Eine Studie des National Institute of Standards in Technology (NIST) vom Herbst 2016 besagt, dass 63% der Teilnehmer von Security Fatigue betroffen sind. Dabei handelt es sich wörtlich um Sicherheits-Müdigkeit: Anwender werden immer wieder mit Nachrichten-Meldungen, Artikeln oder Awareness-Kampagnen bombardiert, die von Online-Kriminellen und der Gefährlichkeit des Internets berichten. So enden gerade unerfahrene Nutzer schnell in einem Zustand zwischen Panik und Hilflosigkeit.
‍

Sicherheits-Müdigkeit als Gegenspieler von Security Awareness

Typische Gedanken, die sich bei Nutzern entwickeln, sind:

• Ich bin persönlich nicht gefährdet (ich besitze nichts von Wert, das einen Kriminellen interessieren könnte).
• Jemand anderes ist verantwortlich für die Sicherheit – im Falle eines Angriffs werde ich schon geschützt werden.
• Sicherheitsmaßnahmen, die ich selbst umsetze, können mir nicht wirklich helfen.

Diese Gedanken manifestieren sich laut den Psychologen Amos Tversky und Daniel Kahneman vom NIST in Resignation, sodass anstehende sicherheitsbezogene Entscheidungen aufgeschoben oder vermieden werden. Ein weiterer, nicht zu vernachlässigender Knackpunkt ist die steigende Komplexität aktueller IT-Systeme – die sich in alle Bereiche ausbreitende Digitalisierung kann Security Fatigue befördern und somit erhebliche Sicherheitsprobleme ans Tageslicht bringen.
‍

Belohnung statt Angst

Entgegen gängiger Mythen sind Angst bzw. vergangene Vorfälle keine allzu starken Treiber für Veränderungen: Die meisten Menschen blenden negative Effekte unterbewusst aus – ein positiver Ausblick kann eine deutlich größere Veränderung bewirken, und das, ohne die Mitarbeiterzufriedenheit zu gefährden (weitere Informationen hier). Konkret sollten aus diesem Grund eher positive Anreize geschaffen werden, Vorfälle zu melden. So kann beispielsweise ein Belohnungssystem oder ein Gamification-Ansatz für korrekt abgegebene Meldungen helfen, das korrekte Verhalten zu fördern.

Wie kann man dem Mitarbeiter das Leben erleichtern?

1. Sicherheit muss einfach sein
   Einfach umzusetzende, aber effektive Maßnahmen wie ein Passwort-Manager oder ein Easy-To-Use Reporting-System (z.B. der IT-Seal Reporter Button) können helfen, um die Security Fatigue zu überkommen. Wichtig ist, dass der Anwender sich in der Lage fühlt, zur IT-Sicherheit beizutragen.
   ‍
2. Sicherheit ist Gewöhnungssache
   ‍Verhaltensänderungen passieren nicht über Nacht. Um eine nachhaltige Verhaltensänderung zu bewirken, muss man sich Zeit nehmen und den Anwender im Alltag immer wieder auf sicheres Verhalten hinweisen. Dies kann beispielsweise durch eine in den Alltag integrierte Schulungsmaßnahmen umgesetzt werden – unsere Kunden setzen auf die Phishing Akademie.
   ‍
3. Positive Anreize setzen
   Korrektes Verhalten sollte belohnt werden. Dazu kann bereits ein Lob vor dem ganzen Unternehmen für die beste Mitarbeitergruppe ausreichen. Auch Gamification kann helfen, Anreize zu schaffen.
   ‍
4. Persönliche Vorteile betonen
   Nicht nur im Unternehmen ist man von Angriffen betroffen. Viele Trainings- und Awarenessmaßnahmen helfen Mitarbeitern auch im privaten Alltag. Wenn dies besonders herausgestellt wird, kann das die Lernbereitschaft deutlich erhöhen.
   ‍
5. Eine verzeihende Fehlerkultur etablieren
   Wenn durch gemeldete Fehler nur Nachteile drohen, sind verständlicherweise die Hemmungen groß, eigenes Fehlverhalten zuzugeben. Hier steht vor allem das Management in der Pflicht: Es gilt, eigene Fehler einzugestehen und ein offenes Krisenmanagement zu pflegen frei nach dem Motto: Fehler sind gut – solange man daraus lernt.

Security Awareness als Teil der Unternehmenskultur

Sicherheitskultur ist keine reine Papier- oder technische Arbeit. Um eine funktionierende Unternehmenssicherheit aufzubauen ist es wichtig, über die Technik und über Vorschriften und Schulungen hinaus eine Unternehmenskultur aufzubauen, die Sicherheit wert schätzt. Das erklärt, warum IT-Sicherheit ohne die Unternehmensleitung nicht funktionieren kann. Die IT-Abteilung liefert wichtige Unterstützung durch starke technische Maßnahmen – kann aber alleine nicht dafür sorgen, dass das ganze Unternehmen sicher ist.