Herr Karg, was hat IT-Sicherheit mit Psychologie zu tun?
Jona Karg: Durch die fortschreitende Digitalisierung des Gesundheitswesens können Cyberangriffe gravierende, wenn nicht gar lebensbedrohliche Folgen haben. Die Angriffswege und Tricks der Cyberkriminellen sind inzwischen gut dokumentiert. Was wir aber noch zu wenig verstehen, ist, warum sie immer wieder erfolgreich sind. Und genau hier kommt eben die Psychologie ins Spiel.
Sie haben im Rahmen einer wissenschaftlichen Arbeit Gesundheitsfachpersonen zum Thema befragt. Was ist Ihre Haupterkenntnis?
Dass das Wissen den wichtigsten menschlichen Faktor in der IT-Sicherheit darstellt!
Demnach gibt es verschiedene «menschliche Faktoren»? Erklären Sie!
Es gibt in der Forschung das relativ gut etablierte Konstrukt der Information Security Awareness (ISA). Dieses besteht aus drei Variablen: das Wissen und die Einstellung, die auf das Konstrukt einwirken, und das Verhalten, das aus dem Konstrukt heraus wirkt. Es zeigte sich in meiner Untersuchung, dass von diesen drei Faktoren das Wissen die grösste signifikante Korrelation mit der ISA besitzt.
Jona Karg
Jona Karg verfügt über einen Abschluss in angewandter Psychologie. In mehreren wissenschaftlichen Arbeiten erforscht er die Rolle des Menschen in der IT-Sicherheit. Bei der
Health Info Net AG (HIN) ist er für die Weiterentwicklung der Awareness Schulungen sowie des Awareness E-Learnings verantwortlich.
Spontan würde man wohl eher auf das Verhalten als wichtigste Einflussgrösse tippen …
Zwar ist das Verhalten in der Praxis der entscheidende exponierende Faktor. In der ISA, also dem Bewusstsein für die Gefahren von Cyberkriminalität, ist das Verhalten aber lediglich einer von mehreren Faktoren, wobei das Verhalten nicht immer bewusst gesteuert wird. So deutet vieles darauf hin, dass das Bewusstsein für Herausforderungen und Risiken der Informationssicherheit vorwiegend durch das Wissen – oder Nichtwissen – über dieses Thema beeinflusst wird. Ich muss dazu sagen, dass sich meine Untersuchung auf den deutschen Sprachraum und das Gesundheitswesen beschränkt und dass sie auf einer relativ kleinen Stichprobe beruht. Es wäre darum verfrüht, Ergebnisse auf dieser Basis zu verallgemeinern.
Gibt es individuelle Einflüsse oder «ticken» wir Menschen da alle gleich?
Auf der Ebene der Persönlichkeitsfaktoren deutet eine höhere Risikobereitschaft des Individuums auf eine erhöhte Wahrscheinlichkeit hin, dass die Person bereit ist auf Links in E-Mails von Unbekannten zu klicken. Im Alltag zeigt sich eine höhere Risikobereitschaft beispielsweise an abenteuerlicheren Hobbys.
Heisst das, Mitarbeitende, die beispielsweise Bungee-Jumping als Hobby haben, stellen ein Risiko für die IT-Sicherheit eines Unternehmens dar?
Nein, so direkt kann man nicht vom einen auf das andere schliessen. Dennoch sollten Unternehmen – gerade im Gesundheitswesen – organisatorische und technische Massnahmen ergreifen, damit Anwendende erst gar nicht in Versuchung geraten oder die Auswirkungen von Fehlverhalten zumindest minimiert werden können.
Führen solche Weisungen, Verbote und technische Einschränkungen – so sie denn beachtet und nicht umgangen werden – nicht zu einer Misstrauenskultur?
Das hat damit nichts zu tun. Im Strassenverkehr sind wir es ja auch gewohnt, dass wir innerorts nicht so schnell fahren dürfen wie ausserorts. Leider sehen wir immer noch oft, dass normale Benutzer beispielsweise über Administratorenrechte verfügen, obwohl sie diese nicht für ihre Arbeit benötigen und das bei einem Virenbefall fatale Auswirkungen haben kann. Um beim Vergleich von vorher zu bleiben, wäre dies in etwa eine Geschwindigkeit von 120 km/h innerorts – es kann gut gehen, erhöht das Risiko jedoch exponentiell. Hierbei kann eine Praxis mit einer einfachen Regel – dem sogenannten «Least-Privilege-Prinzip» – die Berechtigungen einschränken, ohne dass die Benutzer sich gemassregelt fühlen.
Was kann eine Praxis oder ein Heim sonst noch tun?
Auch eine gute Firewall ist unbedingt zu empfehlen. Diese agiert im Hintergrund und wird vom Benutzer nur wahrgenommen, wenn er zum Beispiel einen unsicheren Link anklickt. Letztlich muss die Balance gefunden werden, die Mitarbeitenden nicht an ihrer Arbeit zu hindern und diese gleichzeitig nicht unnötigen Risiken auszusetzen. Hierbei sind wir auf eine Fehlerkultur angewiesen, die uns ermöglicht zu erfahren, wo Mitarbeitende solchen Risiken begegnen.
Gibt es eine Erkenntnis in Ihrer Untersuchung, die Sie überrascht hat?
Ja, und zwar dass eine positive Einstellung zum Thema IT-Sicherheit das Verhalten einer Person eher negativ zu beeinflussen scheint. Über dieses Ergebnis war ich durchaus etwas erstaunt, es bedarf aber einer genaueren Prüfung in weiterführender Forschung, zumal sich dies lediglich als marginal signifikant zeigte. Ich kann mir dies aber so erklären, dass hier eine kognitive Verzerrung zum Tragen kommt: Frei nach dem Motto «ich bin gut vorbereitet, also wird es mich nicht betreffen» betrachtet man die IT-Sicherheit unbewusst als selbstverständlich und handelt entsprechend nachlässiger.
Also sind selbst sensibilisierte Mitarbeitende als «Schwachstelle» zu betrachten?
Im Gegenteil! Der eigentliche Schwachpunkt ist nicht der Mensch selbst, sondern die Schnittstelle zwischen Mensch und Technik. Daher ist es wichtig, dass Systeme so benutzerfreundlich entwickelt werden, dass die Datenverarbeitung dem Menschen dient und nicht umgekehrt. Zudem zeigen etablierte sicherheitspsychologische Felder wie beispielsweise die Aviatik eindrücklich, dass gut ausgebildete Mitarbeitende das Potenzial haben, dort erfolgreich einzugreifen, wo – was auch heute immer wieder der Fall ist – die Technik versagt.
Was empfehlen Sie Arbeitgebern im Gesundheitswesen?
In der Praxis sollte ein ganzheitlicher Ansatz aus technischen und organisatorischen Massnahmen, der Unterstützung durch Experten und der Awareness der Mitarbeitenden angestrebt werden. Diese lässt sich stärken, indem das Wissen und die Fähigkeiten der Mitarbeitenden bezüglich IT-Sicherheit trainiert werden. Es gibt da inzwischen gute Instrumente, seien es Schulungen im Unternehmen durch interne oder externe Experten oder E-Learning-Tools, die auch für grosse Firmen wie Spitäler skalierbar sind.
Sicherheit braucht einen ganzheitlichen Ansatz
HIN unterstützt Gesundheitsfachpersonen und Institutionen mit einem ganzheitlichen Ansatz dabei, sich vor Cyberkriminalität zu schützen und ihrer gesetzlichen Pflicht zum aktiven Datenschutz nachzukommen:
HIN Awareness Schulung Die individualisierbare Awareness Schulung durch einen HIN IT-Sicherheitsexperten vor Ort zielt auf das Risikobewusstsein der Mitarbeitenden ab, zeigt Schutzmassnahmen auf und stärkt die Informationssicherheit im Unternehmen.
HIN Awareness Portal Für die kontinuierliche betriebliche Weiterbildung bietet HIN ein E-Learning-Tool an. Mit dem HIN Awareness Portal werden Mitarbeitende orts- und zeitunabhängig anhand von verschiedenen Modulen gezielt sensibilisiert.
HIN Endpoint Security Umfassender Schutz von Endgeräten durch modernste Schutzsoftware und Monitoring durch das HIN Security Operation Center. Bei einem Virenbefall greifen Sicherheitsexperten ein und unterstützen bei der Bewältigung.