Ein tief hängendes Früchtchen ist ein faules Früchtchen

Das Frustrierende an der Welt der Cybersicherheit sind nicht die ­Angreifer. Auch nicht Tatsache, dass ihre Maschen immer raffinierter und weniger durchschaubar werden. Frustrierend ist vor allem, dass die Onlinewelt nach wie vor übersät ist mit sogenannten «low-­hanging fruits». Im Kontext von IT-Sicherheit bedeutet das für die Angreifer: maximaler Erfolg mit minimalem Aufwand. Und aus Sicht der User: total banale Schwachstellen, von denen häufig die ganze IT-Welt weiss, aber dennoch niemand etwas dagegen tut.

Onlineshops, Firmenwebsites und Netzwerke sind voller Zugriffsmöglichkeiten, die sich mit wenig Aufwand absichern liessen – etwa durch die Umsetzung von DMARC-Richtlinien zum Schutz der E-Mail-Kommunikation. Doch noch nicht einmal die Hälfte der 20 grössten Schweizer Unternehmen hat die strengsten DMARC-Standards implementiert, wie der IT-Sicherheitsdienstleister Proofpoint im vergangenen Mai feststellte. Fazit: Die meisten der hiesigen Top-Unternehmen bieten ihren Kundinnen und Kunden keinen angemessenen Schutz vor E-Mail-Betrug.

Der Klassiker unter den «low-hanging fruits» betrifft jedoch nicht den E-Mail-Verkehr mit börsenkotierten Unternehmen, sondern etwas ganz Alltägliches, nämlich die Passwortsicherheit. Eigentlich ist längst allgemein bekannt, dass man Passwörter nicht allzu wörtlich nehmen soll. Dennoch ist das bekanntermassen berüchtigte Passwort namens «password» weiterhin weit verbreitet. Im vergangenen Jahr stieg es sogar zum weltweit am häufigsten genutzten Passwort auf, wie aus Zahlen des britischen Passwortmanagers Nordpass hervorgeht. Auf Platz zwei, wenig überraschend: 123456. Dass so viele Menschen nach wie vor Alibi-Passwörter verwenden, nur um den Passwortzwang zu unterwandern, hat allerdings nur wenig mit mangelnder Informiertheit zu tun.

Das gilt besonders in der Schweiz, wie eine Onlinebefragung von NordVPN zeigt: Den Umfrageergebnissen zufolge weiss die überwiegende Mehrheit der Schweizerinnen und Schweizer (96 Prozent), wie man ein sicheres Passwort erstellt.

Das ist das Schwierige an Sensibilisierungskampagnen, die über Cyberrisiken im täglichen Leben aufklären sollen. Das Ziel sollte nicht darin bestehen, die Leute aufzuklären, denn das sind die meisten schon längst. Die Aufgabe solcher Kampagnen sollte vielmehr darin bestehen, gute Gründe aufzuzeigen, warum sich Menschen im Alltag mit IT-Sicherheit beschäftigen sollten.

Denn wenn das Wissen ja vorhanden ist, muss es im Widerstreit mit Bequemlichkeit oder gefühlter Überforderung stehen. Der Sozialpsychologe Leon Festinger bezeichnete diese inneren Widersprüche als «kognitive Dissonanzen» – das klingt vornehm, beschreibt aber nichts weiter als die allzu menschliche Neigung, Tatsachen, die einem nicht in den Kram passen, zu ignorieren oder sich schönzureden. Ähnlich verhält es sich bei Rauchern, die längst alle wissen, wie schädlich das Rauchen ist – und es dennoch tun, weil sie sich sagen: Die Zigi schmeckt mir halt. Oder: Helmut Schmidt hat sein Leben lang geraucht und wurde fast 100 Jahre alt.

Sensibilisierung für die Gefahren im Cyberraum schafft man also nicht durch Kampagnenkommunikation und erst recht nicht durch Pflichtübungen und Ermahnungen. Stattdessen könnten Unternehmen versuchen, die Bewusstseinsbildung im Arbeitsalltag zu fördern. Und zwar wenn immer möglich auf eine spielerische, spannende und interaktive Weise. Auf jeden Fall so, dass der Begriff Sicherheit nicht gleich die inneren Alarmglocken erklingen lässt, sondern auf eine positive Weise erfahrbar wird. Wer sich etwa von der Hackerkultur und ihrem kreativen Umgang mit Technik faszinieren lässt, muss nicht erst seinen von kognitiven Dissonanzen geplagten inneren Schweinehund überwinden, um sich ein anständiges Passwort zurechtzulegen. Dann tut man es vielleicht sogar aus Spass – und vor allem aus dem Willen heraus, kein tief hängendes Früchtchen zu sein.