Wenn es um Technik oder IT geht, schalten viele Menschen direkt ab. Oft heißt es: „zu kompliziert“ oder „das ist nicht mein Thema“. Wenn es um Quantenphysik geht, ist das sicherlich verständlich, weil es hier um komplexes Spezialwissen und etwas Nichtalltägliches geht - ich persönlich kann bei diesem Thema auch gar nicht mitreden. Bei IT-Sicherheit sollte der Fall aber anders liegen: Das Thema ist für alle Internetnutzer*innen enorm wichtig – unabhängig von Alter, Geschlecht, Beruf oder anderen Faktoren. Es geht hier um nichts Anderes als die Sicherheit der eigenen „digitalen Ichs“, zum Beispiel die Sicherheit des Amazon- oder Facebook-Benutzerkontos. Bei Unternehmen steht gar die wirtschaftliche Existenz auf der Kippe. Doch für viele von uns Nutzer*innen ist die Absicherung von Computern, Mobilgeräten und IT-Systemen vor Cyberattacken sehr kompliziert und abstrakt. Woran liegt das?
Die Gefahr ist nicht sichtbar
Ein gutes Beispiel dafür ist der medizinische Bereich: Ich bin in einem Hochsicherheitslabor irgendwo auf der Welt. Hier gilt die höchste Sicherheitsstufe. Wissenschaftler forschen an Viren und Bakterien, die in der Lage sind, ganze Landstriche zu entvölkern, zum Beispiel Ebola- oder Lassaviren. Gut geschützt schaue ich mir unter einem Mikroskop Yersinia pestis – auch bekannt als die Pest - an. Zu sehen sind längliche Gebilde, die einer Kapsel ähneln. Die Gefahr, die von diesen Erregern ausgeht, ist für uns Menschen gut greifbar. Dafür ist auch noch ein anderer Faktor entscheidend: Krankheiten, wie die Pest, grippale Infekte, Masern oder Windpocken sind durch äußerliche Symptome klar ersichtlich. Hat jemand hohes Fieber und starken Husten, ist klar, dass es sich um eine Krankheit handelt, die behandelt werden muss. Zudem treffen wir Vorkehrungen, um uns nicht mit Krankheiten anzustecken. Wir setzen zum Beispiel eine medizinische Maske in der aktuellen Covid19-Pandemie auf, um uns und andere Menschen nicht zu gefährden.
Menschen haben ein generelles Schutzbedürfnis, niemand möchte in Gefahr geraten. Dieses Verlangen basiert auf unseren ureigenen Instinkten. Unsere Sinne zeigen zum Beispiel, ob eine Speise essbar ist. Unsere Instinkte warnen uns vor verschiedenen Gefahren, das klappt aber nicht bei allen Risiken. Cyberkriminalität kann man weder hören noch schmecken, riechen oder sehen. Sichtbar sind am Ende nur die negativen Folgen eines erfolgreichen Angriffs, wie etwa ein Sperrbildschirm mit einer Lösegeldforderung bei einer Ransomware-Infektion. Was können wir also machen? Vielleicht unsere Instinkte trainieren?
"Es gibt beim Menschen erlerntes Verhalten und dieses kann durch individuelle Erfahrungen mit der eigenen Umwelt entstehen. Dadurch wird menschliches Verhalten modifiziert. Bedrohungen im Bereich der Cybersecurity sind mittlerweile allgegenwärtig. Sie sind Teil unserer Umwelt. Wir müssen uns daher mit diesem Thema auseinandersetzen, damit wir lernen uns zu schützen und dieses Wissen instinktiv als Reaktionsmuster abzurufen", erklärt Christian Laber, Specialist E-Learning bei G DATA CyberDefense.
Über Instinkte
Wir sprechen oft über Instinkte, aber was genau ist das eigentlich? Der Begriff beschreibt eine Art Reaktionsmuster, welches in verschiedenen Lebenslagen oder Situationen entsprechend auftritt. Ein Instinkt ist also eine Art innere Disposition, welche den Menschen zu einer bestimmten Handlung drängt. Ein Instinkt setzt in gewissem Maße einen Automatismus oder Mechanismus auf Basis eines Schlüsselreizes in etwa in Kraft, welcher dann einen Menschen entsprechend handeln lässt. Würde ich zum Beispiel in freier Wildbahn ein Raubtier sehen, würde ich sofort versuchen wegzurennen, um der Gefahr zu entkommen. Das ist eine Art von Verhaltenssteuerung durch Instinkte. Instinkte können also als etwas „evolutionäres“ gesehen werden, denn Instinktverhalten zeichnet sich auch dadurch aus, dass der Mensch gewisse Reaktionen auch ohne vorheriges Erlernen beim erstmaligen Anwenden beherrscht, wie bei einem angeborenen Verhalten.
IT-Sicherheit ist oft nicht verständlich
Von unseren Virenanalysten bei G DATA CyberDefense lasse ich mir ein Schadprogramm im Detail zeigen. Die Wahl fällt auf eine der zahlreichen Emotet-Varianten mit einer Wurm-Komponente. Was ich dann zu Gesicht bekomme, sind viele Programmcodezeilen mit Sonderzeichen und Ziffern. Ist das wirklich Schadcode oder nur wahllos dahin getippter Buchstaben-Ziffern-Zeichen-Salat? Während das Pest-Bakterium im Hochsicherheitslabor unter dem Mikroskop deutlich als Gebilde sichtbar ist, sehe ich hier etwas, was ich als ausgebildete Germanistin schlecht begreifen kann. Natürlich vertraue ich aber dem Analysten, der mir genau erklärt, welcher Programmcode welche Schadfunktion ermöglicht. Damit verstehe ich, wie gefährlich das Schadprogramm ist und dass es auch für mich eine ernste Bedrohung darstellt. Viele andere Menschen dürften an dieser Stelle aber wieder abgeschaltet haben.
Der Linguist Dr. Steffen Hessler vom Germanistischen Institut an der Ruhr-Universität Bochum forscht auf der sprachlichen Ebene, warum IT-Themen schwer zu verstehen sind. Oft finde die Kommunikation von IT-Experten und Anwendern nicht auf einer Ebene statt. „Die Themen der IT und der IT-Sicherheit werden oft nur sehr fachspezifisch und zu knapp vermittelt. Dadurch ist es für fachliche Laien schlecht oder gar nicht zu verstehen. Es muss mehr erklärt werden, denn was wir nicht verstehen, können wir auch nicht umsetzen. Dieses Problem gilt generell für jede Fachsprache“, erklärt Dr. Steffen Hessler.
Die Fachsprache der IT-Sicherheit enthält viele Anglizismen. Ein häufig genutzter Begriff ist Malware, zusammengesetzt aus „mal“ für malicous (gefährlich) und „ware“ für Software. Virenanalysten und andere Security-Experten nutzen diese Begriffe, sie sind international vernetzt und die gemeinsame Sprache ist dabei Englisch. Das IfD Allensbach befragte 2020 die Deutschen zu ihren Fähigkeiten in der englischen Sprache. Das Ergebnis: Etwas mehr als die Hälfte der Befragten hat nach eigenen Angaben nur geringe oder gar keine Englischkenntnisse. Daher wundert es nicht, dass viele Menschen IT-Sicherheitsthemen nur schlecht verstehen, wenn sie nicht nur zu knapp, sondern auch oft mit Hilfe von vielen Anglizismen vermittelt werden.
Lieber den Kopf in den Sand stecken
Wir Menschen neigen zudem gerne dazu, Schwierigkeiten gezielt aus dem Weg zu gehen. Gibt es für ein Vorhaben eine einfache und eine schwerere Variante, entscheiden wir uns im Regelfall für die simple. Warum sollten wir uns daher mit der komplizierten IT-Sicherheit auseinandersetzen und versuchen sie zu verstehen, wenn Surfen und Chatten doch ein viel schönerer Zeitvertreib sind? Eine repräsentativen Umfrage von Bitkom zeigt, dass 84 Prozent der PC-Nutzer in Deutschland eine Virenschutzsoftware nutzen und somit einen ersten Schritt in Richtung IT-Sicherheit gehen. Trotzdem beschäftigen wir uns nicht weiter mit dem Thema – frei nach dem Motto „installieren und vergessen“. Dabei reicht die alleinige Installation einer Securitylösung längst nicht mehr aus. Es muss mehr passieren, damit die digitale Identität sicher vor Onlinebedrohungen ist. Wir müssen ein Verständnis für IT-Sicherheit entwickeln und uns im Klaren darüber sein, dass Cyberkriminalität für jede*n Einzelne*n von uns ein ernstes Problem ist.
Wie es gelingen kann, IT-Sicherheit greifbarer und weniger abstrakt zu machen, thematisiert der zweite Teil dieser Blog-Reihe.