Die Crux mit der IT-Sicherheit

Gespräche über Technik oder IT spalten. Meist vertieft sich eine kleine Gruppe in nerdige Fachgespräche, der Grossteil zieht sich aus den Gesprächen zurück. Dann heisst es: „zu kompliziert“ oder „das ist nicht mein Thema“. Bei Gesprächen über Quantenphysik ein nachvollziehbarer Grund, bei dem nur die wenigsten mitreden können. Anders liegt der Fall bei der IT-Sicherheit. Denn IT durchzieht mittlerweile unseren Alltag – sowohl im Privatleben als auch im Beruf. Das Thema betrifft also uns alle – unabhängig von Alter, Geschlecht, Beruf oder anderen Faktoren. Schliesslich geht es hier um nichts Anderes als die Sicherheit der digitalen Identität – angefangen vom sicheren Online-Banking-Account über geschützte Social-Media-Kanäle bis hin zu persönlichen Daten in einer Cloud. Bei Unternehmen ist die IT-Sicherheit ganz eng mit dem wirtschaftlichen Überleben verknüpft – nicht selten steht bei Produktionsausfällen oder Datenspionage infolge einer Cyberattacke die Existenz einer Firma auf der Kippe. Allerdings sind sich die meisten Mitarbeitende ihrer Verantwortung nicht bewusst. Denn ein falscher Klick reicht aus, und eine Cyberattacke nimmt ihren Lauf. Daher besteht beim Schutz von Computern, Mobilgeräten und IT-Systemen vor Cyberattacken Nachholbedarf, - auch, weil es für einen Grossteil der Menschen zu kompliziert ist.

Die unsichtbare Gefahr

Das Problem der IT-Sicherheit lässt sich gut mit einem Beispiel aus der Medizin veranschaulichen. In Hochsicherheitslaboren rund um die Welt forschen Wissenschaftler an Viren und Bakterien, die in der Lage sind, ganze Landstriche zu entvölkern, zum Beispiel Ebola- oder Lassaviren. Mit einem Blick durchs Mikroskop wird die Gefahr sichtbar. Yersinia pestis – auch bekannt als die Pest – besteht aus länglichen Gebilden, die einer Kapsel ähneln. Hinzu kommt ein anderer Faktor: Viele Krankheiten, wie die Pest, grippale Infekte, Masern oder Windpocken lassen sich bereits durch äusserliche Symptome erkennen. Wer hohes Fieber und starken Husten hat, sollte eine Arztpraxis aufsuchen. Darüber hinaus schützen wir uns etwa durch Impfungen vor Krankheiten oder nutzen andere Hygienemassnahmen. Dazu gehört auch der Einsatz medizinischer Masken in der immer noch andauernden Corona-Pandemie.

Tief in uns Menschen ist ein generelles Schutzbedürfnis verankert, welches uns vor vielen Gefahren schützt. Es basiert auf unseren ureigenen Instinkten. Sie warnen uns vor verschiedenen Gefahren So erkennen unser Geschmacks- und Geruchssinn zum Beispiel, ob eine Speise noch geniessbar ist. Aber: Das gilt leider nicht für alle Gefahren. Cyberkriminalität kann man weder hören noch schmecken, riechen oder sehen. Sichtbar sind am Ende nur die bösen Folgen eines erfolgreichen Angriffs, wie etwa bei einer Ransomware-Infektion der schwarze Bildschirm mit der Lösegeldforderung. Was können wirn also tun? Lassen sich unsere Instinkte trainieren, damit wir auch Cyberrisiken erkennen?

Im Laufe unseres Lebens lernen wir Menschen dazu und passen unser Verhalten aufgrund dieser individuellen Erfahrungen immer wieder an. Das typische Beispiel: Das Kind, das auf eine heisse Herdplatte fasst. Mittlerweile sind Bedrohungen im Bereich der Cyber Security allgegenwärtig. Daher müssen wir uns diesem Thema verstärkt zuwenden und lernen, wie wir die Gefahren erkennen und wie wir uns vor ihnen schützen können. Dafür müssen wir Wissen aufbauen, um es instinktiv als Reaktionsmuster abrufen zu können.

IT-Sicherheit ist oft unverständlich

Ganz unsichtbar ist Schadsoftware nicht. Auch sie lässt sich – ähnlich wie Krankheitserreger – analysieren. In der IT übernehmen das Virenanalysten, aber damit hören die Gemeinsamkeiten auch schon auf. Ein Blick auf eine der zahlreichen Emotet-Varianten mit einer Wurm-Komponente zeigt Zeilen voller Programmcode mit Sonderzeichen und Ziffern. Laien stellen sich die Frage: Ist das wirklich Schadcode oder nur wahllos dahin getippter Buchstaben-Ziffern-Zeichen-Salat? Während das Pest-Bakterium im Hochsicherheitslabor unter dem Mikroskop deutlich erkennbar ist, bleibt der Programmcode für Laien unverständlich. Der Virenanalyst hingegen weiss, welcher Programmcode welche Schadfunktion ermöglicht und welche Bedrohung er für Computer und Netzwerke darstellt.

Ein zusätzliches Problem besteht auf sprachlicher Ebene. Die Fachsprache der IT-Sicherheit enthält viele Anglizismen. Ein häufig genutzter Begriff ist Malware, zusammengesetzt aus „mal“ für malicous (gefährlich) und „ware“ für Software. Virenanalysten und andere Security-Experten nutzen diese Begriffe, sie sind international vernetzt und ihre gemeinsame Sprache ist Englisch.  Allerdings zeigt sich immer wieder, dass viele Menschen IT-Sicherheitsthemen nur schlecht verstehen, wenn sie nicht nur zu knapp, sondern auch oft mit Hilfe von vielen Anglizismen vermittelt werden.

Das Vogel-Strauss-Prinzip

Es ist Teil der menschlichen Natur, dass wir Menschen Schwierigkeiten gezielt aus dem Weg gehen. Gibt es für ein Vorhaben eine einfache und eine schwerere Variante, entscheiden sich Menschen in der Regel für den einfachen Weg. Warum sollten wir uns also mit einem komplizierten Thema wie IT-Sicherheit auseinandersetzen und versuchen sie zu verstehen, wenn Surfen und Chatten doch ein viel schönerer Zeitvertreib sind? Zwar nutzen viele Menschen mittlerweile einen Virenscanner - häufig in einer kostenlosen Basis-Version. Darüber hinaus beschäftigen wir uns nicht weiter mit dem Thema – frei nach dem Motto „installieren und vergessen“. Dabei reicht die alleinige Installation einer Security-Lösung längst nicht mehr aus. Es muss mehr passieren, damit die digitale Identität sicher vor Cyberattacken ist. Wir müssen ein Verständnis für IT-Sicherheit entwickeln und uns im Klaren darüber sein, dass Cyberkriminalität für jeden Menschen und auch für Unternehmen ein ernstes Problem ist.