Warum der Mensch im Zentrum der Cybersicherheit stehen sollte

Viele Sicherheitsteams betrachten ihre nicht-technischen Kolleg:innen als potenzielle Schwachstelle in jeder Cybersicherheitsstrategie. Daher setzen sie Technologie ein, um deren unvermeidlichen Fehlentscheidungen abzumildern. 

Diese Ansicht ist verständlich, denn laut dem „Data Breach Investigations Report“ von Verizon war der „menschliche Faktor“ 2023 an 68 % der Sicherheitsvorfälle beteiligt – im Jahr 2022 waren es sogar 74 %. 

Doch Expert:innen sind sich einig: Diese Denkweise ist nicht effektiv. Stattdessen sollten Unternehmen auf einen menschzentrierten Ansatz in der Cybersicherheit setzen. Die US-Regierungsbehörde NIST (National Institute of Standards and Technology) betont in einer Veröffentlichung mit dem Titel „Users Are Not Stupid“, dass übermäßig komplexe Sicherheitsmaßnahmen und fehlende Rücksichtnahme auf die Bedürfnisse der Nutzer:innen eher Risiken schaffen, als sie zu reduzieren. 

Was bedeutet menschzentrierte Cybersicherheit? 

Ein menschzentrierter Ansatz in der Cybersicherheit (Human-Centric Cybersecurity, HCC) zielt darauf ab, Produkte und Prozesse zu entwickeln, die die Bedürfnisse und Motivationen der Nutzer:innen berücksichtigen und sichere Verhaltensweisen fördern. Zu den Kernmaßnahmen eines HCC-Programms gehören: 

• Schulungen zur Bildung eines Sicherheitsbewusstseins und Anti-Phishing-Trainings,
• Benutzerfreundliche Sicherheitsprodukte, die Feedback von Nutzer:innen einbeziehen,
• Weniger Verantwortung für komplexe Sicherheitsaufgaben bei Mitarbeitenden,
• Tools wie User Behavior Analytics (UBA), die das Verhalten analysieren, um Sicherheitsrisiken frühzeitig zu erkennen.

Im Gegensatz dazu gibt es auch andere Ansätze in der Cybersicherheit, die nicht primär den Menschen in den Mittelpunkt stellen. Beispielsweise setzt der technologiezentrierte Ansatz auf rein technische Sicherheitslösungen wie Firewalls oder KI-gestützte Bedrohungserkennung, ohne die Benutzerfreundlichkeit zu berücksichtigen. Ein regel- und compliance-basierter Ansatz stellt strenge Sicherheitsrichtlinien und regulatorische Vorgaben in den Fokus, die oft unabhängig von ihrer Alltagstauglichkeit durchgesetzt werden. Der perimeter-basierte Ansatz konzentriert sich auf den Schutz durch klar definierte Netzwerkränder, während interne Bedrohungen oder menschliche Faktoren weniger Beachtung finden. Schließlich verfolgt der Zero-Trust-Ansatz das Prinzip, dass niemandem grundsätzlich vertraut wird, sondern jeder Zugriff kontinuierlich überprüft werden muss – eine Strategie, die zwar die Sicherheit erhöht, aber potenziell die Nutzererfahrung beeinträchtigen kann. 

Indem der menschzentrierte Ansatz die Bedürfnisse und das Verhalten der Nutzer aktiv einbezieht, kann er Sicherheitsmaßnahmen nicht nur effektiver, sondern auch praktikabler gestalten. 

Der Mensch im Fokus 

Julie Haney, Leiterin des HCC-Programms beim NIST, fasst es treffend zusammen: „Wenn Menschen nicht im Mittelpunkt von Cybersicherheitsmaßnahmen stehen, entstehen unbrauchbare Sicherheitslösungen. Das führt dazu, dass Mitarbeiter Fehler machen, Risiken eingehen oder unsichere Workarounds entwickeln, nur um ihre Arbeit zu erledigen.“ 

Deshalb hat NIST kürzlich die „Human-Centered Cybersecurity Community of Interest“ ins Leben gerufen – eine Plattform für Fachleute, Wissenschaftler:innen und politische Entscheidungsträger:innen, um Cybersicherheit benutzerfreundlicher zu gestalten. 

Unternehmen setzen auf menschzentrierte Ansätze 

Immer mehr Unternehmen erkennen die Bedeutung von HCC. Laut der Marktforschungsfirma Gartner werden bis 2027 rund 50 % der Sicherheitschefs (CISOs) in großen Unternehmen auf menschzentrierte Sicherheitsdesigns setzen. Sicherheitskultur- und Verhaltensprogramme (SBCPs) sind ein wachsender Trend. 

Victoria Cason, Senior Analystin bei Gartner, erklärt: „Ein menschzentrierter Ansatz bedeutet, dass wir mit Menschen arbeiten, die unterschiedliche Bedürfnisse, Verhaltensweisen und Erwartungen haben. Wir sollten uns darauf konzentrieren, wie wir diese berücksichtigen können, anstatt nur Vorgaben zu machen.“ 

Maßnahmen für mehr Sicherheit und Zusammenarbeit 

Gartner empfiehlt Unternehmen, folgende Schritte zu gehen: 

1. Sicherheitssimulationen durchführen, um Risiken zu verstehen,
2. Automatisierung und Datenanalysen einsetzen, um Nutzer:innen zu helfen, sichere Entscheidungen zu treffen,
3. Mitarbeitende belohnen, die Sicherheitsvorfälle melden,
4. Messbare Ergebnisse nachverfolgen, um die Effektivität von Programmen zu prüfen.

Ein besserer Umgang mit Mitarbeitenden reduziert nicht nur Sicherheitsrisiken, sondern auch den Stress innerhalb von Sicherheitsteams. Gartner prognostiziert, dass bis Ende 2025 etwa die Hälfte der Cybersicherheitsleitenden ihren Job wechseln wird – und ein Viertel davon die Branche komplett verlässt. Stress ist hierbei einer der Hauptfaktoren. 

Mitarbeitende in den Schutz einbinden 

Mitarbeitende sind sich der Risiken bewusst, die von ihnen ausgehen können: Eine Umfrage von Ernst & Young zeigt, dass 34 % der Mitarbeitenden besorgt sind, durch eine falsche Handlung die Sicherheit ihres Unternehmens zu gefährden. 

Statt sie zu kritisieren, sollten Unternehmen sie unterstützen und Ängste in produktives Handeln umwandeln. Julie Haney vom NIST betont: „Wenn jemand auf einen Phishing-Link klickt, wird oft allein der Mitarbeiter verantwortlich gemacht. Aber es ist wichtig, auch die internen Prozesse und Strukturen zu hinterfragen, die zu diesem Fehler geführt haben könnten.“ 

In Kürze zu dem Hintergrund des Themas 

Ein menschzentrierter Ansatz in der Cybersicherheit erfordert nicht nur benutzerfreundliche Tools, sondern auch eine offene Kommunikation mit den Mitarbeitenden. Unternehmen sollten Maßnahmen ergreifen, die das Verhalten positiv beeinflussen, anstatt Menschen als schwächstes Glied zu betrachten. 

Durch Schulungen, benutzerfreundliche Lösungen und eine Kultur der Zusammenarbeit können Risiken reduziert und die Sicherheit nachhaltig verbessert werden.