Wie psychologische Aspekte die IT-Sicherheit von Gesundheitseinrichtungen beeinflussen

Beim Thema IT-Sicherheit denken Sie wahrscheinlich eher an Anti-Virus-Software und Phishing-Mails als an Psychologie. Doch psychologische Aspekte und das menschliche Verhalten haben einen erheblichen Einfluss auf die Informationssicherheit von Unternehmen. Ich habe Psychologie studiert und meine Bachelorarbeit über den Faktor Mensch in der IT-Sicherheit geschrieben. Gerne beleuchte ich für Sie die Zusammenhänge.
Fielen Phishing-Mails früher durch Rechtschreibfehler oder kryptische Zeichen meist sofort auf, sind sie heute auf den ersten Blick kaum noch als solche zu erkennen. Oft enthalten gefälschte E-Mails gar persönliche Anreden und auf den Leser zugeschnittene Informationen. Dabei wird der Adressat gezielt als menschliches Individuum angegriffen.Am erfolgreichsten sind Nachrichten, in denen Autorität ausgeübt wird. Zum Beispiel ermitteln Cyberkriminelle den Namen des Vorgesetzten des Empfängers und erteilen vermeintlich in dessen Namen einen Auftrag. Noch ausgeklügelter ist der sogenannte Deepfake, bei dem die Stimme oder gar ein Videobild des CEOs einer Firma mittels künstlicher Intelligenz nachgestellt wird. Ein Beispiel: Mit der imitierten Stimme eines Chefarztes erteilt ein Cyberkrimineller einer Arztsekretärin per Telefon die Anweisung, Patientendaten freizugeben.
Der Schüssel liegt im Bewusstsein
Wahrscheinlich wird die Arztsekretärin etwas verwirrt sein ob des Verhaltens des vermeintlichen Chefarztes. Doch es gibt viele Gründe, wieso sie nicht genauer nachfragen könnte: Vielleicht möchte sie ihren Vorgesetzten nicht durch «unnötige Fragen» verärgern; vielleicht denkt sie, er wisse schon, was zu tun sei; oder vielleicht ist sie einfach gerade gestresst und möchte den Zeitaufwand für den Auftrag so gering wie möglich halten.Ist sich die Arztsekretärin hingegen der Gefahren und Möglichkeiten der Cyberkriminalität bewusst, wird sie bei dem seltsamen Auftrag stutzig werden. Sie wird nach dem Telefonat zur Sicherheit via HIN Talk oder einem anderen sicheren internen Kommunikationsmittel bei ihrem Chefarzt nachfragen. Und somit wird die Cyberattacke scheitern.

«Ich sehe den Menschen nicht als Fehlerquelle, sondern als Chance für die IT-Sicherheit.»

Menschliches Verhalten beeinflusst IT-Sicherheit
Unser Beispiel zeigt: Das menschliche Verhalten hat einen erheblichen Einfluss auf den Erfolg von Cyberattacken – und somit auch auf die IT-Sicherheit jedes Unternehmens. Denn selbst die beste IT-Infrastruktur ist nicht sicher genug, wenn die Menschen, die mit ihr arbeiten, sich der Gefahren der Cyberkriminalität nicht bewusst sind. Ich selbst bin überzeugt, dass der Mensch nicht als Fehlerquelle, sondern als Chance gesehen werden sollte.
Im Rahmen der HIN Active Awareness führt HIN im Auftrag von Kunden zu Testzwecken sogenannte «Friendly Phishing Attacken» durch. Dabei werden ungefährliche Phishing Mails an die Mitarbeitenden des Unternehmens versendet, um herauszufinden, wie gut die Institution vor den Gefahren durch Cyberkriminalität geschützt ist und um die Mitarbeitenden aktiv für diese zu sensibilisieren. Die Ergebnisse sind ernüchternd: Im Schnitt verzeichnen wir im Gesundheitswesen eine Öffnungsrate von knapp 50 Prozent.
Psychologische Aspekte als Forschungsfeld
Die Angriffswege und Tricks von Cyberkriminellen sind inzwischen weitestgehend bekannt. Die unbekannte Komponente bleibt das Verständnis, warum sie so gut funktionieren. Deshalb rücken im Zusammenhang mit der Prävention von Cyberattacken die psychologischen Faktoren und das menschliche Verhalten vor dem Computer immer mehr ins Blickfeld der Forschung. Der Forschungszweig steht noch ganz am Anfang, ist dadurch aber umso spannender. Denn er birgt viele Chancen zur Verhinderung oder zumindest Erschwerung von Cyberattacken.Ich selber untersuche unter anderem die psychologischen Aspekte, die zu Unachtsamkeit im Netz führen. Die Resultate meiner Forschung fliessen in die Schulungen der HIN Academy ein.

«Das psychologische Verständnis des menschlichen Verhaltens vor dem Computer birgt Chancen, um Cyberattacken zu verhindern.»

Bewusstsein für Cybergefahren schärfen – in der HIN Academy
Je mehr Sie und Ihre Mitarbeitenden sich der Gefahren der Cyberkriminalität bewusst sind und je besser Sie die Angriffswege Cyberkrimineller kennen, umso sicherer können Sie ihnen begegnen. Mit der HIN Academy haben wir es uns zum Ziel gemacht, Mitarbeitende im Gesundheitswesen nachhaltig für die Themen IT-Sicherheit und Datenschutz zu sensibilisieren. Dabei geht es nicht um reine Informationsvermittlung, vielmehr soll ein langfristiges Bewusstsein für die Gefahren der Cyberkriminalität geschaffen werden.HIN Academy entdecken
Porträtbild des Autors Jona Karg - Leiter Schulungswesen
Autor: Jona Karg – Leiter Schulungswesen

Als Spezialist für Informationssicherheit und Security Awareness mit dem Hintergrund der angewandte Psychologie, teile ich mit Ihnen meine Erkenntnisse und Erfahrungen. Betrachten Sie mit mir die IT-Sicherheit aus einer menschlichen Perspektive und lernen Sie, wie Sie sich und Ihr Team aware machen.

Mehr über Jona erfahren