung berücksichtigt, und die Endbenutzer werden aktiv nach Sicherheitsproblemen Ausschau halten und diese diskutieren, sobald sie auf sie stoßen.

Es gibt eine Reihe von Dingen, die Sie tun können, um eine sicherheitsbewusste Kultur in Ihrer Organisation aufzubauen.

Ermutigen Sie zur Diskussion. Eine der besten Möglichkeiten, um sicherzustellen, dass die Sicherheit im Vordergrund bleibt, ist, die Leute zum Reden darüber zu bringen. Bringen Sie Diskussionsthemen rund um die Sicherheit auf - und stellen Sie sicher, dass sie für die täglichen Arbeitsaktivitäten Ihrer Endbenutzer relevant sind, damit sie sich eher engagieren. Dies wird ihnen helfen zu erkennen, was sie persönlich tun können, um die Sicherheit Ihres Unternehmens aufrechtzuerhalten.

Machen Sie es einfach, Fragen zu stellen. Als Teil des Lernprozesses werden Ihre Endbenutzer wahrscheinlich in viele Situationen stolpern, in denen sie sich über die Sicherheitsimplikationen unsicher sind. In diesen Situationen ist es besser, wenn sie Sie oder eine andere Person mit Fachwissen fragen, anstatt zu raten und zu riskieren, dass sie selbst eine falsche Entscheidung treffen. Stellen Sie sicher, dass immer jemand zur Verfügung steht, um Fragen von Endbenutzern auf freundliche Art und Weise zu beantworten, und belohnen Sie Benutzer, die gute Fragen aufwerfen.

Verwenden Sie Poster und Erinnerungshilfen. Sicherheitsposter und -tipps dienen als kleine Erinnerungshilfen, um sicherzustellen, dass Ihre Endbenutzer während ihres Arbeitstages an die Sicherheit denken. Ein Poster mit Informationen zu sicheren Passwörtern ermöglicht es den Anwendern zum Beispiel, leicht zu erkennen, welche Anforderungen an die Sicherheit von Firmenaccounts gestellt werden.

Fehlende Kenntnisse durch Schulungen beheben

Mangelndes Wissen ansprechen Während die Verringerung der Fehlermöglichkeiten essenziell ist, müssen Sie die Fehlerursachen auch vom menschlichen Standpunkt aus angehen. Wenn Sie Ihre Mitarbeiter über Sicherheitsgrundlagen und Best Practices aufklären, können sie bessere Entscheidungen treffen und sind in der Lage, die Sicherheit im Auge zu behalten und nach weiteren Ratschlägen zu suchen, wenn sie sich nicht sicher sind, welche Konsequenzen eine bestimmte Aktion hat. training

Schulen Sie Ihre Mitarbeiter zu allen zentralen Sicherheitsthemen: Da sich menschliches Versagen auf unterschiedlichste Weise manifestieren kann, ist es unerlässlich, dass Sie Ihre Mitarbeiter auf einem grundlegenden Niveau zu allen Sicherheitsthemen schulen, die ihnen im Arbeitsalltag begegnen können. Die Nutzung von E-Mail, Internet und sozialen Medien sowie Phishing- und Malware-Schulungen sind nur einige der Themen, die in den Schulungen behandelt werden sollten.

an employee with a secure computerSchulungen müssen fesselnd und relevant sein: Ihre Mitarbeiter haben eine begrenzte Aufmerksamkeitsspanne, und Sie müssen sicherstellen, dass die Schulung sie nicht einfach zum Einschlafen bringt. Interaktive Schulungen, die Bild- und Videoinhalte verwenden, sind viel effektiver als stundenlange PowerPoint-Sitzungen. Schulungen sollten auch nicht in jährlichen Sitzungen stattfinden, die Ihre Mitarbeiter eine Woche später wieder vergessen, sondern regelmäßig während ihres Arbeitslebens in einem kurzen und leicht verdaulichen Format wiederkehren.

Der Mensch muss nicht das schwächste Glied sein

Wir haben diesen Artikel mit einer erschreckenden Statistik darüber begonnen, wie viele Sicherheitsverletzungen durch menschliches Versagen verursacht werden - aber es gibt auch eine andere Möglichkeit, diese Statistik zu betrachten. Wenn 95 % der Sicherheitsverletzungen durch menschliches Versagen verursacht werden, können selbst die kleinsten Schritte zur Reduzierung menschlichen Versagens einen enormen Sicherheitsgewinn bedeuten.

Die Verringerung menschlicher Fehler muss aus zwei Blickwinkeln erfolgen: Verringerung der Möglichkeiten und Schulung der Benutzer. Je weniger Gelegenheiten es für Fehler gibt, desto weniger werden Ihre Benutzer auf ihr Wissen getestet - und je mehr Wissen Ihre Benutzer haben, desto geringer ist die Wahrscheinlichkeit, dass sie einen Fehler machen, selbst wenn sie auf eine Gelegenheit stoßen, dies zu tun. 

Der Ansatz, den wir bei usecure fördern, ermutigt Sie, Ihr menschliches Risiko aus einem anderen Blickwinkel zu betrachten. Während ungeschulte Endbenutzer das schwächste Glied in der Sicherheit Ihres Unternehmens sein können, können Sie sie mit den richtigen Tools und Schulungen zu Ihrer ersten Verteidigungslinie gegen jeden Angriff oder jede Verletzung machen und so Ihr Unternehmen langfristig schützen. 

Reduzieren Sie menschliche Fehler mit effektiven Security Awareness Trainings.

Erfahren Sie, wie usecure Unternehmen dabei hilft, sicheres Verhalten mit intelligent-automatisierten Cyber Security Awareness Trainings zu fördern - die Ihre Mitarbeiter lieben werden.