Psychologische Untersuchung des Faktors Mensch in der IT-Sicherheit

Durch die fortschreitende Digitalisierung des Gesundheitswesens können Cyberangriffe gravierende, wenn nicht gar lebensbedrohliche Folgen haben. «Die Angriffswege und Tricks der Cyberkriminellen sind inzwischen gut dokumentiert. Was wir noch zu wenig verstehen, ist, warum sie funktionieren», sagt Jona Karg, der das Schulungswesen bei HIN leitet.

Im Februar 2020 haben wir an dieser Stelle über die psychologische Dimension der IT-Sicherheit berichtet und Sie gebeten, an einer Umfrage teilzunehmen. Nun liegt die Auswertung der Umfrage vor. Diese hat Jona in seine Abschlussarbeit im Bachelorstudiengang angewandte Psychologie an der ZHAW einfliessen lassen. Wir haben mit Jona gesprochen und ihn nach seinen Erkenntnissen gefragt.

Jona Karg

Jona Karg verfügt über einen Abschluss in angewandter Psychologie. In mehreren wissenschaftlichen Arbeiten erforscht er die Rolle des Menschen in der IT-Sicherheit. Bei HIN ist er für die Weiterentwicklung der Awareness Schulungen sowie des Awareness E-Learnings verantwortlich.

Wissen ist Macht – auch für Gesundheitsfachpersonen

«Zunächst möchte ich mich bei den Teilnehmern der Befragung aus dem Kreis der HIN Community bedanken», sagt Jona Karg. «Auch wenn meine Untersuchung nur ein kleiner Beitrag zu einem grossen Thema ist, so habe ich damit doch wesentliche und zum Teil überraschende Hinweise gewonnen.»

Was war für Jona die Haupterkenntnis? «Dass das Wissen den wichtigsten menschlichen Faktor in der IT-Sicherheit darstellt!» Zur Erklärung führt er das in der Forschung relativ gut etablierte Konstrukt der Information Security Awareness (ISA) an. Dieses besteht aus drei Faktoren: Wissen, Einstellung und Verhalten. «Es zeigte sich in meiner Untersuchung, dass von diesen drei Faktoren das Wissen die grösste signifikante Korrelation mit der ISA besitzt.»

Das Ergebnis sei jedoch nicht als absolut zu betrachten, da es Teil von Jonas Arbeit war, die ISA für den deutschen Sprachraum und für das Gesundheitswesen zu interpretieren. Das Ergebnis beruhe zudem auf einer relativ kleinen Stichprobe, was eine Verallgemeinerung nicht zulasse. «Es deutet aber vieles darauf hin, dass das Bewusstsein für Herausforderungen und Risiken der Informationssicherheit vorwiegend durch das Wissen – oder Nichtwissen – über dieses Thema beeinflusst wird», hält Jona fest.

Risikobereitschaft der Mitarbeitenden als Unternehmensrisiko

Auf der Ebene der Persönlichkeitsfaktoren deutet eine höhere Risikobereitschaft darauf hin, dass eine Person eher bereit ist, zum Beispiel auf Links in E-Mails von Unbekannten zu klicken. «In der Praxis zeigt sich eine höhere Risikobereitschaft beispielsweise an abenteuerlicheren Hobbys. Das soll nun aber nicht heissen, dass Mitarbeitende, die beispielsweise Bungee-Jumping zum Hobby haben, generell ein höheres Risiko für die IT-Sicherheit darstellen», schränkt Jona ein.

Dennoch sollten organisatorische und technische Massnahmen ergriffen werden, die Anwender erst gar nicht in Versuchung führen oder die Auswirkungen von Fehlverhalten minimieren. So bieten sich beispielsweise eingeschränkte Berechtigungen, eine starke Firewall sowie eine generelle Regel zum Öffnen von Links an. «Inwieweit diese Regel dann befolgt wird, ist natürlich ein anderes Thema.»

Was hat die Untersuchung betreffend Einstellung ergeben? «Eine positive Einstellung zum Thema IT-Sicherheit scheint das Verhalten negativ zu beeinflussen. Über dieses Ergebnis war ich durchaus etwas erstaunt, es bedarf aber einer genaueren Prüfung in weiterführender Forschung», führt Jona Karg aus. Jedoch könne er sich dies so erklären, dass hier eine kognitive Verzerrung zum Tragen komme. «Frei nach dem Motto ‹ich bin gut vorbereitet, also wird es mich nicht betreffen› betrachtet man die IT-Sicherheit unbewusst als selbstverständlich, worunter das Verhalten leidet.»

Der Mensch ist nicht bloss eine «Schwachstelle» im System der IT-Sicherheit. Gut ausgebildete Mitarbeitende haben vielmehr das Potenzial, dort einzugreifen, wo die Technik versagt.

Den Menschen nicht bloss als «Schwachstelle» verstehen

Wichtig sei es ihm festzuhalten, dass der Mensch nicht einseitig als «Schwachstelle» im System betrachtet werden solle, sagt Jona. «Der eigentliche Schwachpunkt ist die Schnittstelle zwischen Mensch und Technik!» So sollte die Datenverarbeitung dem Menschen dienen und entsprechend benutzerfreundlich entwickelt sein.

Zudem zeigten etabliertere sicherheitspsychologische Felder wie beispielsweise die Aviatik eindrücklich, dass gut ausgebildete Mitarbeitende das Potenzial haben, dort erfolgreich einzugreifen, wo – was auch heute immer wieder der Fall ist – die Technik versagt. «Daher empfiehlt es sich, in der Praxis bei Awareness-Massnahmen den Fokus auf IT-Sicherheits-Wissen und -Fähigkeiten der Anwender zu legen.»

Und wie geht es nun weiter? «Die psychologische Forschung zur Security Awareness steht immer noch am Anfang», sagt Jona Karg. Daher möchte er seine Forschung in einem weiterführenden Masterstudium vertiefen. Zudem seien die Erfahrungen, die er und sein Team in der HIN Academy im Austausch mit Mitarbeitenden des Gesundheits- und Sozialwesens sammeln, umso wichtiger. «Diese fliessen auch laufend zurück in unsere Tätigkeit und die Weiterentwicklung unserer Angebote. User-centered Design – das macht die Arbeit enorm spannend!»

Weitere Informationen

• Aktuelles Interview mit Jona Karg zum Thema auf Medinside: Faktor Mensch: die psychologische Dimension der IT-Sicherheit
• Individualisierbare Weiterbildung vor Ort in der Praxis: HIN Awareness Schulung
• E-Learning, skalierbar auch für grosse Unternehmen: HIN Awareness Portal