Sponsored

Faktor Mensch: die psychologische Dimension der IT-Sicherheit

Viele sicherheitsrelevanten Vorfälle in der IT-Sicherheit sind auf Fehlverhalten der Menschen vor dem Computer zurückzuführen. Die psychologische Forschung dazu steht noch am Anfang. Wir haben mit Jona Karg von HIN über die Ergebnisse seiner Untersuchung unter Gesundheitsfachpersonen gesprochen.

, 10. August 2020 um 06:29
image
  • trends
  • digitalisierung
  • it
  • it-sicherheit
  • hin
Herr Karg, was hat IT-Sicherheit mit Psychologie zu tun?
Jona Karg: Durch die fortschreitende Digitalisierung des Gesundheitswesens können Cyberangriffe gravierende, wenn nicht gar lebensbedrohliche Folgen haben. Die Angriffswege und Tricks der Cyberkriminellen sind inzwischen gut dokumentiert. Was wir aber noch zu wenig verstehen, ist, warum sie immer wieder erfolgreich sind. Und genau hier kommt eben die Psychologie ins Spiel.
Sie haben im Rahmen einer wissenschaftlichen Arbeit Gesundheitsfachpersonen zum Thema befragt. Was ist Ihre Haupterkenntnis?
Dass das Wissen den wichtigsten menschlichen Faktor in der IT-Sicherheit darstellt!
Demnach gibt es verschiedene «menschliche Faktoren»? Erklären Sie!
Es gibt in der Forschung das relativ gut etablierte Konstrukt der Information Security Awareness (ISA). Dieses besteht aus drei Variablen: das Wissen und die Einstellung, die auf das Konstrukt einwirken, und das Verhalten, das aus dem Konstrukt heraus wirkt. Es zeigte sich in meiner Untersuchung, dass von diesen drei Faktoren das Wissen die grösste signifikante Korrelation mit der ISA besitzt.
Jona Karg
Jona Karg verfügt über einen Abschluss in angewandter Psychologie. In mehreren wissenschaftlichen Arbeiten erforscht er die Rolle des Menschen in der IT-Sicherheit. Bei der Health Info Net AG (HIN) ist er für die Weiterentwicklung der Awareness Schulungen sowie des Awareness E-Learnings verantwortlich.
Spontan würde man wohl eher auf das Verhalten als wichtigste Einflussgrösse tippen …
Zwar ist das Verhalten in der Praxis der entscheidende exponierende Faktor. In der ISA, also dem Bewusstsein für die Gefahren von Cyberkriminalität, ist das Verhalten aber lediglich einer von mehreren Faktoren, wobei das Verhalten nicht immer bewusst gesteuert wird. So deutet vieles darauf hin, dass das Bewusstsein für Herausforderungen und Risiken der Informationssicherheit vorwiegend durch das Wissen – oder Nichtwissen – über dieses Thema beeinflusst wird. Ich muss dazu sagen, dass sich meine Untersuchung auf den deutschen Sprachraum und das Gesundheitswesen beschränkt und dass sie auf einer relativ kleinen Stichprobe beruht. Es wäre darum verfrüht, Ergebnisse auf dieser Basis zu verallgemeinern.
Gibt es individuelle Einflüsse oder «ticken» wir Menschen da alle gleich?
Auf der Ebene der Persönlichkeitsfaktoren deutet eine höhere Risikobereitschaft des Individuums auf eine erhöhte Wahrscheinlichkeit hin, dass die Person bereit ist auf Links in E-Mails von Unbekannten zu klicken. Im Alltag zeigt sich eine höhere Risikobereitschaft beispielsweise an abenteuerlicheren Hobbys.
Heisst das, Mitarbeitende, die beispielsweise Bungee-Jumping als Hobby haben, stellen ein Risiko für die IT-Sicherheit eines Unternehmens dar?
Nein, so direkt kann man nicht vom einen auf das andere schliessen. Dennoch sollten Unternehmen – gerade im Gesundheitswesen – organisatorische und technische Massnahmen ergreifen, damit Anwendende erst gar nicht in Versuchung geraten oder die Auswirkungen von Fehlverhalten zumindest minimiert werden können.
Führen solche Weisungen, Verbote und technische Einschränkungen – so sie denn beachtet und nicht umgangen werden – nicht zu einer Misstrauenskultur?
Das hat damit nichts zu tun. Im Strassenverkehr sind wir es ja auch gewohnt, dass wir innerorts nicht so schnell fahren dürfen wie ausserorts. Leider sehen wir immer noch oft, dass normale Benutzer beispielsweise über Administratorenrechte verfügen, obwohl sie diese nicht für ihre Arbeit benötigen und das bei einem Virenbefall fatale Auswirkungen haben kann. Um beim Vergleich von vorher zu bleiben, wäre dies in etwa eine Geschwindigkeit von 120 km/h innerorts – es kann gut gehen, erhöht das Risiko jedoch exponentiell. Hierbei kann eine Praxis mit einer einfachen Regel – dem sogenannten «Least-Privilege-Prinzip» – die Berechtigungen einschränken, ohne dass die Benutzer sich gemassregelt fühlen.
Was kann eine Praxis oder ein Heim sonst noch tun?
Auch eine gute Firewall ist unbedingt zu empfehlen. Diese agiert im Hintergrund und wird vom Benutzer nur wahrgenommen, wenn er zum Beispiel einen unsicheren Link anklickt. Letztlich muss die Balance gefunden werden, die Mitarbeitenden nicht an ihrer Arbeit zu hindern und diese gleichzeitig nicht unnötigen Risiken auszusetzen. Hierbei sind wir auf eine Fehlerkultur angewiesen, die uns ermöglicht zu erfahren, wo Mitarbeitende solchen Risiken begegnen.
Gibt es eine Erkenntnis in Ihrer Untersuchung, die Sie überrascht hat?
Ja, und zwar dass eine positive Einstellung zum Thema IT-Sicherheit das Verhalten einer Person eher negativ zu beeinflussen scheint. Über dieses Ergebnis war ich durchaus etwas erstaunt, es bedarf aber einer genaueren Prüfung in weiterführender Forschung, zumal sich dies lediglich als marginal signifikant zeigte. Ich kann mir dies aber so erklären, dass hier eine kognitive Verzerrung zum Tragen kommt: Frei nach dem Motto «ich bin gut vorbereitet, also wird es mich nicht betreffen» betrachtet man die IT-Sicherheit unbewusst als selbstverständlich und handelt entsprechend nachlässiger.
Also sind selbst sensibilisierte Mitarbeitende als «Schwachstelle» zu betrachten?
Im Gegenteil! Der eigentliche Schwachpunkt ist nicht der Mensch selbst, sondern die Schnittstelle zwischen Mensch und Technik. Daher ist es wichtig, dass Systeme so benutzerfreundlich entwickelt werden, dass die Datenverarbeitung dem Menschen dient und nicht umgekehrt. Zudem zeigen etablierte sicherheitspsychologische Felder wie beispielsweise die Aviatik eindrücklich, dass gut ausgebildete Mitarbeitende das Potenzial haben, dort erfolgreich einzugreifen, wo – was auch heute immer wieder der Fall ist – die Technik versagt.
Was empfehlen Sie Arbeitgebern im Gesundheitswesen?
In der Praxis sollte ein ganzheitlicher Ansatz aus technischen und organisatorischen Massnahmen, der Unterstützung durch Experten und der Awareness der Mitarbeitenden angestrebt werden. Diese lässt sich stärken, indem das Wissen und die Fähigkeiten der Mitarbeitenden bezüglich IT-Sicherheit trainiert werden. Es gibt da inzwischen gute Instrumente, seien es Schulungen im Unternehmen durch interne oder externe Experten oder E-Learning-Tools, die auch für grosse Firmen wie Spitäler skalierbar sind.

Sicherheit braucht einen ganzheitlichen Ansatz

HIN unterstützt Gesundheitsfachpersonen und Institutionen mit einem ganzheitlichen Ansatz dabei, sich vor Cyberkriminalität zu schützen und ihrer gesetzlichen Pflicht zum aktiven Datenschutz nachzukommen:
HIN Awareness Schulung
Die individualisierbare Awareness Schulung durch einen HIN IT-Sicherheitsexperten vor Ort zielt auf das Risikobewusstsein der Mitarbeitenden ab, zeigt Schutzmassnahmen auf und stärkt die Informationssicherheit im Unternehmen.
HIN Awareness Portal
Für die kontinuierliche betriebliche Weiterbildung bietet HIN ein E-Learning-Tool an. Mit dem HIN Awareness Portal werden Mitarbeitende orts- und zeitunabhängig anhand von verschiedenen Modulen gezielt sensibilisiert.
HIN Endpoint Security
Umfassender Schutz von Endgeräten durch modernste Schutzsoftware und Monitoring durch das HIN Security Operation Center. Bei einem Virenbefall greifen Sicherheitsexperten ein und unterstützen bei der Bewältigung. 
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Immer mehr Pillen – und immer mehr Komplementär-Medizin

Der Gebrauch von Schmerzmitteln hat sich in den letzten drei Jahrzehnten verdoppelt. Der Gebrauch von Physiotherapie ebenfalls. Und so weiter.

image

Erste Transplantation mit«DaVinci-Xi-System» am Kantonsspital St. Gallen

Erstmals wurde am KSSG die Niere eines Lebendspenders mit Hilfe chirurgischer Robotik entnommen.

image

Effizienz durch digitale Prozesse

Schwarzwald-Baar Klinikum meistert Hürden der Anbindung von HYDMedia an das LE-Portal

image

Knieprothetik: KSBL setzt auf J&J Robotertechnik

Damit kann eine noch höhere Präzision erreicht werden.

image

Diese klinischen Studien könnten 2024 den Durchbruch schaffen

Neue Impfungen, eine Stammzelltherapie, ein vielfältiger Einsatz von Künstlicher Intelligenz: All das könnte sich demnächst durchsetzen.

image

Forschung: Brustkrebs-Früherkennung mit Fingerabdruck?

Ein Fingerabruck könnte in Zukunft die Mammografie zur Brustkrebs-Früherkennung ersetzen.

Vom gleichen Autor

image

Viktor 2023: Ein Pflegefachmann macht Hoffnung als Politiker

Patrick Hässig war 18 Jahre Radiomoderator, dann ging er erst in die Pflege – und dann in den Nationalrat. Nun erhielt er den «Viktor» als beliebtester Gesundheitspolitiker.

image

Traditioneller Medinside Frühstücksevent

Verpassen Sie nicht unseren traditionellen Frühstücksevent 25. Oktober 2023 in Zürich. Dieses Jahr mit spannenden Themen und Referenten.

image

Viktor 2022: Nominieren Sie jetzt!

Würdigen Sie aussergewöhnliche Leistungen im Gesundheitswesen 2022 und nominieren Sie bis Ende Januar Ihren persönlichen Favoriten.