Schon als kleines Kind musste ich erstaunt feststellen, dass Erwachsene Gegenstände nicht immer mit dem richtigen Namen bezeichnen. Als ich einmal mit einem gleichaltrigen Freund am Spielen war, korrigierte er mich schnell, als ich den Staubsauger als Hoover bezeichnete. Aber so hatten doch alle Erwachsenen dieses Gerät genannt, also musste es richtig sein! Mein junger Freund jedoch rief mit grosser Bestürzung aus: "Hoover ist eine Marke, die stellen alle möglichen Geräte her, nicht nur Staubsauger!"
Die Sache ist die, im Bereich der Cyber Security ist der Begriff "Security Awareness" weit verbreitet und akzeptiert. Es vergeht jedoch kein Tag, an dem wir nicht von Phishing, Datenverlust, Ransomware oder einer anderen schädlichen Aktion hören. Und doch werden Millionen von Dollar für das "humane Element" ausgegeben.
Welcher Begriff wäre also dem Thema angemessener? Und was versuchen wir wirklich, zu erreichen? Zunächst einmal kann ich zustimmen: Wir versuchen, das Bewusstsein zum Thema zu schärfen und genauer gesagt, das Interesse dafür zu wecken. Hierfür stehen uns verschiedene Möglichkeiten und Medien zur Verfügung. Aber die Geschichte von der lila Kuh gefällt mir am besten [1]. Was wäre, wenn Ihnen jemand erzählen würde, dass er eine lila Kuh zu Hause hat? Das würde wohl Ihre Aufmerksamkeit erregen, denn lila Kühe gibt es nicht. Aber mit Geschichten wie diesen kommen wir nur zur Hälfte weiter. Denn was wir erreichen wollen, ist ein "verantwortungsvolles Sicherheitsverhalten". Wichtig ist, dass unsere Endnutzer angesichts einer beliebigen Anzahl von Gefahrenszenarien so instruiert sind, Risiken zu vermeiden. Und genau aus diesem Grund reicht die lila Kuh nicht aus! Unsere Benutzer müssen nicht nur darauf aufmerksam gemacht werden, sondern auch die Verantwortung übernehmen, ruhig und besonnen zu reagieren. Aber die Freiheit, die wir im Leben geniessen, besteht darin, dass es uns «frei» steht, falsche Entscheidungen zu treffen. Das ist ein Teil des Lebens, und wir alle haben sie das eine oder andere Mal getroffen.
Ich erinnere mich noch an meine Kindheit in Grossbritannien, als die ersten Autos auf den Markt kamen, die mit Warnleuchten ausgestattet waren, die aufleuchten, wenn die Sicherheitsgurte nicht angelegt sind. Einige von ihnen hatten sogar die Frechheit, einen mit einem Signalton zu ermahnen! Zu dieser Zeit, als das Anlegen der Sicherheitsgurte noch nicht vorgeschrieben war, zogen es viele Fahrer vor, den Sicherheitsgurt einfach hinter dem Sitz anzulegen. Kein Warnlicht und keine lästigen Pieptöne. Leider waren viele Todesopfer und schwere Verletzungen, intensive Werbung und eine Gesetzesänderung nötig, um eine Sensibilisierung und das erforderliche Verhalten zu erwirken.
[1] https://en.wikipedia.org/wiki/Purple_Cow:_Transform_Your_Business_by_Being_Remarkable
Um ein verantwortungsbewusstes Vorgehen zu fördern, bedarf es Akzeptanz und Kooperation. In einem Zuhause ist meist alles auf die Menschen zugeschnitten, die dort leben. Und in der Regel weiss jeder, was ihn vor Gefahren schützt. Wenn aber eins der Familienmitglieder ein Baby ist, erwarten wir nicht, dass das Baby die Treppe meidet, da es sonst herunterfallen könnte. Normalerweise würde man am Ende der Treppe ein Babygitter anbringen. Wir alle können uns in ein Baby einfühlen und gehen sorgfältig auf dessen Bedürfnisse ein. Im Unternehmen müssen wir das Gleiche tun. Der Benutzer ist weder das schwächste noch das stärkste Glied. Er ist nur Teil des Systems, also geben Sie dem Benutzer nicht die Schuld. Genauso wenig wie Sie auch dem Baby nicht die Schuld geben würden. Lassen Sie uns stattdessen auf ein verantwortungsvolles Sicherheitsverhalten hinarbeiten, aber lassen Sie uns das gemeinsam tun. Unterstützen wir uns gegenseitig, bauen wir bessere Systeme. Und vergessen wir eins nicht: Empathie hat erste Priorität – daraus folgt die humane Sicherheit.