impulse: Frau Sasse, die typischen IT-Security-Lücken sind bekannt. Trotzdem haben Unternehmen reihenweise Sicherheitsprobleme. Wie erklären Sie das?
Martina Sasse: Es ist eine Mischung aus Ignoranz und einer Unterschätzung der Bedrohung. Unternehmer haben einfach sehr viele Herausforderungen. Dadurch geraten sie in einen Zustand, den Psychologen als „Tunneln“ bezeichnen: Man konzentriert sich nur auf das, was gerade am dringendsten wirkt. Besonders durch die Digitalisierung ist unsere Aufmerksamkeit ständig beansprucht. Ohne Disziplin und ohne Unterstützung, etwa durch eine Assistenz kommen viele aus diesem Tunnel-Zustand nicht heraus.
Ist es dann auch menschlich zu sagen: Wenn ich das Problem ignoriere, ist es nicht da?
Absolut. Forschungen zur Risikowahrnehmung zeigen, dass Menschen nicht gut im Umgang mit Risiken sind. Nur wenn ihnen das Risiko direkt ins Gesicht starrt, bekommt es Aufmerksamkeit. Zum Beispiel, wenn ein befreundeter Unternehmer gehackt worden ist. Sonst nehmen Menschen Risiken gerne als nebensächlich wahr.
Oder man sieht sie, zieht aber bewusst den Kopf ein.
Die Kommunikation über IT-Sicherheit ist grottenschlecht. Staatliche Stellen und die Sicherheitsindustrie geben Geld für Kampagnen über Gefahren aus, die Ängste schüren. Das führt dazu, dass Menschen aus Überforderung alles auf einmal wollen. Aber sie wissen nicht, wo sie anfangen sollen und verfallen in eine Schockstarre, bei der sie einfach hoffen, dass schon nichts passiert.
Was sollten die Unternehmer und Unternehmerinnen tun?
Als Unternehmer muss ich zunächst sortieren: Was trifft auf mein Unternehmen wirklich zu, was ist für mich relevant? Dann heißt es, Prioritäten zu setzen. In einem realistischen Zeitrahmen. Ich kann nicht alles sofort erledigen. Es braucht einen langfristigen Plan: Was ist der wichtigste und effektivste Schutz, den wir sofort umsetzen können? Was diese Woche, was in diesem Monat, was im Quartals oder in diesem Jahr? Und das dann in machbaren Schritten in den Alltag integrieren.
Bei wem sollte die Verantwortung für IT-Sicherheit im Unternehmen liegen?
Inhaber müssen verstehen, dass sie das Thema IT-Sicherheit nicht komplett delegieren können. Sie müssen Entscheidungen treffen und mögliche Einfallstore erkennen. Dieser Verantwortung kommen sie aber häufig nicht nach. Stattdessen delegieren sie das Thema.
Ist das ein Problem?
Das kann es sein. Externe IT-Dienstleiste etwa bieten viel zu allgemeine Lösungen an. Sie pushen die Angestellte zum Beispiel durch Sicherheits-Trainings, bewirken damit aber selten eine Verhaltensänderung. Und wenn das Thema einfach komplett an IT im eigenen Unternehmen abgegeben wird, fehlt diesen meist das Geschäftswissen.
Kommen wir zu den Mitarbeitern: Wie erreichen Unternehmer bei diesen eine Verhaltensänderung?
Sicherheitsmaßnahmen müssen im Arbeitsalltag machbar sein. Menschen können sich zum Beispiel meist nicht mehr als zwei oder drei starke Passwörter merken. Deshalb sind Lösungen wie ein Single-Sign-On viel sinnvoller, bei dem man sich einmal in alle Systeme gleichzeitig einloggen kann.
Wie kommuniziert man erwünschte Verhaltensänderungen?
Man muss den Mitarbeitenden ausdrücklich sagen, was sie tun sollen und es auch begründen. Nur wenn Mitarbeitende den Grund verstehen, fühlen sie sich verpflichtet und wollen selbst etwas ändern. Etwa sollten E-Mails von unbekannten Absendern nicht bedenkenlos geöffnet werden, weil sich darin Viren verbergen könnten.
Und dann?
Anschließend muss die Übersetzung der Mitarbeiter ins eigene tägliche Arbeiten erfolgen. Dieser Schritt bleibt oft aus. In dem genannten Beispiel könnte der Mitarbeiter sagen: „Ich will ab jetzt alle E-Mails von Leuten, die ich nicht kenne, nicht mehr zwischendurch bearbeiten, sondern separat und mit besonderer Vorsicht.“ So entsteht nicht nur eine Verhaltensänderung aus Pflichtgefühl, sondern auch aus Selbstwirksamkeit. Das stärkt das Vertrauen der Mitarbeitenden in ihre eigene Fähigkeit, Risiken einzuschätzen und mit ihnen umzugehen.
Soweit der Vorsatz…
Dann geht es darum, die neuen Routinen einzuüben. Wenn in der ersten Woche die Umstellung im Arbeitsalltag erfolgt, sollten die Mitarbeiter das neue Verhalten möglichst oft wiederholen und Feedback bekommen.
Und wie schafft man es, dass das IT-Thema nicht ganz so trocken daherkommt? Ist Gamification eine Lösung?
Als Ergänzung, ja. Mitarbeitende lernen IT-Policies lieber, indem sie sich bei einem Spiel gegenseitig hacken, als sich Dokumente durchzulesen. Aber es gibt noch andere Möglichkeiten, das Thema ins Team zu bringen. Zum Beispiel indem man verschiedene Kanäle als Erinnerung nutzt: Durch Poster in den Räumen, oder digitale Pop-Ups wenn man sich in ein System einloggt.
Trotz allem kann es immer noch zum Ernstfall kommen.
Dann sollte man vorbereitet sein. Das hat auch einen wichtigen psychologischen Effekt. Am besten lernt man aus Erfahrungen von Unternehmen, mit denen man sich identifizieren kann. Und zu sehen: Ein IT-Angriff bedeutet nicht automatisch ‚Game Over‘. Man kommt auf der anderen Seite auch wieder raus. Und das besser mit einem Plan, der vorher regelt, wer im Notfall für was zuständig ist. Dazu gehört auch Mitarbeiter aufzuklären, an wen sie sich bei Verdachtsfällen melden können. Wir müssen einfach dahin kommen, dass die Leute anfangen mehr über Sicherheit zu sprechen. Es muss nicht von jedem die Lieblingsbeschäftigung werden, aber es geht um unsere Zukunft.
Martina Angela Sasse ist Psychologin und Inhaberin des Human-Centred Security Lehrstuhls an der Ruhr-Universität Bochum. Ihre Schwerpunkte IT-Sicherheit, interdisziplinäre Sicherheitsforschung und Authentifizierungstechniken. Dabei geht es unter anderem um Probleme in der Benutzerfreundlichkeit von Sicherheitsmechanismen. 
Online-Betrugsmaschen 
