Ich wurde von einem lieben Kollegen auf einen Artikel auf Golem.de aufmerksam gemacht, über einen Vortrag von Linus Neumann (Sprecher des CCC ) vom letzten C36c3 in Leipzig zum Thema „Hirne Hacken – Menschliche Faktoren der IT-Sicherheit“. Den Vortrag als Video findet Ihr hier. Ich habe eine ganz persönliche Meinung zu Linus Neumann, nachdem ich ihm wohl inhaltlich auf einem Kundenevent ein wenig „in die Quere gekommen“ bin, als ich über die psychologischen und manipulativen Methoden bei Social Engineering VOR dem Vortrag von Neumann referierte. Nunja, ich bin – um Doppelspurigkeiten bei Vorträgen zu vermeiden – meist von Anfang an auf solche Events, um ggfls. im eigenen Vortrag gegensteuern oder mich auf das vorher gesagt beziehen zu können.

Worauf ich aber hinaus wollte ist das „Schnelles Denken, langsames Denken„-System von Daniel Kahneman, auf das sich Linus Neumann bezieht. Hm, ein bisschen wenig psychologischer Ansatz, aber gut. Für mich steht im Artikel, dass man immer wieder Themen in den unterschiedlichsten Arten und Weisen adressieren muss, damit es eben nicht langweilig und auch keine „Einmalhandlung“ wird. Oder interpretiere ich den Artikel in der Golem etwa falsch.

Der Artikel beschreibt aus meiner Sicht nur den reinen kognitiven Teil des Nutzers – was hat er verstanden, was weiss er, wie denkt er. Und das rein in einem „unberührten“ Umfeld. Wir haben in der Awareness noch weitere Randbereiche, die einen Einfluss auf unsere Mitarbeitende haben: Hierarchiegefüge, Unternehmenskultur, Fehlerkultur u.ä. Und das Fazit des Artikels – Sicherheit anders machen, Systematik zulassen, User nicht zu „Eingaben“ zwingen usw. Und: Melden, melden, melden.

Also, da sind wir doch mit unserer Strategie und unseren Ansatz durchaus gut dabei. Eine einmalige Phishing-Attacke hilft da eben auch nicht weiter – ausser man „gamifiziert“ das Ganze wie bei Hoxhunt oder in Ansätzen wie bei SoSafe. Das kann dann schon für einen kleinen Aufrüttler sorgen. Das schafft aber auch ein CleanDesk-Test, eine „klassische Beobachtung“ oder das Video zum Thema „CEO-Fraud“, welches im Rahmen einer Security Awareness Kampagne bei einem familiengeführten Mittelständler NACH einem Vorfall mit Beteiligten aus dem Unternehmen gedreht wurde. Oder ein Lunch’n’learn-Event, bei dem die Bühne gerockt wird. Sicherheit mal spannend und erlebbar machen, emotionalisieren ist wichtig. Da sind wir ja dann doch auf dem richtigen Weg…. oder?