Sponsored

Faktor Mensch: die psychologische Dimension der IT-Sicherheit

Viele sicherheitsrelevanten Vorfälle in der IT-Sicherheit sind auf Fehlverhalten der Menschen vor dem Computer zurückzuführen. Die psychologische Forschung dazu steht noch am Anfang. Wir haben mit Jona Karg von HIN über die Ergebnisse seiner Untersuchung unter Gesundheitsfachpersonen gesprochen.

, 10. August 2020, 06:29
image
  • trends
  • digitalisierung
  • it
  • it-sicherheit
  • hin
Herr Karg, was hat IT-Sicherheit mit Psychologie zu tun?
Jona Karg: Durch die fortschreitende Digitalisierung des Gesundheitswesens können Cyberangriffe gravierende, wenn nicht gar lebensbedrohliche Folgen haben. Die Angriffswege und Tricks der Cyberkriminellen sind inzwischen gut dokumentiert. Was wir aber noch zu wenig verstehen, ist, warum sie immer wieder erfolgreich sind. Und genau hier kommt eben die Psychologie ins Spiel.
Sie haben im Rahmen einer wissenschaftlichen Arbeit Gesundheitsfachpersonen zum Thema befragt. Was ist Ihre Haupterkenntnis?
Dass das Wissen den wichtigsten menschlichen Faktor in der IT-Sicherheit darstellt!
Demnach gibt es verschiedene «menschliche Faktoren»? Erklären Sie!
Es gibt in der Forschung das relativ gut etablierte Konstrukt der Information Security Awareness (ISA). Dieses besteht aus drei Variablen: das Wissen und die Einstellung, die auf das Konstrukt einwirken, und das Verhalten, das aus dem Konstrukt heraus wirkt. Es zeigte sich in meiner Untersuchung, dass von diesen drei Faktoren das Wissen die grösste signifikante Korrelation mit der ISA besitzt.
Jona Karg
Jona Karg verfügt über einen Abschluss in angewandter Psychologie. In mehreren wissenschaftlichen Arbeiten erforscht er die Rolle des Menschen in der IT-Sicherheit. Bei der Health Info Net AG (HIN) ist er für die Weiterentwicklung der Awareness Schulungen sowie des Awareness E-Learnings verantwortlich.
Spontan würde man wohl eher auf das Verhalten als wichtigste Einflussgrösse tippen …
Zwar ist das Verhalten in der Praxis der entscheidende exponierende Faktor. In der ISA, also dem Bewusstsein für die Gefahren von Cyberkriminalität, ist das Verhalten aber lediglich einer von mehreren Faktoren, wobei das Verhalten nicht immer bewusst gesteuert wird. So deutet vieles darauf hin, dass das Bewusstsein für Herausforderungen und Risiken der Informationssicherheit vorwiegend durch das Wissen – oder Nichtwissen – über dieses Thema beeinflusst wird. Ich muss dazu sagen, dass sich meine Untersuchung auf den deutschen Sprachraum und das Gesundheitswesen beschränkt und dass sie auf einer relativ kleinen Stichprobe beruht. Es wäre darum verfrüht, Ergebnisse auf dieser Basis zu verallgemeinern.
Gibt es individuelle Einflüsse oder «ticken» wir Menschen da alle gleich?
Auf der Ebene der Persönlichkeitsfaktoren deutet eine höhere Risikobereitschaft des Individuums auf eine erhöhte Wahrscheinlichkeit hin, dass die Person bereit ist auf Links in E-Mails von Unbekannten zu klicken. Im Alltag zeigt sich eine höhere Risikobereitschaft beispielsweise an abenteuerlicheren Hobbys.
Heisst das, Mitarbeitende, die beispielsweise Bungee-Jumping als Hobby haben, stellen ein Risiko für die IT-Sicherheit eines Unternehmens dar?
Nein, so direkt kann man nicht vom einen auf das andere schliessen. Dennoch sollten Unternehmen – gerade im Gesundheitswesen – organisatorische und technische Massnahmen ergreifen, damit Anwendende erst gar nicht in Versuchung geraten oder die Auswirkungen von Fehlverhalten zumindest minimiert werden können.
Führen solche Weisungen, Verbote und technische Einschränkungen – so sie denn beachtet und nicht umgangen werden – nicht zu einer Misstrauenskultur?
Das hat damit nichts zu tun. Im Strassenverkehr sind wir es ja auch gewohnt, dass wir innerorts nicht so schnell fahren dürfen wie ausserorts. Leider sehen wir immer noch oft, dass normale Benutzer beispielsweise über Administratorenrechte verfügen, obwohl sie diese nicht für ihre Arbeit benötigen und das bei einem Virenbefall fatale Auswirkungen haben kann. Um beim Vergleich von vorher zu bleiben, wäre dies in etwa eine Geschwindigkeit von 120 km/h innerorts – es kann gut gehen, erhöht das Risiko jedoch exponentiell. Hierbei kann eine Praxis mit einer einfachen Regel – dem sogenannten «Least-Privilege-Prinzip» – die Berechtigungen einschränken, ohne dass die Benutzer sich gemassregelt fühlen.
Was kann eine Praxis oder ein Heim sonst noch tun?
Auch eine gute Firewall ist unbedingt zu empfehlen. Diese agiert im Hintergrund und wird vom Benutzer nur wahrgenommen, wenn er zum Beispiel einen unsicheren Link anklickt. Letztlich muss die Balance gefunden werden, die Mitarbeitenden nicht an ihrer Arbeit zu hindern und diese gleichzeitig nicht unnötigen Risiken auszusetzen. Hierbei sind wir auf eine Fehlerkultur angewiesen, die uns ermöglicht zu erfahren, wo Mitarbeitende solchen Risiken begegnen.
Gibt es eine Erkenntnis in Ihrer Untersuchung, die Sie überrascht hat?
Ja, und zwar dass eine positive Einstellung zum Thema IT-Sicherheit das Verhalten einer Person eher negativ zu beeinflussen scheint. Über dieses Ergebnis war ich durchaus etwas erstaunt, es bedarf aber einer genaueren Prüfung in weiterführender Forschung, zumal sich dies lediglich als marginal signifikant zeigte. Ich kann mir dies aber so erklären, dass hier eine kognitive Verzerrung zum Tragen kommt: Frei nach dem Motto «ich bin gut vorbereitet, also wird es mich nicht betreffen» betrachtet man die IT-Sicherheit unbewusst als selbstverständlich und handelt entsprechend nachlässiger.
Also sind selbst sensibilisierte Mitarbeitende als «Schwachstelle» zu betrachten?
Im Gegenteil! Der eigentliche Schwachpunkt ist nicht der Mensch selbst, sondern die Schnittstelle zwischen Mensch und Technik. Daher ist es wichtig, dass Systeme so benutzerfreundlich entwickelt werden, dass die Datenverarbeitung dem Menschen dient und nicht umgekehrt. Zudem zeigen etablierte sicherheitspsychologische Felder wie beispielsweise die Aviatik eindrücklich, dass gut ausgebildete Mitarbeitende das Potenzial haben, dort erfolgreich einzugreifen, wo – was auch heute immer wieder der Fall ist – die Technik versagt.
Was empfehlen Sie Arbeitgebern im Gesundheitswesen?
In der Praxis sollte ein ganzheitlicher Ansatz aus technischen und organisatorischen Massnahmen, der Unterstützung durch Experten und der Awareness der Mitarbeitenden angestrebt werden. Diese lässt sich stärken, indem das Wissen und die Fähigkeiten der Mitarbeitenden bezüglich IT-Sicherheit trainiert werden. Es gibt da inzwischen gute Instrumente, seien es Schulungen im Unternehmen durch interne oder externe Experten oder E-Learning-Tools, die auch für grosse Firmen wie Spitäler skalierbar sind.

Sicherheit braucht einen ganzheitlichen Ansatz

HIN unterstützt Gesundheitsfachpersonen und Institutionen mit einem ganzheitlichen Ansatz dabei, sich vor Cyberkriminalität zu schützen und ihrer gesetzlichen Pflicht zum aktiven Datenschutz nachzukommen:
HIN Awareness Schulung
Die individualisierbare Awareness Schulung durch einen HIN IT-Sicherheitsexperten vor Ort zielt auf das Risikobewusstsein der Mitarbeitenden ab, zeigt Schutzmassnahmen auf und stärkt die Informationssicherheit im Unternehmen.
HIN Awareness Portal
Für die kontinuierliche betriebliche Weiterbildung bietet HIN ein E-Learning-Tool an. Mit dem HIN Awareness Portal werden Mitarbeitende orts- und zeitunabhängig anhand von verschiedenen Modulen gezielt sensibilisiert.
HIN Endpoint Security
Umfassender Schutz von Endgeräten durch modernste Schutzsoftware und Monitoring durch das HIN Security Operation Center. Bei einem Virenbefall greifen Sicherheitsexperten ein und unterstützen bei der Bewältigung. 
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Richtung Wolke 6

Klinikverbund Südwest digitalisiert die Intensivstation und nimmt wichtige Hürde der Digitalisierungsstrategie.

image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

image

Ist das die Lösung für den Transport von Laborproben?

Bisher scheiterten viele Versuche mit Transportdrohnen. Doch die Laborgruppe Dr. Risch versucht es nun erneut.

image

Deshalb heissen Affenpocken nun Mpox

Das kommt sehr selten vor: Die WHO hat eilig den Namen einer Krankheit geändert. Weil «Affenpocken» zum Schmähwort geworden ist.

image

KSW unter Zeitdruck mit Informatik-Schulungen

Mit der Einführung des Klinik­informations­systems müssen am Kantonsspital Winterthur rasch viele Schulungen durchgeführt werden. Aufgrund von Personalmangel wird auf einen externen Anbieter zurückgegriffen.

image

Der ORBIS U Frame wird pilotiert

«Willkommen bei ORBIS» – seit vielen Jahren begrüsst ORBIS NICE seine Anwender mit diesen Worten. Als Marktführer im deutschsprachigen Raum hat ORBIS täglich viele tausend Nutzer aus allen Arbeitsbereichen eines Krankenhauses.

Vom gleichen Autor

image

Viktor 2022: Nominieren Sie jetzt!

Würdigen Sie aussergewöhnliche Leistungen im Gesundheitswesen 2022 und nominieren Sie bis Ende Januar Ihren persönlichen Favoriten.

image

Effizienz im digitalen Zeitalter dank SHIP

Wenn sich Spitäler um Administratives kümmern, geht wertvolle Zeit verloren. Zeit, die für Patientinnen und Patienten fehlt. Das geht effizienter: SHIP vereinfacht das Schweizer Gesundheitswesen und stellt sicher, dass alle Beteiligten zum richtigen Zeitpunkt die richtigen Informationen haben.

image

Integrierter Stroke-Patientenpfad: Denkanstösse zur Optimierung des aktuellen Stroke-Patientenpfades in der Schweiz

Überall wird von Value-based Healthcare [VBHC] und integrierter Versorgung gesprochen. Doch wie geht das? Basierend auf Interviews mit Expert:innen und aktueller Literatur haben wir VBHC- Prinzipien auf den Stroke-Patientenpfad angewandt.