Wahrnehmung der und Verantwortung für die Cybersicherheit
Ist Cybersicherheit ein Grundbedürfnis? – Sichtweise eines Experten für IT- und Cybersecurity
Die digitale Transformation hat allen Arten von Vermögenswerten eine völlig neue Bedeutung verliehen. Wir haben IoT-Geräte und Anwendungen die von den Menschen und automatisierten Systemen betrieben beziehungsweise verwendet werden, um Entscheidungen für Geschäftsprozesse zu treffen. Die Digitalisierung kann sich jedoch auf die persönliche Sicherheit, die finanzielle Sicherheit, die Gesundheit und das Wohlbefinden, die Sicherheit von Unternehmen und vieles mehr auswirken. Diese Auswirkungen können aus einer psychologischen und einer Marktperspektive betrachtet werden. Wenn mit irgendeinem der Geräte in einem komplexen digitalen Ökosystem etwas passiert, kann die Sicherheit der Menschen sehr wohl gefährdet sein oder es kann zumindest zu Verlusten ihres Eigentums kommen.
Leider hat sich unser Gehirn aus den Erfahrungen unserer Vorfahren in den letzten Jahrtausenden heraus entwickelt. Es hatte daher keine Zeit, sich an die Cyberwelt anzupassen. Die menschlichen Sinne wie Geschmack, Tastsinn, Wahrnehmung des Körpers, Sehen, Hören und Riechen sind nicht für die Cyberwelt gemacht. Daher, um ein Gefühl für Cyberbedrohungen zu haben, müssen wir eine entsprechende Realität schaffen, die auf unseren tief verwurzelten Sicherheitsbedürfnissen beruht, seien sie persönlicher, emotionaler, finanzieller oder gesundheitlicher Natur. Dies ist ein wirklich schwieriges Unterfangen. Die meisten Menschen auf diesem Planeten haben weder das Wissen noch das Bewusstsein, um überhaupt eine Cyber-Sicherheitsrealität zu entwerfen.
Die zweite Ebene der Maslowschen Bedürfnishierarchie ist die der Sicherheitsbedürfnisse. Sie umfasst persönliche Sicherheit, emotionale Sicherheit, finanzielle Sicherheit, Gesundheit und Wohlbefinden, Sicherheitsbedürfnisse gegen Unfälle etc.. Jedoch wenn Sie jemand fragen würde, ob „Cybersicherheit zu diesen Grundbedürfnissen gehören würde“, was würden Sie antworten? Was, wenn die Frage auf den Kontext des Unternehmens, für das Sie arbeiten oder das Ihnen gehört, ausgedehnt würde? Studien über menschliches Verhalten und Informationstechnologie zufolge liegt die Wahrnehmung der Informationssicherheit jedoch weit hinter vielen anderen Faktoren wie Benutzererfahrung, Verfügbarkeit, Funktionalität, Korrektheit oder Interoperabilität zurück. Die meisten dieser Wertkriterien sind so genannte Unzufriedenstellende. Das bedeutet, dass die Menschen einfach erwarten, dass sie da sind, und sie sind nicht glücklich, wenn sie es nicht sind. Oder sie sind zumindest besorgt, wenn es ihnen fehlt. Dann gibt es die Satisfiers oder Motivatoren, bei denen die Menschen es nicht wirklich als ein Bedürfnis ansehen, aber glücklich sind, wenn diese Elemente vorhanden sind. Die Informationssicherheit gilt interessanterweise als ein Genussmittel. Sie führt zu einem Überschuss an Zufriedenheit, wenn sie erfüllt wird, ist aber im Allgemeinen unerwartet oder vom Benutzer nicht gewünscht. Sie ist nicht einmal latent als Wertkriterium vorhanden. Unter all diesen Kriterien hält der kleinste Teil der Menschen sie für das wichtigste Kriterium bei der Wahl eines Produkts.
Unabhängig davon, ob Sie IoT-Geräte herstellen oder nur einsetzen, spiegelt diese Realität wahrscheinlich auch die Situation bei den Entscheidungsträgern in Ihrem Unternehmen wider. Das Problem ist, dass die Personen, die die Entscheidungen für die Investitionen in die IoT-Sicherheit treffen, in der Regel weniger vertraut sind und weniger Verständnis für die vorhandenen Bedrohungspotenziale haben. Was sie also lernen oder was gelernt werden sollte, kann sein:
• Was könnten die menschlichen oder finanziellen Auswirkungen dieser Bedrohungen sein, und wie lange könnten sie sich auswirken?
• Welches ist der Grad der Schwere, der persönliche Schaden und die Schwere der Folgen für Menschen oder Unternehmen außerhalb ihrer Organisation?
• Wie hoch ist die Wahrscheinlichkeit, dass dies geschehen würde? Hier gibt es immer eine wichtige Unterscheidung zwischen wahrscheinlich und möglich
• Wie ist ihr Bewusstsein für diese Fragen? Was ist die mögliche Unmittelbarkeit der negativen Auswirkungen eines Angriffs?
• Wie wird ihnen bewusst gemacht, dass sie auch persönlich verantwortlich und exponiert sind?
Angesichts dieser Perspektiven können wir mit Sicherheit sagen, dass das Risiko des Nichthandelns hoch ist. Die IoT-Sicherheit wird von den Endbenutzern nicht als ein Grundbedürfnis wahrgenommen, ihre Realität wird von unseren einheimischen Sinnen definitiv nicht wahrgenommen, und die Auswirkungen des Fehlens sicherer Vorrichtungen werden meist ex post wahrgenommen, manchmal, wenn es zu spät ist.
Die Verantwortung für die Schaffung von Wahrnehmung und Realität der Cyber-Sicherheit muss deswegen in den Händen von Organisationen liegen, die IoT-Geräte herstellen oder einsetzen, seien es Regierungen, NGOs, Verbände und vor allem öffentliche und private Unternehmen. Diese IoT-Geräte werden von Menschen eingesetzt, unterstützen Dienstleistungen oder Produkte, die von Menschen und anderen Wesen benutzt werden. Ihre Verwendung muss von der ersten Sekunde ihres Bestehens an betrachtet werden, bis sie sogar darüber hinaus aus dem Leben genommen werden. Aus ethischer Sicht können wir sagen, dass dies eine Gelegenheit zum Handeln ist.
Autor:
Ovidiu Ursachi
Ovidiu Ursachi ist Geschäftsführer der masernet GmbH und Experte für IT- und Cybersecurity. Er verfügt über mehr als 15 Jahre Erfahrung in der IT-Branche, im Bereich Cybersecurity, Software-Entwicklung und der Umsetzung von Managed Security Services.