Perspektive Stop Blaming the Users – Start Training the Bosses

Zwei Datenpannen, beide im Frühling: Diese Jahreszeit hat offenbar etwas an sich, das sie zur perfekten Zeit für das Verraten oder Erraten von Militärgeheimnissen macht.

Erst kürzlich hat der Verteidigungsminister der USA, Pete Hegseth, mit anderen hochrangigen US-Regierungsmitgliedern über die Signal-App zu einem US-Militäreinsatz gegen die Huthi-Miliz im Jemen kommuniziert. Das allein wäre noch keine Erwähnung in den Medien wert, denn Signal gehört zu den wenigen Messenger-Produkten, die sichere und verschlüsselte Kommunikation anbieten – hätte man nicht, vermutlich versehentlich, zu der sonst geschlossenen Chatgruppe auch Jeffrey Goldberg, den Chefredakteur von „The Atlantic“, eingeladen. Dieser las zunächst mit und veröffentlichte später den Chatverlauf – immerhin erst nach dem erfolgten Militäreinsatz.

Etwa ein Jahr zuvor ereignete sich in Deutschland eine andere Panne, bei der militärische Geheiminformationen nach draußen durchgesickert sind: Eine Aufnahme aus einer Videokonferenz von Luftwaffen-Offizieren zu einer (hypothetischen) Lieferung von Taurus-Marschflugkörpern an die Ukraine wurde geleakt. Als wäre dies nicht schon peinlich genug, sinnierten die Militärs darin über eine sichere Datenübertragung, bei der ein USB-Stick haptisch über die Grenze gebracht werden sollte. Möglich wurde das Abhören des Gesprächs – so eine der Erklärungen –, da sich einige der Teilnehmer über eine ungesicherte Leitung zu der Videokonferenzplattform zugeschaltet und dabei die Bedienungsanleitung für eine sichere Kommunikation nicht beachtet haben – weil aufwendig, oder zu kompliziert. Möglicherweise wurden aber auch die Hotelzimmer verwanzt. „Genaues weiß man nicht“, denn: viele Hinweise sind noch keine Beweise.

Lesbarkeit als Schlüssel

Früher wie heute wurde den Top-Militärs wie auch den Top-Regierungsbeamten nach den Datenlecks „Sorglosigkeit“ im Umgang mit der Technik vorgeworfen. Untersuchungen wurden eingeleitet, Politikerinnen und Politiker haben sich zu Wort gemeldet und mehr sowie bessere IT-Sicherheit beim Umgang mit sicherheitspolitisch relevanten Informationen und Kommunikationsmitteln gefordert. Es gibt noch eine weitere Gemeinsamkeit: Sobald sich die mediale Aufregung gelegt hat, gab es kaum (oder gar keine) ernstzunehmenden Konsequenzen für die Beteiligten. Fehler können passieren – bitte keine Schuldzuweisungen!

Und das, obwohl es längst passende und gar nicht so komplexe Gegenmaßnahmen – technischer und/oder organisatorischer Art – gibt, mit denen man beispielsweise die Anweisungen zur sicheren Konfiguration einer Videokonferenz so formulieren könnte, dass so gut wie jeder sie verstehen kann. Die Gegenmaßnahme heißt „Lesbarkeit“ und wird mithilfe einer Kennzahl namens Flesch-Index gemessen – benannt nach Rudolf Flesch, einem US-Amerikaner österreichischer Herkunft, der Anfang des 20. Jahrhunderts diese Metrik entwickelt hat, mit der sich Verständlichkeit und Lesbarkeit eines Textes bestimmen lassen.

Der Flesch-Index gibt an, ob ein Text leicht zu verstehen ist – oder eben nicht – und welche Vorbildung notwendig ist, um eine Anweisung, Sicherheitsrichtlinie oder Videokonferenz-Konfigurations-Bedienungsanleitung etc. zu verstehen. Mit einem Flesch-Index von 75 auf der Skala zwischen 0 (schwierig) und 100 (leicht) gilt beispielsweise die Luther-Bibel (Kapitel Genesis) als sehr leicht verständlich – also auch für eine Zielgruppe der 6. bis 8. Klasse geeignet. Diesen Zielwert auch für die Security Policy anzustreben, wird vermutlich nicht falsch sein. Man braucht dafür nicht einmal ChatGPT zu bemühen – kann man aber.

So glimpflich wie die Top-Beamten kommen die Beschäftigten – die Fußsoldaten im modernen Wirtschaftskrieg – nämlich nicht davon, wenn ihnen eine Datenpanne passiert oder sie einen Sicherheitsvorfall verursachen. Wenn eine Sekretärin auf eine gefälschte E-Mail ihres Chefs (sog. CEO-Fraud) mit der Bitte um dringende Überweisung hereinfällt oder ein Mitarbeiter der Buchhaltung eine gefälschte Rechnung für echt hält und zur Zahlung anweist, ist heute schon mal eine Kündigung – oder eine Abmahnung – drin. Die Schonzeiten seien vorbei, heißt es. Man darf von sensibilisierten Mitarbeiterinnen und Mitarbeitern erwarten, dass sie nicht auf (verdächtige) Links klicken oder (verdächtige) Anhänge öffnen.

Ein Ende des Drills

Vorbei die Zeiten, in denen die Interne Revision eine „Salzstreuer-Prüfung“ praktizierte und beim Vorfinden eines nicht gesperrten Computers im Büro Salz in den Kaffeebecher des so nachlässigen wie abwesenden Delinquenten streute – zwecks Erzeugung kognitiver Dissonanzen, mit denen man Mitarbeitende für eine Weile zu einem mit den Sicherheitsrichtlinien des Unternehmens konformen Verhalten dressieren wollte, zeitweise – jedenfalls bis zur nächsten Prüfung.

Die beliebten Experimente, bei denen auf dem Gelände des Unternehmens oder der Behörde scheinbar herrenlose USB-Sticks verteilt wurden, um zu schauen, wer sie aufhebt und in seinen Rechner steckt, scheint es noch zu geben – allerdings mit gänzlich anderen Konsequenzen für die Mitarbeitenden, die durch Einstecken des USB-Dongles eine (harmlose) Malware starten. Statt Salz in den Kaffee zu streuen, wird nicht selten mit „arbeitsrechtlichen Konsequenzen“ direkt in der Sicherheitsleitlinie gedroht – wären da nicht Personal- oder Betriebsräte, die bei solchen Textpassagen mitsprechen möchten. Und es manchmal auch tun.

Diese Experimente, kritisierte bereits vor fast einem Jahrzehnt der US-Sicherheitsguru Bruce Schneier, seien großartig, um den Revisoren und Sicherheitsmanagern das Gefühl zu geben, ihren Kolleginnen und Kollegen überlegen zu sein. „Genug davon!“, appellierte er: „Stop it!“. Man müsse endlich aufhören, die Benutzer zu drillen, um mehr oder bessere Sicherheit zu erreichen. Man solle akzeptieren, dass Sicherheitssysteme, die von den Benutzern gewisse Aktionen verlangen (Passwort wechseln, Einstellungen konfigurieren, Anhänge nicht öffnen et cetera), zum Scheitern verurteilt sind. Stattdessen müsse man widerstandsfähige Sicherheit entwerfen und einsetzen – Sicherheit, die trotz der menschlichen Unzulänglichkeiten funktioniert. Resiliente Lösungen müsste man vermutlich sagen, passend zum aktuellen Cybersicherheits-Sprech.

Das teuerste Sicherheitsprogramm, die smarteste IT-Sicherheitsstrategie helfen nämlich nicht, wenn die Sicherheit von den Menschen abhängt. Oder davon, was sie tun – beziehungsweise nicht tun. Warum gibt es immer noch keine IT-Systeme, in denen man leicht zu merkende Passwörter nutzen kann? Warum kann man immer noch nicht auf interne E-Mails, Daten oder Transaktionen von jedem beliebigen Gerät sicher zugreifen? Warum kann man nicht auf Links und Anhänge klicken, um sie in einer Sandbox fernab produktiver Systeme zu öffnen, wenn es einem danach ist? Warum bauen Videokonferenzsysteme nicht automatisch verschlüsselte Verbindungen auf, wenn man sie benutzt – und zwar ohne, dass man den Provider wechseln, die Kamera abschalten und neue Kopfhörer kaufen muss?

Time for a „Refolution“

„Usable Security“ taufte Bruce Schneier den Ansatz, bei dem man nicht Menschen dazu bringt, zu tun, was Sicherheitsexpertinnen und -experten wollen, sondern umgekehrt: IT-Sicherheit wird so konzipiert und implementiert, dass sie funktioniert – gegeben (oder trotz) Menschen, die IT-Systeme nutzen.

Möglicherweise stehen wir nun – nach Jahren mit Appellen der Expertinnen und Experten für Verschlüsselung, Informationssicherheit oder Datenschutz und „Stop-Blaming-the-Victim“-Aufrufen – endlich vor einem epochalen Wandel. Zu verdanken wird diese Revolution – man sagt heute allerdings lieber nach Ralf Dahrendorf „Refolution“ als Bezeichnung für eine Revolution, die sich durch Reformen vollzieht – voraussichtlich der aktuellen Regulierung durch die Europäische Kommission sein. Gemeint sind sowohl der speziell an Finanzunternehmen gerichtete Digital Operational Resilience Act (DORA), der am 17. Januar 2025 europaweit – also auch in Deutschland – Geltung erlangte, als auch die in deutsches Recht immer noch nicht umgesetzte – nach Meinung vieler Expertinnen und Experten aber dennoch geltende – NIS-2-Richtlinie.

Dort heißt es nämlich in Artikel 20 Absatz 2 des Kapitels IV, das dem Risikomanagement und den Berichtspflichten im Bereich der Cybersicherheit, insbesondere der Governance, gewidmet ist: „Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen […]“.

Was ist daran revolutionär? Nun, dass man bei der Sensibilisierung von Vorständen, Top-Management oder Behördenleitern kaum auf Sanktionen zurückgreifen kann – so wie es beim Umgang mit Mitarbeitenden inzwischen Usus geworden ist. Der IT-Sicherheitsbeauftragte, der seinem CEO eine Mahnung schickt oder Salz in den Kaffee streut, dürfte nur die kürzeste Zeit seines Lebens CISO gewesen sein.

Andere, neue Konzepte müssen her. Aktuelle Cyberrisiken müssen behandelt werden. Entscheidungen müssen getroffen werden – darüber, welche Inhalte adressiert werden. Und strategische Entscheidungen darüber, welche „Usable Security“ man besser schon vor dem Awareness-Training implementiert hätte.

Sobald Unternehmen und öffentliche Einrichtungen den Effizienzgedanken zelebrieren und auf betriebswirtschaftliche Skaleneffekte setzen, werden sie womöglich irgendwann erkennen, dass es sich weniger lohnt, zwei verschiedene Awareness-Konzepte zu entwickeln, als das teurere und aufwendiger gestaltete Training für die Führungskräfte auch den Mitarbeitenden anzubieten. Wie es anders geht, zeigen die aktuellen Security-Awareness-Videos der britischen Royal Holloway: Ein Student schildert, was geschah, als jemand Zugriff auf seine Online-Zugangsdaten erhielt – basierend auf realen Vorfällen, von Studierenden nachgestellt und fernab der „Blaming-the-Victim“-Philosophie, die bislang die Awareness-Schulungen in Deutschland dominierte. In einem weiteren Kurzfilm erklärt eine Studentin, wie sie auf eine E-Mail-Betrugsmasche hereingefallen ist. Sie gibt Tipps, worauf man achten sollte, um gefälschte E-Mails und Cyberbedrohungen rechtzeitig zu erkennen – ohne dabei belehrend zu wirken, andere (oder sich selbst) für dumm zu erklären oder gleich Asche aufs eigene Haupt zu streuen.

Nicht bei Nutzenden, sondern bei Anbietern und Regulierung ansetzen

Tatsächlich lasse sich niemand einfach gegen Social Engineering immunisieren, schreiben Bruce Schneier und Arun Vishwanath in ihrer aktuellen Kritik an der Cybersecurity-Awareness-Kampagne „Take9“. Als Beispiel nennen sie den Netzaktivisten Cory Doctorow und den Sicherheitsforscher Troy Hunt – beide fielen kürzlich auf Phishing herein. Die Idee hinter „Take9“ lautet, neun Sekunden innezuhalten, bevor man auf einen Link klickt oder einen Dateianhang öffnet. Dies, so die Autoren, verbessere die Cybersicherheit kaum. Stattdessen schlagen sie einen Selbsttest vor: „Try it; use a timer.“

Kampagnen wie diese, so ihre Kritik, lenkten von den eigentlichen Ursachen der Unsicherheit ab – nämlich von unsicheren (by Design) IT- und KI-Systemen. Wer echte Veränderung erreichen wolle, so Schneier und Vishwanath, solle daher nicht bei den Nutzenden ansetzen, sondern bei den Herstellern von IT und KI – und bei den Regierungen, die diese Branche regulieren müssten.

Passenderweise heißt es gleich im zweiten Satz von Artikel 20 Absatz. 2 der NIS-2-Richtlinie: „Die Mitgliedstaaten […] fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitenden regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“

Anzunehmen ist, dass, wenn diese Empfehlung effektiv und effizient umgesetzt wird, dann haben alle etwas davon: die CEOs, die CISOs und sogar der einfache Soldat. Es ist eine Chance, die IT- und KI-Systeme sicherer für alle zu machen – nicht nur für die, denen man das Sicherheitsbewusstsein aufgezwungen hatte. Ganz im Sinne der Empfehlung der polnisch-französischen Chemikerin und zweifachen Nobelpreisträgerin, Marie Skłodowska -Curie: „Man braucht nichts im Leben zu fürchten, man muss nur alles verstehen.“

Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte. Sie leitete das Horst-Görtz-Institut für Sicherheit in der Informationstechnik, ist Sachverständige für IT-Sicherheit im Innenausschuss des Bundestages und Mitglied der Grundwertekommission der SPD.

In unserer Kolumnenreihe „Perspektiven“ kommentieren unsere Autor:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Sowa erschienen: Überholen ohne einzuholen?