Ein Plädoyer gegen die "Schwachstelle Mensch"

Es ist einfach nur absurd - und doch leider noch immer Realität. Wenn es etwa um sexuelle Gewalt geht, kommt immer wieder die Frage auf, wie das Opfer gekleidet war. Und vor allem, wie sich der Angreifer wohl verhalten hätte, wenn das Opfer etwas anderes getragen hätte. Das ist schlicht kein Faktor! Solche Fragen sind immer haltlos - unabhängig davon, was die betroffene Person anhatte. Denn kein Kleidungsstück ist eine Einladung für Gewalt oder eine Entschuldigung dafür. Dieses Vorgehen nennt sich "Victim Blaming". Eigentlich ist klar, wer die Schuld trägt. Aber man versucht, diese Schuld abzuschwächen, indem man sie teilweise oder vollständig dem Opfer zuschreibt. Dies ist verbunden mit sehr realen und lang anhaltenden Konsequenzen für die Opfer, wie etwa Traumafolgestörungen. Im schlimmsten Fall glauben sie irgendwann selbst, dass sie eine Mitschuld tragen. Etwas, das ich in meinem persönlichen Umfeld leider miterleben musste.

Es ist einfach nur absurd - und doch zeigt sich ein vergleichbares Muster auch in der Cybersecurity-Branche. Etwas läuft schief, ein Unternehmen wird gehackt. Wer ist Schuld? Nein, nicht der Hacker. Die Finger zeigen auf einen der Mitarbeitenden. Die "Schwachstelle Mensch" in der Abwehrkette. Natürlich lässt sich nicht ignorieren, dass oft ein falscher Klick am Anfang einer Malware-Infektion steht. Das Problem liegt aber in der Schuldzuweisung, die daraus folgt: "Du warst wohl wieder auf komischen Websites", "Du weisst doch, dass du keine seltsamen E-Mails öffnen sollst", "Wie konntest du nur darauf hereinfallen?" oder: "Also, ich hätte das nicht angeklickt!" Das Unternehmen betrachtet die Mitarbeitenden nicht als Teil der Lösung, weil sie etwas Verdächtiges gemeldet haben. Stattdessen werden sie als Teil des Problems behandelt. So eine Reaktion hat zweierlei Konsequenzen. Zum einen liegt der Fokus nicht mehr auf dem eigentlichen Problem, sondern auf den betroffenen Mitarbeitenden, und zum anderen eignen sich diese falsche Verhaltensmuster an. Aus Angst vor einer erneuten Drangsalierung werden sie das nächste Mal wohl nichts sagen, sollte ihnen auf ihren Rechnern etwas Verdächtiges auffallen. Wer auf andere zeigt (und auch der, auf den man zeigt), vergisst, dass alle im selben Boot sitzen - in einem Meer voller Bedrohungen. Das Team vergisst, dass eigentlich alle in einer geschlossenen Phalanx stehen sollten - alle schützen alle, statt alle für sich oder alle gegen alle. Wohl auch aufgrund dieser Schuldzuweisung wird es heute als Ausdruck von Schwäche gesehen, wenn jemand eingesteht, dass er oder sie in einer Situation ein Opfer ist.

Es ist einfach nur absurd - niemand ist schwach, nur weil er oder sie auf eine Masche hereingefallen ist, die genau zu diesem Zweck entwickelt wurde. Eine Masche, die stets angepasst wird, wenn sie nicht zum Erfolg führt. Es ist doch vielmehr ein Ausdruck von Stärke, sagen zu können: "Das ist mir passiert, aber ich lasse mich nicht unterkriegen; ich bin immer noch da!" Etwas, das sich auch Firmen zu Herzen nehmen und zugeben sollten, wenn sie gehackt werden. Denn irgendwann kommt es immer ans Licht. Und es ist doch besser, wenn es in einem Rahmen geschieht, den man selbst kontrolliert. Statt sich zum Spielball anderer zu machen.

Das Ganze ist einfach nur absurd - und jeder kann etwas dagegen tun. Die Kleidung ist egal. Wer den Phishing-Link anklickt, ist egal. Und ein Opfer ist nicht schwach. Sehen Sie ein, wie stark Sie sind - Ihnen zuliebe und für die anderen in Ihrem Team!

Dies ist das Editorial des Cybersecurity Special 2022. Die spannenden Beiträge zu aktuellen Bedrohungen und Abwehrstrategien sowie ein Interview mit Oneconsult-CEO Tobias Ellenberger und noch viel mehr finden Sie hier im Onlinedossier zur Themenpublikation.