Analoge Probleme der Digitalisierung oder: wenn nur der Mensch nicht wär‘
Ein alter Nerd-Witz ist das „Layer-8-Problem“. Für diejenigen, die das nicht kennen: damit meinen Technik-Affine, dass im Fall von Computerproblemen oft gar nicht die Technik das Problem sei, sondern Nutzer*innen, die den Computer falsch bedienen. Wen es interessiert: der Hintergrund dieses Witzes ist das sogenannte OSI-Modell der Netzwerkkommunikation, in dem die Kommunikation in einem Computernetzwerk in sieben „Schichten“ (Layer), von Schicht 1 (physikalische Signalübermittlung) bis Schicht 7 (Anwendungsprogramme) beschrieben wird. Nach Ansicht vieler fehlt aber in diesem Modell die wichtigste Fehlerquelle: der menschliche Anwender, für den dann die Bezeichung „Layer 8“ eingeführt wurde.
Darum geht es
Aktuelle Studie weist menschliche Fehler als größtes IT-Sicherheitsrisiko aus
Mag man das auch für den verqueren Humor von Menschen halten, die besser mit Maschinen als mit anderen Menschen umgehen können – auch das natürlich nur ein Klischee – so ist doch insbesondere im Bereich der Informationssicherheit auch eine ganze Menge Wahrheit darin. Denn menschliche Eigenschaften – ich will hier nicht einmal von Fehlern reden – sind ein erheblicher Quell von Sicherheitsproblemen. Das beweisen Jahr für Jahr wieder Studien und Statistiken, die immer wieder menschliches (Fehl-)Verhalten als (mit-)verantwortlich für Sicherheitsprobleme ausweisen.
Aktuell belegt das die vom Branchenverband BITKOM durchgeführte Studie „Wirtschaftsschutz in der digitalen Welt“, die im November 2019 die aktuellen Zahlen für die Wirtschaft in Deutschland präsentiert. Die Plätze 1, 2 und 5 der häufigsten Schadensfälle im Bereich IT hängen mit den handelnden Personen ursächlich zusammen, als da wären: Diebstahl von Geräten (Platz 1), analoges Social Engineering (Platz 2) und physischer Diebstahl von sensiblen Unterlagen, Bauteilen, Produktmustern etc (Platz 5).
Interessant ist auch, dass Social Engineering in seiner digitalen Form noch einmal separat aufgeführt wird und auf Platz 6 rangiert. Auch, wenn hier die Methoden der Angreifer vielleicht andere, digitale, sind, vornehmlich Phishing über gefälschte E-Mails und gefälschte Webseiten, so sitzt auf der Seite der Geschädigten doch auch wieder ein Mensch, der von böswilligen Angreifern in eine schadhafte Handlung hineinmanipuliert wurde.
Fachleuten ist die Erkenntnis, dass viele Sicherheitsprobleme auf menschliches Handeln zurückzuführen oder zumindest dadurch begünstigt werden, nicht neu. Trotzdem bestätigt jedes Jahr aufs Neue eine Statistik, dass sich wenig daran ändert. Zumindest für die letzten 20 Jahre, die ich in dem Bereich überblicken kann, ist das so.
Lernen aus Fehlern nur in Umgebungen mit guter Fehlerkultur
Liegt das nun daran, dass Menschen nicht fähig sind, aus Fehlern zu lernen? Sicher nicht, denn der Mensch lernt von klein auf durch Trial & Error. Allerdings nur, wenn er sich auch in einer Umgebung befindet, die Fehler als Quelle zum Erkenntnisgewinn zulässt und nicht aufs strengste sanktioniert., sei es durch Strafen oder durch soziale Ächtung. Und natürlich muss es Sicherheitsmaßnahmen geben, die verhindern, dass sich ein Fehler gleich zur Katastrophe auswächst. An beidem scheint es aber zu mangeln. Das belegen auch die steigenden Schadenssummen.
Die BITKOM-Studie spricht von knapp 103 Milliarden Euro Gesamtschaden pro Jahr durch Probleme in der Informationssicherheit. In die Ausbildung Ihrer Führungskräfte und Mitarbeitenden in puncto Informationssicherheit investieren zwar eine steigende Anzahl von Unternehmen, wenngleich auch noch längst nicht alle, doch sagt das noch nichts über die Qualität der Weiterbildung aus. Aus eigener Erfahrung kann ich sagen, dass viele darin eher eine lästige Pflicht sehen, als eine echte Verbesserungsmaßnahme.
Vielleicht liegt das daran, dass viele sich nicht an das zugrunde liegende Problem herantrauen: die Unternehmens- und als besonders wichtiger Teilbereich davon, die Fehlerkultur. Wenn Sie neugierig geworden sind, was denn das damit zu tun hat, sind Sie auf dem richtigen Weg. Neugier ist ein wichtiger Antrieb auf dem Weg zur Veränderung. Und noch etwas ist dazu notwendig: Mut. Curiosity.Courage.Change.
Mehr zu dem Thema demnächst an dieser Stelle.