Die Mär vom menschlichen Versagen in der IT-Sicherheit
Last updated: Jan 7, 2025
Human Error. Allseits beliebt und gern herangezogen als ausgemachte Ursache zahlreicher Sicherheitsvorfälle der letzten Monate und Jahre. Die Daten verschlüsselt, das “Backup” feilgeboten, der Konzern blamiert. So weit, so normal. Umsatzeinbruch, Aktieneinbruch, Reputationsverlust.
Menschliches Versagen ist der Hauptgrund für 95% der Sicherheitsvorfälle https://blog.usecure.io/the-role-of-human-error-in-successful-cyber-security-breaches
Die Forensik rückt an, wertet die spärlichen und zur Hälfte wegrotierten Logs aus. Krisenstab, War Room, tagelang. Externe Experten überraschen mit Erkenntnissen zu möglichen Einfallstoren, die das interne Team seit vier Jahren an der Kaffeemaschine vorbetet. Leider hat das Management eine eigene Kaffeemaschine.
Die Forensik ist fertig. Der Bericht umfasst 60 Seiten. Summary: Ein Mitarbeiter hat auf den Anhang geklickt. Heureka, was für ein Glück, ein individueller menschlicher Fehler, wir müssen nichts ändern. Schon sind die restlichen 59 Seiten egal, die Erkenntnisse egal. Umsatzeinbruch? Wir sind ja versichert. Aktieneinbruch, Reputationsverlust? Lange vergessen, hat schon wieder drei neue erwischt, lol diese Opfer. Klappe zu, Affe tot, Fall abgeschlossen und weiter im Programm.
Das Beispiel illustriert bereits den ersten Grund, warum es eine schlechte Idee ist, das Fehlverhalten eines Benutzers als Ursache eines IT-Sicherheitsproblems zu benennen. Selbst wenn es im besten Fall nicht zu blaiming kommt, so ist es dennoch eine allzu willkommene Ausrede, um nichts ändern zu müssen. Außerdem ist es in den allermeisten Fällen schlicht falsch und es liegen viel tiefergehende Probleme vor, die das Fehlverhalten erst ermöglichen oder begünstigen.
Warum werden überhaupt Vokabeln wie Fehlverhalten, Fehler und Versagen verwendet? Emails lesen inklusive der enthaltenen Links und Anhänge entspricht dem Anforderungsprofil einer nicht zu unterschätzenden Anzahl von Arbeitnehmer:innen in Deutschland. Der Mitarbeiter im Beispiel tut genaugenommen exakt das, wofür er eingestellt wurde. Notiz am Rande: Angebote und Rechnungen einscannen und danach per Emailanhang nicht maschinell lesbar durch die Gegend schicken, das hat mit dieser #Digitalisierung, von der immer alle sprechen nichts zu tun.