Mitarbeitenden-Verhalten: Das psychologische Einfallstor für Cyber-Attacken

Wie kann die nachhaltige Förderung bestimmter Verhaltensweisen bei Mitarbeitenden und Entscheidungsträgern in KMUs zur Verringerung von Cyber-Risiken erreicht werden?

digitale Darstellung von einem Sicherheitsschloss
Adobe Stock

Hintergrund

Cyberkriminalität ist zu einem ernsten Problem für KMUs geworden. Die Zahl der erfolgreichen Angriffe hat in den letzten Jahren dramatisch zugenommen. Circa ein Drittel aller KMUs mit max. 49 Mitarbeitenden waren bereits von einem Cyberangriff betroffen. Es war ein immenser Aufwand, den Schaden zu beheben (Mändli Lärch und Repic, 2017). Die meisten Unternehmen setzen heute auf Technologie und investieren Geld in technische Sicherheitstools (Software und Hardware). KMUs vernachlässigen jedoch oft die menschliche Komponente von Cyberangriffen. Ein:e Mitarbeiter:in kann alle Informationen weitergeben, die ein:e Angreifer:in braucht, ohne technische Hürden überwinden zu müssen. Daher ist kein Unternehmen vor Cyberangriffen geschützt (Choras et al., 2016), da das menschliche Element das schwächste Glied in der Sicherheitskette ist.  

Ziel

In dieser Studie werden Personas abgeleitet und kognitive Verzerrungen verwendet, um zu erklären, warum KMUs keine bewährten Massnahmen im Bereich der Cybersicherheit umsetzen. Obwohl es unterschiedliche Auslöser für einen Cyberangriff gibt, ist es wichtig, die Menschen hinter dem Problem zu verstehen, bevor man über Massnahmen diskutiert oder sie konzipiert. In unserer Studie geben wir praktische Tipps für Veränderungen und konzentrieren uns auf das Cyber-Risikoverhalten von Entscheidungsträgern und Mitarbeitenden, die erwiesenermassen das grösste Risiko für die Cybersicherheit darstellen.  

Vorgehen

Wir haben 44 strukturierte Tiefeninterviews mit Mitarbeitenden, Entscheidungsträgern und IT-Dienstleistern von KMUs geführt, um unsicheres Verhalten zu verstehen. In Co-Creation Workshops wurden Massnahmen hergeleitet. 

Laufzeit

05.2021 - 11.2021

Resultate

Das Wissen über Cyber-Risiken ist in den KMUs zwar vorhanden, es fühlt sich aber niemand für das Verhalten von Mitarbeitenden und Entscheidungsträgern verantwortlich. Gewisse Barrieren hindern sie daran, sich in wünschenswerter Weise zu verhalten. Zu diesen Barrieren gehören nicht etablierte Gewohnheiten, die Fehleinschätzung der Wahrscheinlichkeit eines Angriffs und ein Mangel an Wissen über die Folgen ihres Verhaltens. Die Interviewergebnisse führten zu drei Personas von Mitarbeitenden und Entscheidungsträgern: die Experten, die Abschieber und die Verdränger. Diese drei Personas passen zu psychologischen Biases, die helfen, das Verhalten der Befragten zu verstehen.

Partner

Das Projekt wurde in Zusammenarbeit mit der Effex AG durchgeführt. 

Das Projekt wurde durch die Mobiliar finanziert. 

Links

Fachbeitrag im Swiss IT Magazine, Mai 2022

Kontakt

Prof. Dr. Claude Messner 

Rahel Aschwanden