5second - stock.adobe.com
Warum Cybersicherheit inklusiver werden muss
Cybersicherheit ist längst ein gesamtgesellschaftliches Thema. Selten wird berücksichtigt, dass verschiedene Gruppen ganz unterschiedlichen Herausforderungen gegenüberstehen.
Der Enkeltrick ist so etwas wie der Klassiker unter den Betrugsmaschen, die auf eine ganze bestimmte Zielgruppe zugeschnitten sind. In diesem Fall: ältere Menschen. Ursprünglich über das Telefon, inzwischen aber auch über Messenger wie WhatsApp, geben sich Betrüger als Verwandte oder Bekannte aus und versuchen durch das Vortäuschen einer Notlage, an das Geld oder an die Wertgegenstände ihrer Opfer zu gelangen. Dabei machen sie sich zunutze, dass ältere Menschen ihre Gegenüber nicht immer zuverlässig anhand der Stimme identifizieren können. Zumal sich Stimmen mit KI leicht klonen lassen – ein paar Audioschnipsel aus sozialen Netzwerken genügen.
Doch nicht nur ältere Menschen haben oft Schwierigkeiten, Audio- und Video-Deepfakes zu erkennen, sondern auch andere Nutzer digitaler Geräte und Services, denn die Fälschungen werden immer besser. Eine besondere Herausforderung stellen sie für diejenigen dar, die schlecht hören oder sehen – eine Nutzergruppe, die sich ganz allgemein mit der sicheren Nutzung vieler Websites schwertut, weil diese nicht barrierefrei sind. Wie verbreitet das Problem ist, zeigt eine Studie der gemeinnützigen Organisation WebAIM, der zufolge fast 95 Prozent von einer Million untersuchten Seiten nicht den aktuellen Web Content Accessibility Guidelines (WCAG) entsprechen. Für viele Unternehmen besteht hier Handlungsbedarf, da sie durch das Barrierefreiheitsstärkungsgesetz (BFSG) (PDF) und eine zugehörige Verordnung verpflichtet sind, ihre Websites und Apps barrierefrei zu gestalten.
Überhaupt ist Cybersicherheit nicht allein eine Aufgabe der Security-Branche, denn jedes Unternehmen steht zunächst selbst in der Verantwortung, sichere Produkte und Services auf den Markt zu bringen. Mit dem Cyber Resilience Act (CRA) gibt es seitens der EU sogar eine Verordnung, die unter anderem bewährte Konzepte wie Security by Design und Security by Default vorschreibt, um Cyberrisiken bei der Nutzung von Anwendungen und Geräten mit digitalen Komponenten zu reduzieren. Wichtig ist, dass Unternehmen das Thema Sicherheit nicht als Add-on betrachten, das erst im Nachhinein ergänzt wird, sondern es von Anfang an bei der Konzeption und Entwicklung ihrer Angebote berücksichtigen.
Digitale Kompetenzen schützen
Neben Senioren und Menschen mit Behinderungen sind auch andere Nutzergruppen spezifischen Risiken in der digitalen Welt ausgesetzt. Eine Studie der Landesanstalt für Medien NRW (PDF) beispielsweise zeigt, dass 16 Prozent der Kinder und Jugendlichen bereits mit Cyber-Grooming konfrontiert waren. Da ist es nur wenig hilfreich, dass sie beim Datenschutz immer nachlässiger werden: Laut einer Untersuchung der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) (PDF) sinkt der Anteil der Jugendlichen, die die Privatsphäre-Einstellungen von sozialen Netzwerken nutzen, seit Jahren kontinuierlich.
Um Kinder und Jugendliche für digitale Gefahren zu sensibilisieren und ein grundlegendes Verständnis für Cybersicherheit und Datenschutz zu schaffen, müssen diese Themen möglichst früh in den Unterricht integriert werden. Am besten eignen sich Learning by Doing und Gamification-basierte Ansätze, die das Wissen spielerisch vermitteln und Spaß machen. Darüber hinaus stehen Eltern und andere Bezugspersonen in der Verantwortung, indem sie vor allem die Jüngsten bei der Nutzung digitaler Medien begleiten und sicherheitsbewusstes Verhalten vorleben.
„Ein Schlüssel für mehr Cybersecurity sind neben Schulungen auch heterogene Teams. Solche diversen Teams denken nicht so leicht in eingefahrenen Bahnen und erkennen daher mögliche Cyberrisiken und verdächtiges Verhalten mit höherer Wahrscheinlichkeit als gleichförmige Gruppen.“
Eduarda Camacho, CyberArk
Bildung ist allerdings auch im Erwachsenenalter wichtig, um das Bewusstsein für neue Cyberbedrohungen zu schärfen und den sicheren Umgang mit digitalen Technologien und Angeboten weiter zu verinnerlichen. Bislang werden bei Schulungen aber nur selten die Unterschiede zwischen den verschiedenen Nutzergruppen berücksichtigt. Dabei haben beispielsweise Frauen häufiger mit Online-Belästigungen, Stalking, Romance-Scams sowie Doxing und Sextortion zu kämpfen, während Männer anfälliger für Krypto-Betrug, Sportwetten-Scams und Gaming-bezogene Angriffe wie Account Hijacking oder malwareverseuchter Cheat-Software sind.
Hinzu kommt, dass Frauen sich zwar laut mehreren Studien von Universitäten vorsichtiger in der digitalen Welt bewegen als Männer, aber auch seltener Tools wie Security-Software, Backup-Lösungen oder VPNs nutzen, die Sicherheit und Datenschutz verbessern. Sie gehen eher davon aus, dass sich jemand anders um die Sicherheit ihrer Geräte kümmert, haben seltener Security-Trainings erhalten und stufen ihre Kenntnisse und Erfahrungen geringer ein – wobei hier offenbleibt, ob Männer einfach nur mehr Vertrauen in ihre Security-Skills haben.
Es gibt also durchaus Unterschiede zwischen den Geschlechtern, die Unternehmen und Anbieter von Awareness-Trainings bedenken sollten. Forscher weisen allerdings darauf hin, dass eine nuancierte Anpassung der Schulungen sinnvoller ist als geschlechterspezifische Schulungen, denn diese könnten Stereotype verstärken und kontraproduktiv sein. Weiterhin empfehlen sie Unternehmen die Förderung von Communities of Practice, in denen Mitarbeitende voneinander lernen und gemeinschaftlich ein besseres Sicherheitsbewusstsein entwickeln.
Vielfalt reduziert Cyberrisiken
Ein Schlüssel für mehr Cybersecurity sind neben Schulungen auch heterogene Teams, in denen Frauen und Männer, Junge und Alte, Menschen mit und ohne Behinderung und Menschen aus unterschiedlichen Kulturkreisen zusammenarbeiten. Solche diversen Teams denken nicht so leicht in eingefahrenen Bahnen und erkennen daher mögliche Cyberrisiken und verdächtiges Verhalten mit höherer Wahrscheinlichkeit als gleichförmige Gruppen.
Diese Empfehlung gilt sowohl für normale Anwenderunternehmen als auch die Anbieter von Produkten und Services. Bei ihnen können vielfältige Erfahrungen und Perspektiven innerhalb der Belegschaft dazu beitragen, die Produkte und Services zugänglicher und sicherer zu gestalten. Ganz besonders gefordert ist hier die Security-Branche, die zwar oft schon eng mit Partnern und Kunden zusammenarbeitet, um etwa User Interfaces, Konfigurationen und Funktionen auf individuelle Anforderungen hin zuzuschneiden. Doch auch sie wird künftig noch stärker auf die spezifischen Bedürfnisse verschiedener Nutzergruppen eingehen müssen. Daher sollte ihre Belegschaft in allen Unternehmensbereichen und in allen Managementebenen weitgehend so zusammengesetzt sein wie die Nutzerschaft, die sie mit ihren Lösungen schützen will.
Über den Autorin:
Eduarda Camacho ist Chief Operating Officer (COO) bei CyberArk.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
