Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Die Sicht eines Cyberpsychologen auf die Kultur der Schuldzuweisung in der Cybersicherheit

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
15April 2025
23 min. lesen
Dr. Erik Huffman, Cyberpsychologe
Der Cyberpsychologe Dr. Erik Huffman

"Nur unvorsichtige Menschen werden gehackt." Es ist ein weit verbreiteter Glaube an Cybersicherheit. Aber stimmt das?  

Dr. Erik Huffman, ein führender Experte für Cyberpsychologie, hat diese Frage jahrelang erforscht. In seiner Arbeit untersucht er, wie sich menschliches Verhalten auf die Cybersicherheit auswirkt und warum traditionelle Überlebensinstinkte uns online nicht schützen.

Seine Erkenntnisse? Selbst die am besten Vorbereiteten werden verletzt.

In unserer neuesten Folge von The Segment: A Zero Trust Leadership Podcast habe ich mich mit Huffman zusammengesetzt, um über die Realität der heutigen Angriffe zu sprechen und darüber, warum Zero Trust die beste Antwort auf die Vorbereitung auf Sicherheitsverletzungen ist.

Schuldzuweisungen behindern die Cybersicherheit

Laut Huffman ist eine der schädlichsten Reaktionen auf einen Verstoß der unmittelbare Instinkt, einzelne Personen zu beschuldigen.  

"Wenn ein Vorfall passiert, fragt sich jeder 'Wer hat was falsch gemacht?' anstatt 'Wie ist das passiert und wie können wir es verhindern?'", erklärte er.

Diese Kultur der Schuldzuweisung ist nicht nur kontraproduktiv – sie ist überholt. Tatsächlich kommt es selbst in den am besten ausgestatteten und sicherheitsbewusstesten Organisationen zu Sicherheitsverletzungen.  

„100-prozentige Sicherheit gibt es nicht“, sagte er. „Wenn ein Nationalstaat eintreten will, wird er es tun.“

Der Fokus muss sich von der Schuldzuweisung auf die Analyse verlagern: verstehen, was passiert ist, daraus lernen und Abwehrmaßnahmen anpassen.

Hacker nutzen Stress aus, nicht Dummheit

Huffman ist der festen Überzeugung, dass die Branche zu viel Zeit auf das Cyber-Bewusstsein und nicht genug auf die Cyber-Vorbereitung verwendet hat.

„Wir sagen den Leuten immer wieder, worauf sie achten müssen, aber wir bereiten sie nicht darauf vor, wie sie unter Stress reagieren sollen“, sagte er.  

Cyberkriminelle haben es nicht auf Menschen abgesehen, wenn sie wachsam und vorsichtig sind. Sie greifen sie an, wenn sie verwundbar sind. Wenn sie wegen Entlassungen gestresst sind, sich beeilen, eine Frist einzuhalten, oder emotional mit einer Bitte beschäftigt sind, die dringend erscheint.

Huffman sagt, der Schlüssel liege im Verständnis persönlicher Verletzlichkeiten. „Wir müssen die Leute nicht nur in Bezug auf allgemeine Bedrohungen schulen, sondern auch in Bezug auf die spezifischen psychologischen Taktiken, die Angreifer anwenden. Jeder Mensch hat einzigartige Auslöser.“

Erwarten Sie eine neue Welle von Angriffen, die durch KI angetrieben werden

Die Zunahme von KI-gesteuerten Angriffen verschlimmert dieses Problem nur noch. Deepfake-Audio und -Video werden bereits bei Cyberangriffen eingesetzt, wobei sich Bedrohungsakteure als Führungskräfte ausgeben, um betrügerische Transaktionen zu autorisieren.

"Was passiert, wenn man dem, was man sieht oder hört, nicht mehr vertrauen kann?" Fragte Huffman. "Wir treten in eine Zeit ein, in der 'Verifizieren, Verifizieren, Verifizieren' zur zweiten Natur werden muss."

Sicherheitsverantwortliche müssen sich auf eine Welt vorbereiten, in der selbst ein Anruf von einem bekannten Kontakt nicht für bare Münze genommen werden kann. Die Einführung von Zero-Trust-Prinzipien – und eine Zero-Trust-Mentalität im gesamten Unternehmen – wird entscheidend sein, um KI-gestützter Täuschung entgegenzuwirken.

Zero Trust ist der organisatorische Sicherheitsgurt

Wie kommen wir also vom Bewusstsein zur Bereitschaft?  

Huffman schlägt diese wichtigen Schritte vor:

  • Bedrohungsbewertung: Ermittlung der persönlichen Schwachstellen einer Person und der Art und Weise, wie diese wahrscheinlichausgenutztwerden können
  • Bewältigungsbewertung: Entwicklung von Strategien, wie Einzelpersonen Bedrohungen erkennen und darauf reagieren, wenn sie am verwundbarsten sind

Vorsorge bedeutet, den Mitarbeitern praktische Werkzeuge an die Hand zu geben, um sich selbst zu schützen, anstatt sie nur abstrakt über Bedrohungen zu unterrichten.

"Wir müssen aufhören, die Menschen zu verängstigen, und anfangen, sie zu stärken", sagte er. "Im Moment fühlt sich Cybersicherheit so an, als würde man ein Auto ohne Sicherheitsgurt fahren – in der Hoffnung, dass nichts Schlimmes passiert. Wir müssen die Menschen mit Sicherheitsgurten für Cybersicherheit anschnallen."

Auf organisatorischer Ebene erfüllt Zero Trust dieselbe Rolle.

"Bei Zero Trust geht es nicht nur um Technologie. Es ist eine Mentalität", sagte Huffman. "Es geht nicht um 'Vertrauen, aber Überprüfen' – es heißt um 'Überprüfen, dann erneut überprüfen'."

Unternehmen, die Zero Trust zusammen mit Cyber-Preparedness-Schulungen einführen, bauen ihre Widerstandsfähigkeit gegen menschliche und technologische Schwachstellen auf. Und in der heutigen Welt ist Resilienz das A und O.

Der Weg von der IT zur Cyberpsychologie

Huffmans Weg in die Cyberpsychologie war nicht geradlinig.  

Nach seinem Abschluss in Informatik begann er seine Karriere in der IT, wo er Netzwerke reparierte und Sicherheitsprobleme beging. Aber seine Perspektive änderte sich dramatisch, nachdem er mehrere aufeinanderfolgende Datenschutzverletzungen aus erster Hand erlebt hatte.  

"Ich habe alle Sicherheitsmaßnahmen gegen das Problem ergriffen, und trotzdem kam es immer wieder zu Sicherheitsverletzungen", erinnerte er sich. "Ich musste mich fragen: Wenn nur dumme Leute gehackt werden, bin ich dann dumm?"

Entschlossen, Antworten zu finden, wandte er sich der Forschung zu und fand heraus, dass über 90 % der Datenschutzverletzungen auf menschliches Verhalten zurückzuführen sind, entweder durch Fehler oder Social Engineering. Diese Erkenntnis führte ihn zur Cyberpsychologie, wo er seitdem Studien mit über 20.000 Teilnehmern durchgeführt und mit mehr als 220 Organisationen weltweit zusammengearbeitet hat, um die Lücke zwischen Cybersicherheit und menschlichem Verhalten zu schließen.  

Heute ist er ein preisgekrönter Pädagoge, Unternehmer, Redner und Forscher, dessen Erkenntnisse bei NASA-Goddard, ISACA, TEDx und anderen führenden Foren geteilt wurden. Derzeit ist er wissenschaftlicher Mitarbeiter am National Institute of Standards and Technology (NIST).

Hören, abonnieren und rezensieren Sie The Segment: A Zero Trust Leadership Podcast

Möchten Sie meine vollständige Diskussion mit Dr. Huffman hören? Hören Sie sich die Folge dieser Woche auf Apple Podcasts, Spotify oder wo auch immer Sie Ihre Podcasts bekommen, an. Sie können auch ein vollständiges Transkript der Episode lesen.

Verwandte Themen

Cyber Resilience

Verwandte Artikel

3 Highlights von illumio auf der Black Hat 2023
Zero-Trust-Segmentierung

3 Highlights von illumio auf der Black Hat 2023

Holen Sie sich die wichtigsten Erkenntnisse der diesjährigen Black Hat-Konferenz, einschließlich Bildern und Videos von der Veranstaltung.

Read more
Warum Richtlinien für Zero Trust wichtig sind
Zero-Trust-Segmentierung

Warum Richtlinien für Zero Trust wichtig sind

Die Idee der geringsten Rechte ist nicht neu, ebenso wenig wie die Idee, Geräte im Netzwerk getrennt zu halten, um die geringsten Rechte zu gewährleisten.

Read more
So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: 3 strategische Prinzipien
Zero-Trust-Segmentierung

So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: 3 strategische Prinzipien

Mikrosegmentierung ist wichtig. Wenn Sie es richtig machen, werden Sie Ihre Anfälligkeit für Angriffe wie Ransomware drastisch reduzieren und gleichzeitig die Compliance erreichen und aufrechterhalten.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more