Das wissenschaftliche Feld, das mit der Erforschung des menschlichen Faktors verbunden ist, ist multivektoriell – es handelt sich um Psychologie, Neurophysiologie, Ingenieurwesen, Ergonomie, Industriedesign, Anthropometrie, Anthropologie, Sicherheit, Kriminologie, und der Begriff selbst ist mehrdeutig und beschreibt die Möglichkeit einer Person, falsche oder unlogische Entscheidungen in bestimmten Situationen zu treffen oder unbeabsichtigte oder böswillige Handlungen zu begehen. Daher ist die Untersuchung des Phänomens des menschlichen Faktors keine triviale Angelegenheit, die einen enormen Zeit- und Arbeitsaufwand und einen multidisziplinären Ansatz erfordert. Und das Wichtigste bei der Untersuchung dieses Phänomens ist die menschliche Psyche, Entscheidungsmechanismen, herauszufinden, was eine Person tatsächlich antreibt, wie man sein Verhalten vorhersagt.
Die tatsächliche Praxis im Sicherheitsbereich weist darauf hin, dass technologische Lösungen ohne die Lösung der Problematik des menschlichen Faktors nicht in der Lage sind, die Sicherheit von Finanzstrukturen und im Prinzip die Sicherheit aller Strukturen und Branchen zu gewährleisten. Es ist schwierig, eine Branche zu finden, die für den menschlichen Faktor nicht „empfindlich“ ist. Wir können über seine identische Natur sprechen.
Die Veranstaltung „Neues Sicherheitsparadigma für Finanzinstitute“, die am 27.03.2023 im Rahmen des Runden Tisches am Münchner Institut für Informationssicherheit stattfand, brachte nicht nur die Frage des menschlichen Faktors auf den Punkt, sondern auch die Notwendigkeit, ein multidisziplinäres Programm zur Minimierung zu erstellen.
Auf den ersten Blick scheint es, dass das Programm zur Minimierung des menschlichen Faktors keine Innovation enthält. Aber wenn wir versuchen, das Phänomen des „menschlichen Faktors“ in Elemente zu zerlegen, werden wir damit große Schwierigkeiten haben. Wenn wir beispielsweise Insiderbedrohungen als Element eines menschlichen Faktors betrachten, dann wird in Europa das US-Programm verwendet, um sie zu beseitigen.
So wurde am 06.09.2021 auf der offiziellen Website der EU ein Leitfaden zur Beseitigung interner Bedrohungen veröffentlicht, der im Jahr 2020 von der CISA (Agentur für Cybersicherheit und Infrastruktursicherheit) entwickelt wurde.
Die am 16. November 2018 gegründete Cybersecurity and Infrastructure Security Agency (CISA) ist eine Behörde des US-Department of Homeland Security (DHS), die für die Stärkung der Cybersicherheit und den Schutz der Infrastruktur auf allen Regierungsebenen verantwortlich ist, für die Koordinierung von Cybersicherheitsprogrammen mit den US-Bundesstaaten und den Schutz vor privaten und staatlichen Hackern verantwortlich ist. Seine Tätigkeit ist die Fortsetzung des Amtes für nationalen Schutz und Programme (NPPD).
Der Insider-Bedrohungsleitfaden behandelt unbeabsichtigte und absichtliche Bedrohungen. Unbeabsichtigte Aktivitäten können weiter in nachlässige und zufällige Handlungen aufgeteilt werden.
Insider können absichtlich Aktivitäten durchführen, die der Organisation zu persönlichen Zwecken oder nicht zu persönlichen Zwecken schaden.
Zusätzlich zu Insiderbedrohungen, die nur Insider in einer Organisation betreffen, können Insiderbedrohungen auch Einzelpersonen betreffen.
Innere Bedrohungen zeigen sich auf unterschiedliche Weise: Gewalt, Spionage, Sabotage, Diebstahl und absichtlich oder unabsichtlich begangene Schadenshandlungen im Cyberspace.
Dieses Programm wurde im Jahr 2020 entwickelt. In den letzten Jahren hat sich die Cybersicherheitsbranche und Sicherheitsbranche insgesamt aufgrund der rasanten Technologieentwicklung und der Unterschätzung des menschlichen Faktors verändert.
Der „Global Review of Economic Crimes PwC 2021: Conversion of Risk to Resilience“ bezeichnet den menschlichen Faktor als Hauptbedrohung. Fast die Hälfte aller Wirtschaftskriminalität wird von internen Akteuren begangen, das Bewusstsein und die Ausbildung der Mitarbeiter sind wesentliche Bestandteile eines wirksamen Programms zur Verhütung wirtschaftlicher Verbrechen. 50% aller Wirtschaftsverbrechen werden aufgrund von Informationen von Mitarbeitern aufgedeckt, was unterstreicht, wie wichtig es ist, dass Mitarbeiter über effektive Kanäle verfügen, um verdächtiges Verhalten zu melden.
In den letzten zwei Jahren ist die Zahl der internen Bedrohungen um 44% gestiegen, während die Kosten für jeden Vorfall um mehr als ein Drittel auf 15,38 Millionen US-Dollar gestiegen sind, so der Bericht von Cost of Insider Threats: Global Report für 2022.
Der Proofpoint-Bericht „Cyber Security: Die Perspektiven des Vorstands für 2022“ besagt, dass mehr als zwei Drittel der Vorstandsmitglieder menschliches Versagen als größte Cyber-Schwachstelle nennen. Sie haben allen Grund, dies zu glauben, da 82% der gemeldeten Cyberangriffe auf einen menschlichen Faktor zurückzuführen sind.
Auf die Frage des Cyber Security Hub Mitte 2022, welche Bedrohungsvektoren das größte Risiko für ihre Organisationen darstellen, antworteten 75 % der Cybersicherheitsexperten, dass es sich dabei um Social Engineering und Phishing handele. Nach Abschluss der Umfrage wurden viele Organisationen angegriffen, darunter Revolut, Twilio, Uber, LastPass, Dropbox und Marriott International, was betont, wie wichtig es ist, dass Cyber-Sicherheitsexperten auf dem Laufenden bleiben.
Für 2023 wird erwartet, dass der menschliche Faktor ein bedeutender Faktor für die Bedrohungen der Cybersicherheit sein wird. Laut einer Studie des Weltwirtschaftsforums könnten im Jahr 2022 95% Probleme der Cybersicherheit auf einen menschlichen Faktor zurückzuführen sein.
Hinzu kommt, dass das US-Experten- und Wissenschaftsumfeld eng gefasst, also monodisziplinär ist, während in Westeuropa ein multidisziplinärer Ansatz herrscht, wodurch es aufgrund der Differenz zwischen den wissenschaftlichen Paradigmen der USA und den wissenschaftlichen Paradigmen Westeuropas sicherlich einen gewissen Konflikt gibt.
Es werden nur Fallstatistiken und Schadenshöhen veröffentlicht, das heißt, es werden Konsequenzen berücksichtigt, aber nicht der Grund für Insiderbedrohungen.
Die Ursache der vollendeten Handlung kann jedoch nur mit Hilfe der Wissenschaft festgestellt, beseitigt und vorhergesagt werden. Jede Branche sollte grundsätzlich eine wissenschaftliche Basis haben, einschließlich Sicherheit.
Aus wissenschaftlicher Sicht wurden Entscheidungsmechanismen von G. Gigerenzer und D. Kahneman untersucht.
Der menschliche Faktor ist bereits ein geläufiger Name, er ist ein Fluch für alle Lebensbereiche der Gesellschaft. Er ist es, der in den Ursachen von Verlusten, Insolvenzen, Flugzeugabstürzen, menschengemachten Abstürzen, ärztlichen Fehlern usw. vorherrschen wird.
Das auf der Veranstaltung „Neues Sicherheitsparadigma für Finanzinstitute“ vorgeschlagene Programmmodel zur Minimierung des menschlichen Faktors und der Anforderungen, die Experten für das Programm selbst gestellt haben, berücksichtigt ein neues effektives Sicherheitsmodell und enthält eine ganze Liste praktischer Anforderungen an den Ansatz und die Auswahl praktischer Instrumente, die angewendet werden müssen, um Systemfehler während der Konstruktionsphase so weit wie möglich auszuschließen. Es ist geplant, Spezialwerkzeuge in das Programm aufzunehmen, die nicht für den allgemeinen Gebrauch bestimmt sind. Das Modell des Programms zur Minimierung des menschlichen Faktors basiert auf der Einhaltung eines Gleichgewichts zwischen den Interessen von Unternehmen und Mitarbeitern und der Einhaltung des Gesetzes.
Auch die Problematik der Psychodiagnostik ist zu beachten. Das vorgeschlagene Programmmodell zur Minimierung des menschlichen Faktors löste die Frage der kulturellen und mentalen Unterschiede der Untersuchten, Differenz der Ansätze, Methoden, Variabilität der Norm, Indikatoren, Ergebnisse und die Tiefe der Psychodiagnostik durch die Anwendung von projektiven Techniken, die auf der Ebene des Unbewussten „arbeiten“.
Das Programm ist nicht nur für Finanzinstitute wie Banken und Versicherungen von entscheidender Bedeutung, sondern auch für Gesundheitseinrichtungen, Energiebereiche und eine Reihe anderer für den menschlichen Faktor empfindlicher Branchen.