Wir leben in einer Welt, in der der Begriff "Cybersicherheit" entweder Angst oder Langeweile auslöst.
Es geht um Hackerangriffe, Phishing, und alle Arten von digitalem Betrug. Die übersehene Wahrheit ist jedoch, dass die Benutzer die besten Sicherheitspraktiken nicht annehmen, weil sie ohne Rücksicht auf die Benutzerfreundlichkeit entwickelt wurden.
Es ist ein bisschen so, als würde man jemanden bitten, sich durch das Fallgitter einer mittelalterlichen Burg zu zwängen, nur um seine E-Mails abzurufen; die Absicht ist gut, aber die Ausführung, nun ja, nicht so sehr.
Das UX-Problem beim Sicherheitsdesign
User Experience (UX) ist die geheime Zutat, die jede Interaktion mit Technologie nicht nur erträglich, sondern angenehm macht. Ein großer Teil des frühen Erfolgs von Apple ist Steve Jobs' Besessenheit von Ästhetik und Einfachheit zu verdanken. Die Art und Weise, wie die Software entwickelt wurde, die physische Hardware, selbst das Auspacken des Produkts ist ein besonderes Erlebnis.
Stellen Sie sich vor, Sie besuchen einen Vergnügungspark mit Fahrgeschäften, die von Ingenieuren entworfen wurden, für die Sicherheit bedeutet, dass Sie eine Sicherheitseinweisung erhalten, feuerfeste Kleidung anziehen, 30 Minuten angeschnallt werden und weitere 15 Minuten einzeln überprüft werden. Und das alles, um in einer Achterbahn zu fahren, die perfekt waagerecht bleibt und nie schneller als 5 km/h fährt (für meine europäischen Freunde). Klar, man ist sicher, aber würde man jemals wieder dort hinfahren? Genau so fühlt sich schlechte UX in der Cybersicherheit an - ein grimmiger Härtetest, bei dem die Nutzer in Schichten von Protokollen gefangen sind, von denen eines verwirrender ist als das andere.
Stellen Sie sich vor - jedes Mal, wenn Sie versuchen, sich in ein System einzuloggen und auf eine Sicherheitsbarriere stoßen, die sich anfühlt, als müssten Sie durch brennende Reifen springen, stirbt ein kleiner Teil Ihrer Seele. Und das nicht, weil die Kontrollen an sich schmerzhaft sind, sondern weil wir uns nicht vorstellen können, wie es ist, auf der anderen Seite dieser Reifen zu stehen.
Der Fall der Multi-Faktor-Authentifizierung
Werfen wir einen Blick auf die Multi-Faktor-Authentifizierung (MFA), unser liebstes Kind der modernen Sicherheit. MFA ist wie der ultimative Türsteher in einem exklusiven Club, der nicht nur nach dem Ausweis fragt, sondern auch nach einem geheimen Händedruck, einem biometrischen Scan und vielleicht einer kleinen Blutprobe. Ja, es hält das Gesindel fern, aber es macht es auch sehr schwierig, hineinzukommen.
Nehmen wir ein anderes Beispiel. Sie sollen online Geld überweisen, und nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben, werden Sie aufgefordert, einen Code auf Ihr Handy zu schicken. Sie warten... und warten. Endlich kommt der Code, aber als Sie ihn eingeben, ist er bereits abgelaufen. Also versuchen Sie es noch einmal, und jedes Mal steigt Ihr Ärger wie das Quecksilber in einem Sommer in Arizona. Sicher, Ihr Konto ist jetzt sicherer, aber Ihre Laune? Nicht so sehr.
Der Fall des Patchens
Es ist auch eine gute Idee, Ihre Geräte und Software auf dem neuesten Stand zu halten und zu patchen. Aber wie oft haben Sie schon ein Update um Tage, Wochen oder noch länger hinausgeschoben, weil Sie wussten, dass, sobald Sie auf „Update“ drücken, das Gerät nicht nur für die nächste Stunde unbrauchbar ist, sondern dass Sie sich, wenn es endlich wieder zum Leben erwacht, durch eine Liste von praktischen Tipps und Menüpunkten navigieren müssen, die an unübersichtliche Stellen verschoben wurden.
Ja, Updates sind wichtig, aber nicht auf Kosten von fast einem halben Tag Arbeit.
Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit
Das bringt uns zum ewigen Kampf zwischen Sicherheit und Benutzerfreundlichkeit - jeder tanzt nach einem anderen Rhythmus, ähnlich wie in einer Beziehung, in der der eine Partner ein Ordnungsfanatiker ist und der andere gerne in dem lebt, was er „organisiertes Chaos“ nennt. Wir brauchen eine harmonische Mischung, bei der die Sicherheitsmaßnahmen die Nutzer nicht vergraulen. Ein gutes Beispiel ist Face ID, wo man nur einen Blick auf sein Handy wirft, und schon ist man drin. Das ist sicher, aber man muss nicht nach einem Sicherheits-Token suchen oder hektisch Codes eintippen.
Schauen Sie sich in der physischen Welt den einfachen Sicherheitsgurt an. Es gab eine Zeit, in der sich die Menschen dagegen sträubten, ihn zu benutzen - er war sperrig, unbequem und vergesslich. Dann entwickelte sich das Design der Sicherheitsgurte weiter: schlanker, einfacher und nicht aufdringlich. Heute befolgt fast jeder das Gesetz und schnallt sich ohne Zögern an. Und wenn das nicht klappt, piepen die meisten modernen Autos, bis der Gurt angelegt ist. An dieser Designrevolution müssen sich die Sicherheitsdesigner ein Beispiel nehmen: einfach, schnell und nahtlos.
Das Netflix der Sicherheit
Stellen Sie sich eine Welt vor, in der Cybersicherheit intuitiv und fast unsichtbar ist, wie eine gut durchdachte Netflix-Warteschlange, die einfach weiß, was Sie als Nächstes sehen möchten. Anstatt die Nutzer mit Captcha-Rätseln oder verwirrenden Passwortrichtlinien zu konfrontieren, sollten Entwickler darüber nachdenken, sich an die Nutzer anzupassen. Adaptive Authentifizierung, adaptives Training, das genau dann angeboten wird, wenn es benötigt wird, VPNs, die automatisch eine Verbindung herstellen, wenn man das vertrauenswürdige Netzwerk verlässt.
Das menschliche Element verstehen
Letzten Endes geht es nicht darum, den Nutzern Angst einzujagen oder sie mit Komplexität zu überfrachten, um sie zu guten Sicherheitspraktiken zu bewegen. Es geht darum, eine nahtlose und angenehme Erfahrung zu schaffen, die Sicherheit zu einer natürlichen Erweiterung ihres Online-Verhaltens macht. Wie uns die effektiven Veränderungen bei den Sicherheitsgurten und der Benutzererfahrung gezeigt haben, liegt der Schlüssel in der Gestaltung mit Einfühlungsvermögen und Intelligenz. Als Sicherheitsexperten sollten wir uns zum Ziel setzen, einen Tanz zu choreographieren, in dem Benutzerfreundlichkeit und Sicherheit in perfekter Harmonie miteinander verbunden sind, damit Sicherheit nicht auf Kosten der Vernunft geht.
Sicherheitskontrollen sollten nicht nur funktional, sondern, wenn ich so sagen darf, auch angenehm sein. Machen wir die Cybersicherheit so flüssig wie ein Jazz-Riff und so intuitiv wie das Atmen - dann werden die Nutzer die Online-Sicherheit nicht nur akzeptieren, sondern lieben.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo