Der Mensch ist nicht das Problem, der Mensch ist nicht das Problem, der Mensch ist nicht das Problem

Es gibt keinen Satz, der in IT-Sicherheitsdiskussionen häufiger vorkommt, als folgender: „Der Mensch ist unsere größte Schwachstelle.“ Solange wir IT-Sicherheit mit dieser Haltung gestalten, ist sie zum Scheitern verurteilt. Yes we are doomed.

Und dabei geht es schon lange nicht mehr nur um die Idee, dass sich Menschen lange alphanumerische Zeichenketten (aka Passwort) merken sollen oder die Forderung, dass ja wohl jede und jeder in der Lage sein sollte, seine E-Mails mit PGP zu verschlüsseln. Über die Jahre hat sich herumgesprochen, dass Sicherheit auch nutzbar sein muss – dass der Mensch erst genommen werden muss, wenn IT-Sicherheit funktionieren soll.

Aber die neuesten Maßnahmen gegen Cyberangriffe tappen genau in die gleiche Falle. Viele der Trainings, die Unternehmen gerade in großem Stil einsetzen, sitzen einem Denkfehler auf. Cybersecurity-Awareness-Trainings, Test-Phishing-Emails und so genannte social engineering pentests gehen von der Annahme aus, dass Menschen es nur richtig wissen müssen, um sicher zu sein. Diese Annahme ist falsch. Sie wälzt nicht nur Verantwortung auf Angestellte ab – häufig ohne zuvor alle technischen Schutzmaßnahmen auszunutzen – sie verweist auch auf ein falsches Verständnis der Vorgänge. Denn sowohl Erkenntnisse aus der Psychologie und Hirnforschung sowie aus der Arbeitswissenschaft zeigen, dass diese Maßnahmen Gefahr laufen, nach hinten loszugehen.

Ein Vortrag mit unterhaltsamen Beispielen, aktuellen Forschungserkenntnissen und einem Ausblick, wie es besser gehen könnte.