Weltweit nimmt die Zahl von Cyber-Attacken auf Unternehmen, Regierungen und Privatpersonen zu. Der Mensch in seinem kulturellen Umfeld ist dabei ein wichtiges Element. Unterschiedliche Kulturen scheinen mit unterschiedlichen Anfälligkeiten verbunden zu sein.
Das Bundesamt für Sicherheit in der Informationstechnik zeichnet in seinem jährlichen Lagebericht „Die Lage der IT-Sicherheit in Deutschland 2018.“ ein bedrohliches Szenario auf: Die Zahl der Cyber-Attacken auf die Bundesregierung, die deutsche Industrie und Privatpersonen nimmt in erschreckendem Maße zu. Gerade Deutschland gerät dabei massiv ins Visier von kriminellen Hackern.
Fest steht: Knapp 90 Prozent aller Cyber-Angriffe haben einen kriminellen Hintergrund. Rund zehn Prozent aller Cyber-Attacken entfallen auf staatliche Cyber-Krieger. Ziel der Kriminellen sind entweder persönliche Daten (Kontoverbindungen, Kreditkartennummern, Passwörter etc.) oder das Kapern des Rechners für neue Angriffe via Bot Netzwerk oder zur Erpressung von Lösegeld für die erneute Freigabe des Computers. Die Ransomware „Wannacry“ ist hierfür ein in gleichen Maßen prominentes wie auch erschreckendes Beispiel. Werden staatliche Systeme Ziel von Hackern sind meist Sabotage, Spionage und das Ausspähen von Handelsgeheimnissen die Folge. 800 Millionen Schadprogramme für Computer-Systeme hat das BSI im vergangenen Jahr aufgedeckt. Im Jahr davor waren es 600 Millionen – täglich kommen rund 400 000 Schadprogramm-Varianten dazu.
Cyber-Sicherheit und der menschlich-kulturelle Faktor
Der Blick muss dabei auf eine wichtige Dimension des Faktors Mensch gelenkt werden: Den Einfluss unterschiedlicher Kulturen auf den Umgang mit Technologie und insbesondere auf das Verhalten Einzelner im Kontext Cyber-Sicherheit. Kulturelle Eigenheiten beeinflussen Präferenzen, Vorurteile und Verhaltensweisen. In seinem renommierten Buch „The Culture Code“ arbeitet der Anthropologe und Marketing-Experte Dr. Clotaire Rapaille heraus, wie Angehörige verschiedener Nationalitäten sehr unterschiedliche Codes etwa für das Image von Produkten, Firmen oder Ländern entwickelt haben.
Diese Erkenntnisse stammen aus Kundenaufträgen, in deren Rahmen Dr. Rapaille umfangreiche Interviews mit Fokusgruppen durchführte, um kulturell bedingte Präferenzen, Vorurteile, Eigenheiten und Verhaltensweisen zu ermitteln. In vertiefenden Analysen werden dann ein Stück weit generalisierte, psycho-kulturelle Eigenschaften von Vertretern der untersuchten Länder abgeleitet.
Länderspezifische Aspekte von Cyber-Kriminalität
Es stellen sich die Fragen, wie können Schutzkonzepte und Richtlinien aussehen, die diesen Hintergrund angemessen berücksichtigen? Und welche Rolle spielen hierbei kulturell-länderspezifische Aspekte, wie beispielsweise die berühmte „German Angst“ und unternehmenskulturelle Aspekte, wie etwa der Vergleich eines klassisch hierarchischen Systems versus Holacracy-Modellen, die verstärkt in Zeiten digitaler Transformation en vogue geworden sind?
Einige prägnante Beispiele aus den von Dr. Rapaille gewonnenen Erkenntnissen: US-Amerikaner definieren sich stark über ihre Arbeit. Die berufliche Tätigkeit bestimmt in diesem Kulturkreis zu weiten Teilen das Bild der eigenen Identität. Die Bedeutung von Geld sei in dieser Kultur der Beleg für Fleiß und Erfolg.
Ganz andere Bedeutungen sieht der Autor in europäischen Ländern. So würden in Frankreich Arbeit und Geld eher als „notwendiges Mittel zum Zweck“ betrachtet – wer es sich erlauben kann, erwarte von seinem Job dort zumindest ein gewisses Maß an Unterhaltsamkeit und Annehmlichkeit. Qualität und technische Perfektion spielen laut Dr. Rapaille wiederum in Deutschland oder Japan eine große und zum Teil sogar absolute Rolle, während US-Amerikaner sich gemäß seinen Analysen in vielen Fällen mit „It just works“ begnügen und übermäßiger Perfektion gar skeptisch gegenüberstehen.
Einen, aus ausländischer Sicht zum Teil übertriebenen, Hang der Deutschen zum Perfektionismus, erkennt der Autor als entscheidend für die Qualität von „German Engineering“ und den globalen wirtschaftlichen Erfolg der Deutschen in diesem Feld an. Demgegenüber sei die US-amerikanische Kultur nach Überzeugung von Dr. Rapaille geprägt von einer weit verbreiteten Weigerung, erwachsen zu werden, was wiederum zu einem großen Wettbewerbsvorteil im Feld der Innovation führe.
Konsequenzen für mehr Cyber-Sicherheit
Somit drängt sich die Frage auf, wie angemessene Schutzkonzepte angesichts dieser Erkenntnisse und einer zunehmend komplexeren Bedrohungslage aussehen können. Ein klassischer Ansatz ist die Definition und Durchsetzung von Policies, sowohl auf technischer als auch organisatorischer Ebene, die die Einhaltung von Sicherheitsmaßnahmen garantieren sollen. Je hierarchischer und autoritärer eine Unternehmenskultur ausgerichtet ist, umso restriktiver fallen in der Regel auch die entsprechenden Richtlinien aus.
Der Ansatz, Sicherheit vor allem durch Verbote und Einschränkungen von Benutzerfreiheiten zu etablieren, hat sich in der Praxis jedoch als zweischneidig erwiesen. Denn je stärker die Möglichkeiten eines einzelnen Nutzers eingeschränkt werden, umso mehr befördert dies die Tendenz, dem Korsett sicherheitsbezogener Regeln zu entkommen.
Eine typische Folge ist die Problematik „Bring Your Own Device“ (BYOD), mit der sich viele Firmen-IT-Abteilungen seit Jahren konfrontiert sehen – wenn die Funktionen und Berechtigungen ihrer Arbeitsgeräte zu stark beschränkt sind, bringen die Anwender private Endgeräte mit an den Arbeitsplatz. Diese sind dann oft überhaupt nicht in die Schutz- und Sicherheitskonzepte des Unternehmens integriert. Wird auch der Fluchtweg BYOD unterdrückt, folgt aus solchen Maßnahmen oft eine Verweigerungshaltung à la „Das Gewünschte ist mit den zur Verfügung stehenden Mitteln nicht möglich – wenn es die IT-Abteilung so will, dann lässt sich diese Aufgabe eben nicht lösen.“
Flache Hierarchien und Eigenverantwortung als Lösung?
Liegt der bessere Weg also in Holacracy-Modellen, in betont flachen Hierarchien, oder sicherheitstechnisch „lockeren Zügeln“ und einer Stärkung der Eigenverantwortung der Mitarbeiter?
Aus den in den voranstehenden Abschnitten hergeleiteten Gründen ist auch dieser Ansatz keineswegs ein Garant für höhere IT- und Informationssicherheit. Ein gesunder Mittelweg könnte in einem adäquaten Risikomanagement liegen. Technische und organisatorische Sicherheitsmaßnahmen berücksichtigen dabei die Gefährdungsstufe spezifischer Daten und Anwendungen. Empfindliche Bereiche und besonders schutzwürdige Daten unterliegen stringenteren Sicherheitsmaßnahmen, Geschäftsbereiche oder Prozesse mit geringerer Sensibilität werden ebenfalls geschützt, weisen den Mitarbeitern hier jedoch ein höheres Maß an Selbstverantwortung zu. Alle Schutzmaßnahmen berücksichtigen dabei die voranstehend aufgeführten psychologischen und kulturhistorischen Erkenntnisse.