0:00:06 Max Havey: Hallo und herzlich willkommen zu einer weiteren Ausgabe von Security Visionaries, einem Podcast rund um die Welt der Cyberdaten und der technologischen Infrastruktur, der Experten aus aller Welt und aus verschiedenen Bereichen zusammenbringt. Ich bin Ihr Gastgeber, Max Havey, und heute tauchen wir ein in die Welt der menschenzentrierten Cybersicherheit und des Risikomanagements. Und unser heutiger Gast ist Beth Miller Field, CISO von Mimecast, die das Standardwerk zum Thema Risiko-Reframing verfasst hat. Also Beth, vielen Dank, dass du heute hier bei uns bist.
0:00:30 Beth Miller: Vielen Dank, dass ich heute hier sein darf, Max. Ich weiß das zu schätzen.
0:00:34 Max Havey: Absolut. Gut, um gleich zur Sache zu kommen: Falls der Begriff einigen nicht geläufig ist, könnten Sie uns erklären, was ein menschenzentrierter Ansatz in der Cybersicherheit ist und wie dieser in der Praxis aussieht?
0:00:46 Beth Miller: Ja, natürlich. Wenn wir also über menschenzentriertes Denken sprechen, müssen wir meiner Meinung nach wirklich bei der Definition anfangen. Für mich ist Risiko per Definition menschlich. Es handelt sich nicht um einen Systemausfall, es handelt sich nicht um eine Compliance-Lücke. Es geht um eine Person, die sich in Unsicherheit zurechtfindet, ohne unbedingt über die richtigen Werkzeuge zu verfügen. Die alte Frage lautet also: Wie können wir Fehler vermeiden? Diese werden durch New Fragen ersetzt, die sich darum drehen, wie wir Menschen dabei helfen können, unter Druck und ständigem Wandel wirklich erfolgreich zu sein. Der Paradigmenwechsel besteht also darin, dass wir Benutzer oder Mitarbeiter nicht mehr als zu kontrollierende Variablen betrachten, sondern vielmehr als individuelle Akteure, die entsprechend ausgestattet werden müssen. Alles andere ergibt sich also, wenn man diese Perspektive ändert. Und was diese These wirklich untermauert, ist die Tatsache, dass wir wissen, dass 95 % aller Sicherheitsverletzungen auf menschliches Versagen zurückzuführen sind, aber nur 8 % der Mitarbeiter tatsächlich 80 % der Vorfälle verursachen. Es besteht also eine Diskrepanz zwischen diesem menschenzentrierten Sicherheitsverständnis, das als weich oder weniger wirksam angesehen wird, und dem, was tatsächlich intelligente Sicherheit ausmacht.
0:01:53 Max Havey: Warum ist Angst so ein wichtiger Faktor, der viele dieser Schulungen und die Art und Weise, wie die Leute mit dem Thema Sicherheit umgehen, antreibt? Warum spielt Angst dabei eine so treibende Kraft?
0:02:03 Beth Miller: Angst ist effizient. Es erregt also Aufmerksamkeit, es schafft Akzeptanz, es fühlt sich messbar an. Die Branche und das Sicherheitspersonal greifen daher quasi standardmäßig darauf zurück, aber die Neurowissenschaften zeigen ganz klar, dass die Reaktion auf Bedrohungen die Entscheidungsfähigkeit beeinträchtigt und Angst Scham erzeugt. Und Scham verleitet Menschen dazu, Fehler zu verbergen, anstatt sie zu melden. Wir haben also im Grunde die Bekanntheit gesteigert, aber nicht die Verhaltensänderung, und das sind nicht dieselben Dinge. Angst erregt also Aufmerksamkeit, sie fördert aber nicht das Urteilsvermögen, und wenn die Leute dann Angst haben, in Schwierigkeiten zu geraten, hören sie auf, einem etwas zu erzählen, wenn etwas schiefgeht, und das ist genau das Gegenteil von dem, was wir brauchen. Wir führen diese Feueralarmübungen durch und nennen es Brandschutz.
0:02:49 Max Havey: Es ist diese Vorstellung, dass die Menschen mehr Angst davor haben, zuzugeben, dass sie im Unrecht sind, als zuzugeben, dass sie im Unrecht sind und das Problem zu beheben. Und das ist ein wirklich interessanter Ansatz, um über Cybersicherheit und Risiken nachzudenken.
0:03:00 Beth Miller: Vieles basiert auf dem Konzept der Kontrollen. Man hat das System, man hat die Daten, man hat die Identitäten, aber der eigentliche übergeordnete Aspekt ist doch der Mensch, oder? Menschen haben also Identitäten. Sie greifen auf Systeme zu, um mit Daten zu interagieren, richtig? Der Mensch ist in dieser Kette sowohl der Anfang als auch das Ende. Die Einbindung dieser Personen in diesen Prozess ist entscheidend für ein besseres Risikomanagement insgesamt, sowohl systemweit als auch
Datenschutz und Identitätsmanagement. 0:03:33 Max Havey: Das ändert sich, wenn man von einem menschenzentrierten Ansatz spricht. Es geht im Grunde darum, die Denkweise zu ändern, mit der man an das Thema Sicherheit herangeht, und darum, dass sich die Menschen in seinem Unternehmen verändern. Es geht darum, die Angst vor Fehlern abzubauen und stattdessen zu erkennen, dass Fehler zwar erlaubt sind, es aber besser ist, aus ihnen zu lernen und weiterzumachen. Und das hebt gewissermaßen alle Schiffe an.
0:03:56 Beth Miller: Und ich denke, was das Risikomanagement im Bereich Humankapital von anderen Risikodisziplinen innerhalb einer Organisation unterscheidet, ist, dass es wirklich einen multidisziplinären Ansatz erfordert. Wenn man also ein Programm zum Management menschlicher Risiken aufbaut, denke ich, dass im Grunde fünf Personas damit zu tun haben. Es gibt also die Bereiche Sicherheit, IT, Personalwesen, Rechtssicherheit und dann noch die Manager bzw. Mitarbeiter selbst. Im Grunde genommen schaffen Sie also einen Kulturwandel, der mit den Geschäftszielen übereinstimmt. Die Einbindung der Mitarbeiter in diese Lösung ist also nicht nur wirtschaftlich sinnvoll, sondern gewährleistet auch, dass dieser nächste Angriffsvektor – die menschliche Angriffsfläche – so gemanagt wird, dass er messbar und verbesserungsfähig ist.
0:04:46 Max Havey: Nun, es ist auch deshalb besonders interessant, weil unser letzter Gast, den wir gerade hatten, Jenny Radcliffe, die People Hackerin, war und über Social Engineering und die damit verbundenen Dinge sprach. Und aus ihrer Sicht und aufgrund ihrer psychologischen Fähigkeiten gibt es keine Angriffsfläche für Menschen. Ich habe den Eindruck, dass viele Leute, insbesondere zumindest in den Sicherheitskreisen, mit denen ich gesprochen habe, nicht unbedingt über die menschliche Angriffsfläche sprechen. Ich finde das ziemlich interessant.
0:05:16 Beth Miller: Das ist die nächste Evolutionsstufe in der Entwicklung der Sicherheit. Um es nochmals zu betonen: In den 90er Jahren ging es darum, sich einen Überblick über all die Daten zu verschaffen, die einen umgaben. In den 2000er Jahren drehte sich alles um die Systeme und die Migration von On-Premise-Lösungen in die Cloud, und dann kamen die Identitäten hinzu, etwa Anfang 2010, mit der Möglichkeit, menschliche und nicht-menschliche Geheimnisse innerhalb der gesamten Organisation zu verfolgen. Und so haben wir uns zu den heutigen Menschen entwickelt und erkennen, dass dies das verbindende Element ist, einfach weil wir an dem Punkt angelangt sind, an dem wir die Menschen anerkennen und die KI erst im nächsten Kapitel, aber das ist der Stand der Dinge im Moment. Es löst das Bindegewebe zwischen den Schichten nicht auf. Du wolltest etwas sagen, Max?
0:06:03 Max Havey: Ja, also ich wollte konkret fragen: Wenn man über diese Art der Neubewertung von Risiken im Hinblick auf die menschliche Seite der Dinge nachdenkt, wie verändert KI das? Ich meine, ich finde, wir sollten uns in jeder Folge die Frage stellen: Welchen Einfluss hat KI darauf? Weil das derzeit ein so weit verbreitetes Phänomen ist, das branchenunabhängig auftritt. Ich bin daher neugierig auf Ihre Meinung. Welche Rolle spielt KI in dieser Diskussion?
0:06:28 Beth Miller: Man kann das auf zwei Arten betrachten: Traditionell haben wir die Nutzer der Perimeterverteidigung als Risikofaktoren gesehen, also die Mitarbeiter als Risikofaktoren und die Sicherheit als eine Art Belastung für die Produktivität. Doch KI macht das Denken in Compliance-Rahmenwerken endgültig überflüssig. Man kann nicht für jedes Szenario, das KI generieren wird, eine Richtlinie schreiben, das ist einfach nicht skalierbar. Künstliche Intelligenz verstärkt also die Notwendigkeit menschlichen Urteilsvermögens. Es ersetzt es nicht. Der Mensch überwacht nun die Ergebnisse der KI – dafür sind mehr, nicht weniger Fähigkeiten erforderlich. Um darauf zurückzukommen: Wir wissen, dass 95 % der Organisationen KI zur Verteidigung einsetzen, aber nur 55 % geben zu, dass sie nicht vollständig auf KI-gesteuerte Angriffe vorbereitet sind. Wir haben also die Verteidigungsebene automatisiert, während die menschliche Ebene im Wesentlichen auf einem Fehlerkorrekturtraining aus dem Jahr 2005 basiert.
0:07:24 Max Havey: Ich meine, das ist ja das Spannende daran, denn ich habe das Gefühl, dass sich viele Gespräche über KI darum drehen, wie die Menschen damit interagieren werden. Und ich glaube, dass die Betonung der menschlichen Urteilsfähigkeit der Schlüssel zum Funktionieren von KI ist. Es geht nicht immer nur darum, die richtigen Probleme zu haben, sondern
darum, die richtigen Leute dahinter zu haben, die verstehen, wie man das Ganze so angeht
dass nicht alles gefährdet wird. 0:07:47 Beth Miller: Ich denke, im Grunde genommen geht es darum, dass KI die Bedrohungen intelligenter macht, und wir können nicht immer weiter darauf reagieren, indem wir unsere Menschen dumm halten. Sie müssen also den Teil dieses Prozesses verstehen, den sie beeinflussen können und der in der Verantwortung der Organisation liegt, denn das ist wirtschaftlich sinnvoll. Das Zeitalter der KI beseitigt nicht den menschlichen Faktor, wie du schon sagtest, Max, sondern verstärkt ihn sogar. Und wenn man nicht für jedes KI-Szenario eine Richtlinie formulieren kann, braucht man Leute, die sich Gedanken darüber machen können, wie man darauf reagiert.
0:08:21 Max Havey: 100%. Nun, wie sollten Sicherheitsverantwortliche vor diesem Hintergrund vorgehen, um ihr Denken auf diese stärker menschenzentrierten Ansätze umzustellen? Gerade weil sich die Dinge ständig weiterentwickeln, welche Wege würden Sie vorschlagen, um diese Denkweise zu überdenken?
0:08:38 Beth Miller: Ich denke, die Definition von Risiko muss ebenfalls neu überdacht werden. Wenn man im Wörterbuch nachschlägt, tendiert die Bedeutung eher zu Pessimismus und Untergangsstimmung, aber der eigentliche Ursprung ist italienisch, und wenn man genauer hinsieht, bedeutet es wagen. Und so haben wir im Laufe der Zeit diese Fähigkeit verloren, anstatt alles zu vermeiden, was schiefgehen könnte, ging es uns darum, etwas zu wagen. Und sie hatten da so ein Sprichwort, das mit Navigation zu tun hatte, also fällt es mir gleich wieder ein, aber im Grunde: Wer nicht wagt, der nicht gewinnt.
0:09:10 Max Havey: Ja, absolut.
0:09:11 Beth Miller: Und wir haben wirklich darüber nachgedacht, irgendwie landete es im Bereich Compliance und Sicherheit, und wir haben die Definition natürlich nach unseren Standards neu geschrieben. Wir müssen also wirklich damit beginnen, die Bedeutung dieses Wortes grundlegend neu zu definieren und uns Navigationssignale anzusehen. Also nicht nur eine Warnleuchte. In meinem Buch spreche ich über dieses FOLD-Framework und die Idee dahinter, den aktuellen Standpunkt zu ermitteln: In welcher Risikobereitschaft befinden Sie sich momentan? Wie orientieren Sie sich in diesem Kontext? Und wie findet man heraus, was die treibende Kraft ist, und entscheidet dann bewusst? Ein Beispiel dafür ist: Anstatt „Klicken Sie nicht auf Phishing-Angriffe“ zu sagen, sollten Sie einfach „Klicken Sie nicht“ sagen. Hier erfahren Sie, wie Sie Drucktaktiken erkennen und was Sie tun können, wenn Sie sich unter Druck gesetzt fühlen. Sie geben ihnen nun also einen mentalen Modus vor und nicht nur eine Regel, tu dies, tu das nicht. Eine Ja/Nein-Entscheidung. Regeln sagen den Menschen also, was sie nicht tun sollen, und Umdeutung lehrt sie, wie man denkt. Zusammenfassend möchte ich noch einmal betonen, dass Risiko nicht der Feind ist. Risiko ist also nicht gleichbedeutend mit schlecht, es geht um ungeprüftes Risiko. Genau das ist das Problem.
0:10:18 Max Havey: Absolut. Und das führt zu einem echten Mentalitätswandel in der Art und Weise, wie viele Menschen über Risiken denken. Und ich liebe die Vorstellung, dass es beim Risiko nicht darum geht, etwas Schlechtes nicht zu tun, sondern darum, es zu wagen. Und ich glaube, es verändert die Art und Weise, wie man darüber denkt. Und allein der Gedanke daran ist spannend. In einer früheren Phase dieser Sendung sprachen wir oft über die Idee, Sicherheit als Mannschaftssport zu betrachten, bei dem alle mit vollem Einsatz dabei sind. Und ich glaube, dass diese Dinge in gewisser Weise Hand in Hand gehen, so dass man den Leuten jeden Tag sagen kann: Klickt nicht auf den Link, klickt nicht auf den Link. Und es ist zweifellos immer eine mögliche Folge. Ich denke also
es geht eher darum, den Leuten alle nötigen Taktiken an
Hand zu geben, um diese Dinge auch tatsächlich in die Praxis umzusetzen. 0:11:05 Beth Miller: Oh mein Gott, Max, du hast mich reingelegt. Du wusstest es gar nicht, aber ich weiß es zu schätzen. Im Buch verwende ich daher das Akronym TEAAM. Als ich also von den Strömungen sprach, also von viel Sicherheit, wenn wir ehrlich sind, alle Menschen, verfestigen wir unsere Gewohnheiten. Dies ist keine Diskussion über Persönlichkeiten, sondern lediglich eine Frage der Präferenz. Ich bevorzuge Schokoladeneis. Warum? Ich weiß nicht. Das ist Geschmackssache. Wenn man also über Risiko nachdenkt und vielleicht fünf dominante Präferenzen hat, greife ich auf Akronyme zurück. Das Akronym lautet also TEAAM. Wenn Sie also einmal das Gefühl haben, nicht weiterzukommen und die Entscheidung wirklich schwerfällt, sollten Sie Ihr Team konsultieren. Und so steht das Team für T Transfer E, Exploit A, Accept A Avoid Two, und dann M Mitate. Viele Sicherheitsexperten verfallen daher in die Denkweise, dass Risiko gleich Risikominderung ist, Risikomanagement gleich Risikominderung, obwohl ihnen tatsächlich vier andere Möglichkeiten zur Verfügung stehen. Sich darüber im Klaren zu sein, wo die eigenen Präferenzen liegen, wo die Präferenzen des Teams liegen und wo die Präferenzen der Organisation liegen, trägt wesentlich dazu bei, dieses Gespräch zwischen Einzelpersonen und dann zwischen den Personen innerhalb unserer Organisationen zu führen, um sagen zu können: „Hey, nutzen wir tatsächlich alle uns zur Verfügung stehenden Ressourcen optimal?“ Wenn wir von der Schadensbegrenzung zur Übertragung übergehen, was bringt uns das?
0:12:31 Max Havey: 100% Und das verändert gewissermaßen die gesamte Vorstellung von Risikobereitschaft. Ich habe das Gefühl, dieses Wort wird oft inflationär verwendet, aber wie sehr bedeutet es in Wirklichkeit
0:12:37 Beth Miller: Hungrig bist du? Ich weiß es nicht genau,
0:12:39 Max Havey: Genau
0:12:40 Beth Miller: Wie viel Eis du im Vergleich zu mir essen kannst, weiß ich nicht. Richtig,
0:12:43 Max Havey: Genau.
0:12:44 Beth Miller: Schwer zu quantifizieren. Richtig.
0:12:46 Max Havey: Nun, und es ist interessant, wie Sie es als diese verschiedenen Kanäle der Schadensbegrenzung darstellen. Der erste Kanal, der einem sofort in den Sinn kommt, ist der erste, aber es gibt all diese verschiedenen anderen Möglichkeiten, wie man das angehen kann. Und das ist äußerst interessant. Und mir gefällt diese Denkweise. Und es ist weit weniger binär. Es geht weg von dieser Art von allgemeinem, binärem Denken in Bezug auf Risiko.
0:13:08 Beth Miller: Ja, danke dafür. Ich glaube, eines der Probleme – und das ist eine Frage, die Sie im Vorfeld gestellt haben, deshalb weiß ich, dass Sie darauf eingehen werden, aber ich möchte es hier nur kurz andeuten – ist, dass die Sprache sehr wichtig ist, nicht wahr? Denn Sie wissen ja, dass es Organisationen gibt, die zwar mit Recht behaupten können, eine hervorragende Sicherheitskultur zu haben, aber in Wahrheit kann jede Abteilung innerhalb einer Organisation auch ihre eigene Kultur haben. Welche Sprache ist in der jeweiligen Kultur vorherrschend? Was bedeuten die Abkürzungen? Welche Prioritäten gelten? Als Sicherheitsexperte muss man sich fast wie ein begeisterter Tourist fühlen, der jedes Mal, wenn er das Gelände verlässt und die Sicherheitsgrenzen überschreitet, darüber nachdenkt: Was kann ich mitbringen oder teilen? Solche Sachen. Und da ich mit viel Reisen aufgewachsen bin – mein Vater war beim Militär –, war es
immer wichtig zu wissen
dass man eine Fremdsprache lernen oder eine Geste verwenden kann, um die Informationsübermittlung zu erleichtern. 0:14:10 Max Havey: Interessant an diesem Gespräch ist auch Folgendes: Es fühlt sich fast wie eine soziologische Diskussion über Cybersicherheit, Sicherheit und Risiko an. Ich dachte mir dann so was wie: „Ach ja, ich weiß, dass es je nach BWL-Student, mit dem man arbeitet, verschiedene Subkulturen der Cybersicherheit gibt.“ Und ich finde das so interessant und es erinnert mich irgendwie an die Idee des Reisens, und jeder hat da so seine eigene Herangehensweise. Es ist sozusagen die interdisziplinäre Seite der Cybersicherheit. Ich habe den Eindruck, dass viele Sicherheitsverantwortliche, mit denen ich gesprochen habe, der Ansicht sind, man könne praktisch jeden im Bereich Cybersicherheit ausbilden und entsprechend denken lassen
Doch erst die Einbeziehung anderer Perspektiven und das Verständnis dafür, wie man diese verschiedenen Fähigkeiten anwenden kann
machen einen guten Analysten oder ein Mitglied eines Cybersicherheitsteams wirklich aus. 0:14:57 Beth Miller: Ja, ich habe mich gerade mit einem Kollegen aus dem Sicherheitsbereich unterhalten, und er ist brillant. Sein Name ist Matt Huber, und er spricht über die alte Denkweise, dass Sicherheit die Abteilung Nr. 1 sei. Und er hat tatsächlich betont, dass es sich eigentlich um die Abteilung für das Wie handelt. Er möchte also hingehen und erklären: Sagen Sie mir, was Sie tun möchten, und dann können wir gemeinsam herausfinden, wie wir es umsetzen. Und ich glaube, das hat wieder diese Art von Verwaltermentalität. Es hat etwas von einem Navigationsinstrument und erzeugt dadurch ein richtiges Reisegefühl. Lasst es uns gemeinsam angehen. Und ich denke, das ist im Grunde das Mantra beim Risikomanagement: über die Möglichkeiten nachzudenken, die wir gemeinsam verstärken können.
0:15:38 Max Havey: Und wenn wir das Ganze mal etwas aus der Ferne betrachten, ja, dann betrachten wir das Ganze mal ein bisschen aus der Ferne. Wie konnten Sie als CISO diese Strategien in Ihrer eigenen Arbeit als CISO anwenden? Haben Sie damit Erfolge erzielt? Können Sie uns etwas darüber erzählen?
0:15:53 Beth Miller: Also, zunächst einmal bin ich als Field CISO tätig, daher habe ich viel mehr Kundenkontakt als internen Kontakt. Ich möchte das aber klarstellen, weil ich Leslie Nielsen und sein Team sowie deren interne Arbeit sehr respektiere. Meine Aufgabe besteht also darin, das, was sie tun, zu analysieren, es für unsere Kunden zu synthetisieren und dann das, was unsere Kunden tun, wieder in die Produktentwicklung einfließen zu lassen, um sicherzustellen, dass wir sowohl organisatorisch als auch produkttechnisch aufeinander abgestimmt sind und dass wir die Dienstleistungen und Produkte liefern, die wir anbieten. Aber ich würde fragen: Wie habe ich das konkret in meinen Teams angewendet? Weil ich vor meiner Zeit bei Mimecast schon eine Reihe verschiedener Positionen innehatte. Ich glaube, der große Wandel liegt darin, aufzuhören und stattdessen die Einhaltung von Vorschriften zu messen. Ja, natürlich ist NIST sehr wichtig. Ja, eine Prüffunktion ist notwendig, aber ich denke, diese Diskussion dreht sich um Sprache. Daher ist es wirklich wichtig, dieses Audit-Gespräch über Sprache zu führen und nicht unbedingt dieses Audit-Gespräch über Compliance. Ja, wir zählen, wie oft Bedrohungen, Misserfolge und Fehler auftreten. Offensichtlich tauchen sie in Briefings auf, die bis in die Vorstandsetage reichen. Aber im Grunde geht es Ihnen um den Übergang zu der Frage, wie oft Sie bei der Navigation helfen, ausrüsten oder den Strom verändern. Welches Verhältnis herrscht also in Ihrer Kultur und welches wünschen Sie sich? Wer ist also für den Ersatz verantwortlich? Und noch einmal die Frage nach der übergreifenden, multidisziplinären Funktionalität: In welcher Situation befanden wir uns zum Zeitpunkt des Ereignisses? Gab es irgendwelche negativen Auswirkungen auf die Organisation? Und welche Navigationsinstrumente fehlen uns konkret? Welche Ressourcen benötigen wir also außer mehr Systemen, mehr Identitätskontrollen, mehr Zugriffskontrollen und weniger Daten, die wir schützen müssen? Aber indem Sie Ihre Kennzahlen von dieser Klickrate auf die Melderate umstellen. Man sieht also etwas und sagt etwas dazu, um es einfach zu erklären, aber was man misst, sagt der Organisation, was man wertschätzt. Wenn ich also mit der ersten Frage eines Audits beginnen müsste, wäre diese: Ich fordere mein Team heraus und habe in der Vergangenheit bereits festgestellt, dass wir erfassen, was passiert, wenn jemand in meiner Organisation einen Sicherheitsfehler begeht? Diese Antwort wird Ihnen also alles verraten, was Sie über Ihre Kultur wissen müssen.
0:18:18 Max Havey: Absolut. Ich habe das Gefühl, dass es oft eher um das geht, was gerade passiert, und nicht unbedingt darum, was als Nächstes passiert, nachdem wir all diese Dinge eingedämmt und behoben haben. Was werden wir konkret tun, um das zu ändern? Was haben wir hier gelernt und wie werden wir das anwenden?
0:18:33 Beth Miller: 100% Ich möchte, dass der erste Impuls meines Teams ist: Lasst uns das gemeinsam lösen, und nicht: Lasst uns herausfinden, wer die Schuld trägt, richtig? Wenn man also die Strömung benennt, in der man sich befindet, hört man gewissermaßen auf, von ihr mitgerissen zu werden. Es gibt Ihnen die Möglichkeit, innezuhalten und wirklich zu prüfen, welche anderen Optionen infrage gekommen wären, und das ermöglicht es Ihnen dann, es beim nächsten Mal besser zu machen.
0:18:55 Max Havey: Warum glauben Sie, dass dieser menschenzentrierte Ansatz der Cybersicherheitsgemeinschaft im Allgemeinen zugutekommt? Dies ist ein bedeutender Mentalitätswandel. Warum ist so etwas für eine Branche wie diese von Vorteil?
0:19:08 Beth Miller: Ich wage mal eine gewagte Behauptung: Burnout hat ein alarmierendes Ausmaß erreicht. So fressen Kulturen, die auf Angst basieren, ihre eigenen Leute auf. Unsere Gegner haben bereits Doktortitel in menschlicher Psychologie, daher bekämpfen wir Manipulation mit Sensibilisierungskampagnen, und das ist einfach ein Missverhältnis. Sicherheit, die mit der menschlichen Natur arbeitet, skaliert Schulungen, die dagegen ankämpfen, erfordert eine ständige Auffrischung der Sicherheitstransformation von der Abteilung „Nein“, was ich bereits zur Architektur sagte, wie es auch eine Bindungsstrategie ist. Sicherheitsexperten, die das Gefühl haben, Navigationssysteme zu entwickeln, bleiben länger im Unternehmen und brennen seltener aus.
0:19:50 Max Havey: Das schafft eine gute Sicherheitskultur. Wir sprechen von guter Sicherheitshygiene, aber das ist eine gute Sicherheitskultur, die nicht Angst in den Vordergrund stellt, die Menschen nicht ausbrennt, sondern ihnen die Fähigkeiten vermittelt, tatsächlich gute Sicherheitsverantwortliche in ihrer eigenen Geschäftseinheit zu sein. Sei es jemand, der einem Sicherheitsteam angehört, oder jemand, der nicht unbedingt Teil des Sicherheitsteams ist, aber eine sicherheitsorientierte Person in einem Marketingteam oder einem Kreativteam oder so. Ich glaube, einer unserer früheren Gäste sprach über die Idee eines Botschafterprogramms und darüber, dass dies eine Möglichkeit sei, einige dieser New Ideen und Innovationen in einer solchen Organisation anzustoßen. Und es wird maßgeblich von denjenigen geführt
die wissen
was sie tun und die von Ihnen angesprochenen Fragen beantworten können. 0:20:35 Beth Miller: Absolut. Ich würde das Ganze mit vielleicht zwei verschiedenen Gedanken abschließen. Sie erwähnten also „gut“, und dem stimme ich zu, aber ich würde stattdessen das Wort „Resilienz“ verwenden. Wenn wir also darüber sprechen, wo wir stehen und wo wir hinwollen, und wir der Meinung sind, dass, wenn man immer noch die Einhaltung der Vorschriften als Maßstab nimmt, die Einhaltung der Vorschriften die Untergrenze darstellt. Und Resilienz ist ja eigentlich eine Obergrenze, oder? Oder es hat noch nicht einmal eine Obergrenze, aber genau darauf steuerst du zu. Wir feiern also den Boden unter den Füßen, anstatt uns darauf zu konzentrieren, nach oben zu kommen, und dann kommt noch eine Sicherheitskultur hinzu, wie Sie schon sagten, die die Leute ausbrennt. Das macht niemanden sicherer. Und wir müssen jetzt wirklich sicherer sein als je zuvor.
0:21:13 Max Havey: Nichts befähigt die Leute mehr als eine gute Sicherheitsstrategie, die sie befähigt, anstatt sie zurückzuhalten und dadurch mehr Reibung zu verursachen. Es sollte so sein, ich glaube, ich habe es schon erwähnt, aber diese steigende Flut hebt dadurch alle empor.
0:21:29 Beth Miller: Einverstanden.
0:21:31 Max Havey: Gut, Beth, zum Abschluss meiner Fragen: Welchen Tipp sollten Ihrer Meinung nach alle Sicherheitsverantwortlichen bei einem so nutzerzentrierten Ansatz beachten?
0:21:41 Beth Miller: Ja, ich glaube, ich habe es schon erwähnt, aber ich wiederhole es noch einmal, weil es mir wichtig ist, gerade jetzt zum Schluss, und um den Zuhörern etwas mitzugeben: Die emotionale Erfahrung mit Ihrem Sicherheitsprogramm zu überprüfen, sollte fast vor der Überprüfung der Kontrollmechanismen erfolgen. Ich frage also jemanden in meiner Organisation: Was passiert als Nächstes, wenn ein Fehler passiert? Diese Antwort verrät Ihnen alles darüber, was in der Organisation Priorität haben muss, um diese Navigator-Mentalität, diese Botschafter-Mentalität zu schaffen, richtig? Oder dieser Teamansatz. Die schnellste einzelne Änderung, die Sie vornehmen können, kostet nichts. Es ist also sicherer, einen Fehler zu melden, als ihn zu verheimlichen. Und die Schaffung eines Umfelds, in dem sich die Menschen sicher fühlen, ihre Meldungen zu erstatten, ist wahrscheinlich das Einzige, worauf ich besonders Wert legen würde. Aber letztendlich, um auf den Anfang zurückzukommen, denke ich, dass dieses Risiko menschlich ist. Wir werden mit der angeborenen Fähigkeit geboren, Risiken einzugehen, aber der Umgang mit Risiken muss erlernt werden. Organisationen müssen daher darüber nachdenken
wie
diese Navigationsmethoden vermitteln können, nicht nur weil es jedem Mitarbeiter zugutekommt, sondern weil es letztendlich eine gute Geschäftsentscheidung ist. 0:22:56 Max Havey: Absolut. Das fühlt sich wie ein guter Aufruf zum Handeln an, um hier abzuschließen: den Mut zu haben, mit seinem Team im Schlepptau die Sümpfe des Risikos zu durchfahren. Ich finde, das ist eine schöne Art, wie wir hier gelandet sind.
0:23:07 Beth Miller: Max, ich weiß es sehr zu schätzen, dass du dir heute Zeit für mich genommen hast. Es war mir ein Vergnügen. Ja,
0:23:11 Max Havey: Absolut. Vielen Dank fürs Kommen, Beth. Es war
eine große Freude, und ich hoffe
unsere Zuhörer genießen dieses Gespräch genauso sehr wie ich. 0:23:19 Beth Miller: Danke. Ich auch.
0:23:21 Max Havey: Und damit endete der Podcast „Security Visionaries“, präsentiert von mir, Max Havey. Wenn Ihnen die heutige Folge gefällt, teilen Sie sie unbedingt mit einem Freund und folgen Sie Sicherheitsvisionären auf Ihrer bevorzugten Podcast-Plattform, sei es Apple, Spotify oder YouTube. Dort finden Sie unser Archiv mit früheren Episoden. Und wenn Sie schon mal da sind, folgen Sie uns doch bitte oder hinterlassen Sie eine Bewertung – jede Kleinigkeit hilft. Haltet Ausschau nach den Episoden, die alle zwei Wochen erscheinen und entweder von mir oder meiner Co-Moderatorin Emily, wear Mouth oder Bailey Pop präsentiert werden. Und damit verabschieden wir uns für die nächste Folge.
){kind=icon}
