Es gibt keinen Satz, der in IT-Sicherheitsdiskussionen häufiger vorkommt, als folgender: "Der Mensch ist unsere größte Schwachstelle." Solange wir IT-Sicherheit mit dieser Haltung gestalten, ist sie zum Scheitern verurteilt. Yes we are doomed.

Und dabei geht es schon lange nicht mehr nur um die Idee, dass sich Menschen lange alphanumerische Zeichenketten (aka Passwort) merken sollen oder die Forderung, dass ja wohl jede und jeder in der Lage sein sollte, seine E-Mails mit PGP zu verschlüsseln. Über die Jahre hat sich herumgesprochen, dass Sicherheit auch nutzbar sein muss – dass der Mensch ernst genommen werden muss, wenn IT-Sicherheit funktionieren soll.

Aber die neuesten Maßnahmen gegen Cyberangriffe tappen genau in die gleiche Falle. Viele der Trainings, die Unternehmen gerade in großem Stil einsetzen, sitzen einem Denkfehler auf. Cybersecurity-Awareness-Trainings, Test-Phishing-Emails und so genannte social engineering pentests gehen von der Annahme aus, dass Menschen es nur richtig wissen müssen, um sicher zu sein. Diese Annahme ist falsch.