Awareness

Harte Nuss für Sicherheitsverantwortliche.

© Korta - Fotolia

31.5.2017 (bz) – Laut einer Studie soll sich bei vielen Menschen eine Art "Sicherheitsmüdigkeit" breit machen. Die Aussage betrifft nur den IT-Bereich, ließe sich aber plausibel auf alle Sicherheitsbereiche ausdehnen.

 

 

Klarer Fall von Sicherheitsmüdigkeit.

Wenn das stimmt, dann haben IT-Sicherheitsverantwortliche ein riesiges Problem: Laut dem National Institute of Standards and Technology, NIST, leiden Computernutzer an "Security Fatigue", Sicherheitsmüdigkeit. Die in einer Studie Befragten sollen eine gewisse Resignation, einen Kontrollverlust, einen Fatalismus (Schicksalsglaube) und Entscheidungsschwäche zum Ausdruck gebracht haben, wenn es darum geht, Maßnahmen zur Onlinesicherheit umzusetzen. Demnach sind es die Befragten sozusagen leid, sich zum Beispiel eine Unmenge an Passwörtern einprägen zu müssen. Sie fühlen sich von Sicherheitsbestimmungen bei der Arbeit sogar ausgebremst. Die Wissenschaftler vom NIST empfehlen IT-Sicherheitsverantwortlichen daher, die Anzahl der Sicherheitsentscheidungen auf Seiten der Belegschaft zu limitieren. Auch die zu treffende Auswahl richtiger Sicherheitsentscheidungen müsse durch ein schlüssiges Design der Handlungsoptionen deutlich einfacher getroffen werden können.

Verschiedene Medien stürzten sich bereits auf die Studienergebnisse. Wer sich über die Ergebnisse und Empfehlungen der englischsprachigen Studie lieber in deutscher Sprache informieren möchte, dem sei ein Audiobeitrag des Deutschlandfunk empfohlen.

Ob sich diese Sicherheitsmüdigkeit auch auf das IT-freie Sicherheitsbewusstsein auswirkt, wurde nicht untersucht. Unabhängig vom fehlenden wissenschaftlichen Nachweis sollten Sicherheitsverantwortliche das Phänomen Sicherheitsmüdigkeit vorsorglich zumindest einmal in einem Gedankenspiel auf alle Bereiche der Sicherheit übertragen. Denn dass Sicherheitsmüdigkeit sich auf die IT-Sicherheit beschränkt, ist kaum anzunehmen. In allen Bereichen der Sicherheit werden Arbeitnehmer heute mit immer mehr sicherheitsdienlichen Normen und Regeln konfrontiert – man denke allein an die Bestimmungen im Arbeitsschutz. Sollte das Phänomen der Sicherheitsmüdigkeit in allen Bereichen der Sicherheit vorkommen, wäre nämlich mit weitreichenden Folgen zu rechnen:

Der Handwerker würde den Helm nicht mehr aufsetzen. Der Manager würde gegen Complianceregeln verstoßen und Bestechungsversuchen zum Opfer fallen. Die Sekretärin würde datensensible Schriftstücke nicht zum Schredder bringen, sondern "Ablage 17" (Papierkorb) wählen. Der Produktionschef würde im Messehotel bereitwillig auf neugierige Fragen einer ihm unbekannten, aber attraktiven, Messehostess antworten (Social Engineering). Die Angestellten würden den rechtmäßigen Aufenthalt fremder Personen auf dem Betriebsgelände nicht mehr kritisch hinterfragen. Die Aufzählungen ließen sich sowohl in allen Bereichen der Sicherheit als auch auf allen Hierarchieebenen (operativ bis strategisch) nahezu beliebig weiterführen.

Sicherheits-Berater direkt kann hier leider keine konkreten Maßnahmen zur Bekämpfung von Sicherheitsmüdigkeit empfehlen. Außer einer: Sicherheitsverantwortliche sollten sich nie damit zufrieden geben, lediglich Verhaltensregeln (z. B. "Helm aufsetzen!") zu kommunizieren. Sondern sie sollten sich stets auch in Richtung Verhaltensforscher in Sachen Sicherheit weiterentwickeln und sich mit der Psychologie der Akzeptanz auseinandersetzen. Vielleicht ist die Lektüre dieses Eintrages in Wikipedia der richtige Schritt in die richtige Richtung: Behavior Based Security.

 

Kontakt zur Redaktion:
bz@sicherheits-berater.de (Bernd Zimmermann)