#RSAC: „Nutzer sind nicht dumm, also behandeln Sie sie nicht so“

  • In einer Sitzung auf der RSA Conference 2022 erläuterte Julie Haney, Informatikerin am National Institute of Standards and Technology (NIST), acht Fallstricke im Bereich der Cybersicherheit, die sie identifiziert hat und die Unternehmen vermeiden können und sollten. Zu den Fallstricken gehört die Annahme, dass Benutzer falsch informiert oder „einfach nur dumm“ sind, was in keinem Fall der Fall sein dürfte.

    „Als Sicherheitsexperten leisten Sie wirklich einen enormen Dienst und schützen Ihre Organisationen, Ihre Benutzer, Kunden und manchmal sogar Ihre Gemeinden“, sagte Haney auf der RSA Conference. „Obwohl Sie die besten Absichten haben, können Sie und Ihre Kollegen Opfer einiger üblicher Fallstricke werden, die in Wirklichkeit die Menschen daran hindern, ihr volles Potenzial als aktive und informierte Partner in Sachen Sicherheit auszuschöpfen.

    Die acht Fallstricke der Cybersicherheit

    Die Benutzerfreundlichkeit ist ein zentrales Anliegen für effektive Cybersicherheit. Haney sagte, dass Effektivität, Effizienz und Zufriedenheit die drei Grundprinzipien der Benutzerfreundlichkeit sind.

    Sie erklärte, dass Effektivität bedeutet, ob ein Benutzer seine Ziele erreichen kann oder nicht. Die Effizienz ist der Aufwand, den der Benutzer betreiben muss, um diese Ziele zu erreichen. Zufriedenheit bedeutet, wie gut die Bedürfnisse und Erwartungen der Nutzer bei der Interaktion mit diesen Systemen und Diensten erfüllt werden.

    Die acht von Haney identifizierten Fallstricke beziehen sich auf die allgemeine Tendenz der Sicherheitsgemeinschaft, sich auf die Technologie als Lösung für alle Sicherheitsprobleme zu konzentrieren und dabei das menschliche Element und die Sicherheit außer Acht zu lassen. Mit dem menschlichen Element meint sie die sozialen und individuellen Faktoren, die sich wirklich auf die Annahme von Sicherheitslösungen auswirken.

    Die acht Fallstricke sind: Nicht alle Benutzer in der Sicherheit zu identifizieren. Annahme, dass die Benutzer dumm oder hoffnungslos sind Nicht maßgeschneiderte Kommunikation Übermäßige Belastung der Nutzer Benutzer werden durch schlechte Benutzerfreundlichkeit zu Insider-Bedrohungen Die Annahme, dass die sicherste Lösung die beste ist Anwendung von Strafmaßnahmen, um Benutzer zur Einhaltung der Vorschriften zu bewegen Nichtberücksichtigung von Nutzerfeedback und nutzerzentrierter Messung der Wirksamkeit

    Laut Haney geht es bei den ersten drei Fallstricken darum, was passiert, wenn man sich nicht die Zeit nimmt, seine Benutzer zu kennen und zu schätzen. Um die ersten drei Fallstricke zu überwinden, schlägt sie vor, dass Management und Anbieter sich in die Benutzer einfühlen. Für die zweite Gruppe von Fallstricken empfiehlt sie, dass Unternehmen Usability-Tests in Betracht ziehen und Tools und umsetzbare Anleitungen zur Verfügung stellen, die den Benutzern helfen.

    In Bezug auf die letzten beiden Fallstricke betont Haney, dass Anbieter und Unternehmen nicht auf Angst setzen sollten, um die Sicherheit zu erhöhen.

    „Man muss den Leuten das Risiko ehrlich mitteilen, ohne es zu übertreiben, und sie müssen wissen, dass es Konsequenzen haben kann“, sagte Haney. „Man muss ihnen auch die Mittel und die Anleitung geben, etwas zu tun, um ihr Selbstvertrauen und ihre eigene Fähigkeit, etwas zu tun, zu stärken, denn Angst ohne Handeln gibt den Menschen nur das Gefühl, machtlos zu sein.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com