Cybershaming vermeiden

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Immer wieder die gleiche Szene, eine Unachtsamkeit, ein Klick und schon ist es passiert. Danach Stille und die Erkenntnis eines Kontrollverlusts, der Schaden unbekannter Größe bei dem eigenen Unternehmen ausgelöst haben könnte. Dies alles führt zu einem Gefühl der Scham, Cybershaming genannt. Es führt dazu, dass die Person, die auf ein Phishing hereinfällt, sich so sehr schämt, dass sie weder den Kollegen noch jemand anderem darüber Kenntnis gibt und versucht den Fehlklick zu verschleiern. Doch durch die digitale Spurensuche verschafft es dem Opfer lediglich Zeit, doch eine Entdeckung wird früher oder später erfolgen zu gut sind die Möglichkeiten die digitalen Spuren nachzuvollziehen. Zu ausgereift sind die Forensik-Technologien, so dass das Nutzerkonto, von dem aus der Klick erfolgte, einfach nachvollziehbar ist.

Zu oft konnte in der Vergangenheit von Fällen gelesen werden, dass bei einem solchen Sicherheitsvorfall dem Mitarbeiter im Nachgang gekündigt wurde, mindestens aber Abmahnungen drohen. Einige Fälle endeten sogar vor Gericht. Diese Unternehmenskultur führt jedoch zu einem Klima der Angst und verleitet die Opfer nur noch mehr dazu, ihre Spuren zu verwischen und sich im Zweifel unwissend zu stellen. Ein solches Verhalten ist jedoch äußert schädlich für das eigene Unternehmen, denn Cyberangriffe bleiben dann unentdeckt und der finanzielle Schaden vergrößert sich. Was können Führungskräfte und die Geschäftsführung daher dagegen tun?

 

Nicht nur auf die Technologie verlassen

„Cybershame“ wurde in den Niederlanden Ende 2022 sogar zum Cybersecurity-Wort des Jahres gewählt. Nicht umsonst, denn das Phänomen sorgt für reichlich Diskussionsstoff. Bei der Cybersicherheit geht es viel um Technologie und Politik, aber vor allem um Menschen und ihr Verhalten. Unternehmen können ihren Mitarbeitern noch so gute Antiviren-Software auf einem (Geschäfts-)Laptop zur Verfügung stellen. Wenn sie bequemerweise überall das gleiche Passwort wählen oder beim Herunterladen von Anhängen aus E-Mails nicht aufpassen, sind sie früher oder später ein Phishing und daher Cybershaming-Opfer. Das Nutzerkonto ist dann leicht zu hacken oder kann sich unwissentlich Malware oder Ransomware auf den eigenen Computer oder das Netzwerk des Arbeitgebers holen. Mit anderen Worten: Man kann sich nicht einfach auf die Technologie verlassen. Jeder muss sich der digitalen Bedrohungen bewusst sein und sein Verhalten entsprechend anpassen. Cyberkriminellen werden immer raffinierter, deshalb ist es umso wichtiger, diese persönliche Verantwortung zu übernehmen.

Wenn Mitarbeiter sich für einen Fehler schämen, den sie gemacht haben, ist das psychologisch gesehen eigentlich ganz gesund. Man schämt sich, weil man die Ursache in sich selbst sucht. Und weil das ein unangenehmes Gefühl ist, kann Cyberscham sie davon abhalten, denselben Fehler noch einmal zu machen. Es ist ein Weckruf: Die intrinsische Scham veranlasst sie, sich der Risiken bewusst zu werden und ihre Fähigkeiten im Bereich der Cybersicherheit zu verbessern. Das ist sehr gut und muss nicht kompliziert sein. Viele Informationen sind online zu finden, und es werden auch kostenlose Schulungen angeboten. Doch Cybershaming kann auch ungesund sein. Wenn die Scham nicht von intrinsisch, sondern extrinsisch kommt – zum Beispiel aus Angst vor Vorwürfen von Kollegen oder dem Vorgesetzten – kann sie schädliche psychologische Folgen haben. Scham, die aus der (Unternehmens-)Kultur oder aus dem privaten Umfeld stammt, führt dazu, dass der Betroffene eher dazu neigt, den Kopf in den Sand zu stecken und einen Fehler zu verschweigen. Das schadet dem Selbstwertgefühl und dem Selbstvertrauen.

Abhilfe schafft ein Security-Awareness-Training, dass kontinuierlich auf Gefahren hinweist. Zum einen sollte dieses aus abwechslungsreichen Inhalten bestehen, die auf verschiedene Tätigkeiten ausgelegt sind. Zum anderen ermöglichen simulierte Phishing-Tests ein Feedback in nahezu Echtzeit, dass durch alltägliche Betreffzeilen Mitarbeiter schult und wachsam bleiben lässt. Natürlich kommt es auch beim Aufsetzen des Trainingsprogramms darauf an, den Mitarbeitenden ein Gefühl der Sicherheit zu vermitteln und eine positive Lernumgebung zu schaffen.

Fazit

Führungskräfte sind daher gut beraten, mehr über digitale Bedrohungen und den Umgang mit ihnen mit ihren Mitarbeitern zu sprechen. Die Informationen können sowohl am Arbeitsplatz als auch privat von Vorteil sein. Mehr Bewusstsein und ein bisschen Training können viele menschliche Fehler verhindern. Und wenn doch etwas schiefgeht, kann eine offene Firmenkultur mit entsprechender Sicherheitskultur dafür sorgen, dass die Opfer nicht von der Cyberscham erdrückt werden und sich trauen, ihre Fehler zu melden. Schließlich ist der Wunsch, es beim nächsten Mal besser zu machen, wirksamer, als einfach im Boden zu versinken. Darüber hinaus geht es bei jedem Sicherheitsvorfall um den Faktor Zeit.

#Knowbe4