DeutschEnglish

Gravitate

Was hat Cybersecurity mit Psychologie zu tun?

Täglich erreichen uns Meldungen über Cyberangriffe auf Firmen und Institutionen. Der durch Cyberangriffe verursachte Schaden schätzt der Digitalverband Bitkom auf mehr als 220 Milliarden Euro für das Jahr 2020 und 2021*. Tendenz weiter stark steigend!

Warum sind die Risiken und auch die realen Schäden so stark steigend?
Sind Angreifer grundsätzlich cleverer als Verteidiger? Wohl kaum!
Die Gefahren sind inzwischen bekannt und die allermeisten Manager und Verantwortliche in Firmen und Organisationen sind sich doch der Gefahren bewusst! Warum steuern dann viele Firmen nicht entschlossen genug dagegen an?
Diese und ähnliche Fragen stellen wir uns immer wieder und sind zur Überzeugung gelangt, dass es neben technischen Ursachen auch andere Ursachen geben muss, die diese negative Entwicklung beeinflussen.

Im Folgenden versuchen wir uns diesem Thema zu nähern:

1. Zunehmende Komplexität der Technik


Die Vielzahl der Angriffsvektoren auf der einen Seite und die immer größer werdende Angriffsfläche (Stichwort „Digitalisierung der gesamten Gesellschaft“) auf der anderen Seite überfordert viele Menschen und damit natürlich auch Verantwortliche in Firmen und Organisationen.

Menschen reagieren bei Überforderung unterschiedlich. Der erste flüchtet sich in Aktionismus um zu zeigen, dass er alles menschenmögliche unternimmt um die Gefahr abzuwenden. Der zweite versucht die Verantwortung los zu werden und beauftragt externe Dienstleister mit der Aufgabe und der dritte überlegt sich einen Plan, der jedoch nicht entschlossen umgesetzt wird. Menschen sind individuell und in der Psychologie ist durchaus bekannt dass wir nicht sehr gut sind, bei Überforderung angemessen zu reagieren.

Hinzu kommt noch der Mangel an IT-Security-Experten mit entsprechendem Fachwissen und auch die Rolle der IT in der jeweiligen Firma spielt eine wichtige Rolle. In vielen Firmen berichtet der CIO noch an den CFO was auch organisatorisch zum Ausdruck bringt, dass die IT hauptsächlich als Kostenfaktor betrachtet wird.

Um der Komplexität Herr zu werden, wird die IT in verschiedene Segmente oder Abteilungen eingeteilt und organisatorisch abgebildet.

Dieses Bild zeigt eine typische IT-Organisation.

Dieses Bild zeigt einen typischen Organisationsaufbau wie er in vielen Firmen üblich ist. Um die Komplexität der Technik zu beherrschen gliedert man die Organisation entsprechend der benötigten Technologien in einzelne Teams oder Abteilungen (je nach Größe der Firma).
Diese Art von Organisation führt zwangsläufig zum Silo-denken. Das wird schon durch die visuelle Darstellung deutlich.
Hinzu kommt: Jedes Team / Abteilung arbeitet mit seinen eigenen Werkzeugen und Tools. Es gibt Security-Tools im Netzwerk, z. B. Firewalls oder Intrusion Detection Systeme, verschiedene EDS (Endpoint Detection Systeme) Security-Lösungen für Serversysteme usw.
Diese unterschiedlichen Security-Werkzeuge sind herstellerspezifisch und zueinander normalerweise nicht kompatibel.

Manche Hersteller versprechen eine hohe Sicherheit wenn man möglichst homogen bleibt und sich komplett für einen Hersteller entscheidet. Dieses Konzept führt natürlich zu einer hohen Hersteller-Abhängigkeit und konnte in der Praxis nach unserer Einschätzung keine signifikanten Verbesserungen vorweisen.

Wir empfehlen einen ganzheitlichen Ansatz zu wählen um die IT-Security einer Firma zu verbessern. Dazu gehören mehrere organisatorische und technische Maßnahmen. Und dies muss in einem kontinuierlichen Managementprozess abgebildet werden. Denn Security ist kein einmaliges Projekt sondern ein fortlaufender Prozess!

2. Präventionsparadoxon


Ein weiterer Einflussfaktor auf die IT-Security ist das sog. Präventionsparadoxon! Durch die Corona-Pandemie wurde das Präventionsparadoxon bekannt, obwohl es ein Begriff aus den 80er Jahren ist. Auf unser Thema Cybersecurity übertragen beschreibt man damit folgendes Dilemma: Wenn Securitymaßnahmen wirken und dadurch weniger Angriffe passieren entsteht der Eindruck, dass die Maßnahmen nicht notwendig gewesen wären. Es ist ja nichts oder nur sehr wenig passiert. Niemand kann genau sagen, was passiert wäre, wenn es keine Maßnahmen gegeben hätte.

Deshalb ist es auch schwierig, einen RoI (Return on Investment) bei Security-Projekten auszurechnen. Es gibt zwar verschiedene Ansätze dies zu quantifizieren indem man mit einer Risikoanalyse einen wahrscheinlichen finanziellen Verlust ermittelt und dann durch eine Reduzierung des Risikos auch den möglichen Verlust verringert. Alle diese Betrachtungen und Berechnungen beruhen jedoch auf Annahmen, die man nicht beweisen kann!

Trotzdem ist es unstrittig, dass man sein Risiko verringern muss. Alles andere wäre fahrlässig. Siehe auch unseren Artikel „Wieviel kostet eigentlich ein Hackerangriff?“

3. Wertschätzung der IT


Und last but not least: Entscheidend ist auch die Rolle der IT in den Firmen und Organisationen.

In vielen Firmen berichtet der CIO an den CFO einer Firma. Er ist dann auch nicht Mitglied im Vorstand! In diesen Organisationen wird die IT meistens noch als Kostenfaktor betrachtet und weniger als Business-Enabler!
Hinzu kommt, dass technisch brillante Menschen oft weniger Wert auf Selbstdarstellung und berufliches Networking legen. Durch diese Nachlässigkeit fristen viele Top-Experten ein Nischendasein. Sie werden gerufen wenn die „Hütte brennt“, ihre Meinung zur längerfristigen Strategie zählt dagegen kaum.
Oft herrscht in den Firmen auch Unklarheit über die Verantwortung bei Cybersecurity-Vorfällen! Viele Geschäftsführer sind der irrigen Annahme, dass sie das Thema komplett delegieren können. Die Tätigkeiten können sie delegieren, die Verantwortung jedoch nicht! Siehe auch unseren Artikel: „Cybersecurity ist Chefsache“.


Fazit: Auch wenn Sie mit den dargestellten Einflussfaktoren leben müssen, so sollten Sie die Bedrohungslage ernst nehmen und Maßnahmen ergreifen um die Cyber-Gefahr zu reduzieren.


Wir helfen dabei gerne mit unserem Cyber Security Service!

Wir ermitteln das Cyberrisiko Ihrer Firma, indem wir einen Schwachstellenscann durchführen und erstellen einen Report in dem alle gefundenen Schwachstellen dokumentiert werden und das individuelle Risikoprofil deutlich sichtbar wird.
Je nach vorhandenem Know How und verfügbaren eigenen Personalressourcen in Ihrer Firma passen wir unsere Security-Services an. Dafür verwenden wir verschiedene Technologien und Methoden mit dem Ziel einen umfassenden IT-Security-Schutz zu implementieren.
Denn unser Geschäftsziel ist die Erhöhung der Cybersicherheit unserer Kunden! Dies gelingt uns durch ein proaktives kontinuierliches Monitoring bei der Identifizierung der Cyber Bedrohungen Ihrer Organisation.

Haben wir Ihr Interesse geweckt? Sehr gerne stehen wir für weitere Informationen und Fragen zur Verfügung. Hier geht es zum Kontaktformular!

*siehe https://www.heise.de/news/220-Milliarden-Euro-Schaden-durch-Ransomware-und-andere-Cyber-Angriffe-6156111.html

What does cybersecurity have to do with psychology?

We receive reports of cyberattacks on companies and institutions every day. The digital association Bitkom estimates the damage caused by cyber attacks at more than 220 billion euros for 2020 and 2021*. And the trend is continuing to rise sharply!

Why are the risks and also the real damages increasing so strongly?
Are attackers fundamentally cleverer than defenders? Probably not!
The dangers are known by now and most managers and responsible persons in companies and organizations are aware of the dangers! Why then do many companies not act decisively enough against them?
We ask ourselves these and similar questions again and again and have come to the conclusion that there must be other causes besides technical ones that influence this negative development.

In the following, we will try to approach this topic:


1. Increasing complexity of technology


The multitude of attack vectors on the one hand and the ever-increasing attack surface (keyword "digitization of the entire society") on the other hand overwhelms many people and thus, of course, also those responsible in companies and organizations.

People react differently when overwhelmed. The first takes refuge in actionism to show that he is doing everything humanly possible to avert the danger. The second tries to get rid of the responsibility and commissions external service providers with the task and the third thinks about a plan, which is however not resolutely implemented. People are individual and it is well known in psychology that we are not very good at reacting appropriately when we are overwhelmed.

In addition, there is a lack of IT security experts with the appropriate expertise, and the role of IT in the respective company also plays an important role. In many companies, the CIO still reports to the CFO, which also expresses organizationally that IT is mainly seen as a cost factor.

To cope with the complexity, IT is divided into different segments or departments and mapped organizationally.

This picture shows a typical IT organization.

This picture shows a typical organizational structure as it is common in many companies. In order to master the complexity of technology, the organization is divided into individual teams or departments (depending on the size of the company) according to the technologies required.
This type of organization inevitably leads to silo thinking. This is already clear from the visual representation.
In addition, each team / department works with its own tools. There are security tools in the network, e.g. firewalls or intrusion detection systems, different EDS (Endpoint Detection Systems) security solutions for server systems etc..
These different security tools are vendor specific and usually not compatible with each other.

Some manufacturers promise high security if one remains as homogeneous as possible and decides completely for one manufacturer. Of course, this approach leads to a high degree of vendor dependency and, in our opinion, has not shown any significant improvements in practice.

We recommend taking a holistic approach to improving a company's IT security. This includes several organizational and technical measures. And this must be mapped in a continuous management process. Because security is not a one-time project but an ongoing process!

2. Prevention paradox


Another factor influencing IT security is the so-called prevention paradox! The Corona pandemic made the prevention paradox known, although it is a term from the 80s. Applied to our topic of cybersecurity, it describes the following dilemma: If security measures are effective and fewer attacks occur as a result, the impression arises that the measures would not have been necessary. After all, nothing or very little has happened. No one can say exactly what would have happened if no measures had been taken.

This is why it is difficult to calculate the return on investment (RoI) for security projects. There are various approaches to quantify this by determining a probable financial loss with a risk analysis and then reducing the possible loss by reducing the risk. However, all these considerations and calculations are based on assumptions that cannot be proven!

Nevertheless, it is indisputable that one must reduce one's risk. Anything else would be negligent. See also our article "How much does a hacker attack actually cost?"

3. Appreciation of IT


And last but not least: the role of IT in companies and organizations is also crucial.

In many companies, the CIO reports to the CFO of a company. He is then also not a member of the board! In these organizations, IT is mostly still seen as a cost factor and less as a business enabler!
In addition, technically brilliant people often place less value on self-promotion and professional networking. Due to this negligence, many top experts eke out a niche existence. They are called in when the "hut is on fire", but their opinion on longer-term strategy hardly counts.
Often there is also a lack of clarity in the companies about the responsibility for cybersecurity incidents! Many CEOs are under the misconception that they can delegate the issue completely. They can delegate the activities, but not the responsibility! See also our article: "Cybersecurity is a matter for the boss".


Conclusion: Even if you have to live with the influencing factors presented, you should take the threat situation seriously and take measures to reduce the cyber danger.


We are happy to help with our cyber security service!

We determine the cyber risk of your company by performing a vulnerability scan and create a report in which all vulnerabilities found are documented and the individual risk profile is clearly visible.
Depending on the existing know-how and available own human resources in your company, we adapt our security services. For this we use different technologies and methods with the goal to implement a comprehensive IT security protection.
Because our business goal is to increase the cyber security of our customers! We achieve this through proactive continuous monitoring in identifying cyber threats to your organization.


Have we aroused your interest? We are at your disposal for further information and questions. Click here for the contact form!

*see https://www.heise.de/news/220-Milliarden-Euro-Schaden-durch-Ransomware-und-andere-Cyber-Angriffe-6156111.html