Der Mitarbeiter als schwächstes Glied der Security-Kette

Seine Kernaussage:

„If we can’t get people to follow these rules, what hope do we have for computer security training?“

bezieht sich dabei auf solch einfache Dinge wie korrektes Händewaschen zur Infektionsvermeidung, gesundes Essen statt Fastfood etc.

Ist Security Awareness also sinnlos?

Zu einem gewissen Grad stimme ich seinen Aussagen zu. Auch hierzulande wissen eigentlich alle, dass Fastfood nicht besonders gesund ist. Trotzdem essen wir es und bestimmte Volkskrankheiten hängen unmittelbar mit dem Konsumverhalten zusammen.

Dennoch glaube ich, dass die Aussage zu pauschal getroffen ist. Ist es nicht so, dass die meisten beim Händewaschen nicht wie bspw. hier von der BZGA beschrieben vorgehen, weil es schlicht länger dauert? Alles hängt mit Bequemlichkeit oder Komfort zusammen. Und wenn wir nicht alle schonmal Bilder eines Crashtests gesehen hätten, würden wir uns heute noch nicht beim Autofahren anschnallen.

Aus meiner Sicht ist Security Awareness beim Anwender also viel mehr eine Frage der Motivation und des Aufwands für den Einzelnen:

• Nur wer betroffen ist (auch indirekt), ist motiviert – Die Anwender sollten den Crashtest gesehen haben.
• Die Mittel sich zu schützen müssen einfach und verständlich sein.
• Der Komfort darf nicht leiden.

Leider haben Security Features immer die Einschränkung, dass sie mehr oder weniger den Komfort des Anwenders beeinträchtigen. Also müssen die Anwender den Nutzen solcher Maßnahmen erkennen und begrüßen.

Der Vergleich mit dem Händewaschen hinkt auch deshalb, weil es sich nicht um ein „Sicherheitsthema“ im englischen „Security“-Sinn sondern eher um den Bereich „Safety“ (also Betriebs- oder Arbeitssicherheit) handelt. Leider wird Safety und Security selbst bei Muttersprachlern oft vermengt.

Wie man die genannte Betroffenheit wecken kann beschreibe ich in Kürze in einem weiteren Blog-Beitrag.