Dominik Grolimund ist beruflich vielseitig engagiert: Er studiert Psychologie, arbeitet an der ZHAW als wissenschaftlicher Assistent, ist im Vorstand des Schweizerischer Berufsverbandes für angewandte Psychologie und bei HIN als IT Security / Awareness Referent tätig. Im Interview berichtet er über den Zusammenhang zwischen Psychologie und IT-Security und gibt Sicherheitstipps für den Alltag.
Nathalie: Dominik, du studierst Psychologie und arbeitest als Referent für IT-Sicherheit … Was hat das miteinander zu tun?
Das hat eine ganze Menge miteinander zu tun: IT-Sicherheit steht und fällt mit dem Verhalten des Menschen – und dieses ist sehr stark an die Psychologie gekoppelt. Menschen verhalten sich je nach Kontext unterschiedlich. Beim Thema Cybersecurity spielt dies eine wichtige Rolle. Ein Beispiel: Ich bekomme ein Phishing-Mail, in dem steht, dass eine andere Person sich für mich interessiert. Fühle ich mich gerade einsam und suche den sozialen Kontakt, spricht mich dies eher an, als wenn ich gerade sozial sehr eingebunden bin.
Schützen mich Anti-Viren-Programme und andere Schutzmassnahmen meiner IT-Infrastruktur denn nicht vor Cyberattacken?
IT-Systeme sind in der Regel relativ sicher und somit ein schwieriges Angriffsziel für Cyberkriminelle. Häufiger setzen diese bei ihren Attacken deshalb beim Faktor Mensch an: Sie nutzen ihre Opfer in ihren psychologischen Bedürfnissen aus, zum Beispiel im Bedürfnis nach Nähe, nach Anerkennung oder nach Bestätigung. Ein Beispiel sind E-Mails von vermeintlichen Vorgesetzten. Der Empfänger möchte die Aufgaben des Chefs möglichst gut erfüllen – und tappt so in die Falle der Cyberkriminellen.
Es reichen schon wenige Informationen aus, um viel bewirken zu können. Beispielsweise klauen Cyberkriminelle die Namen und E-Mailadressen eines Telekommunikationsanbieters. Das sind ja keinesfalls sensible Daten. Trotzdem können die Täter damit Rechnungen an die Betroffenen schicken.
« Der Missbrauch sensibler Gesundheitsdaten kann extreme Auswirkungen haben. Umso wichtiger ist es, im Alltag immer aufmerksam zu sein in Bezug auf IT-Sicherheit. »
Wie kamst du als Psychologe zum Thema IT-Security?
Ursprünglich habe ich eine Lehre als Informatiker / Systemtechniker absolviert. Da ich jedoch mehr mit Menschen zu tun haben wollte, kehrte ich der IT erstmals den Rücken. Vier Jahre habe ich in der Gastronomie gearbeitet, danach habe ich zur Psychologie gewechselt. Im Austausch mit Jona Karg, den ich während meines Studiums kennengelernt habe, habe ich dann erkannt, dass ich meine zwei Professionen – die Psychologie und die IT – auch verbinden kann.
Als Referent der HIN Academy gibst du dein Wissen an Akteure aus dem Gesundheitswesen weiter. Was ist dir dabei wichtig?
Ich möchte den Teilnehmenden unserer Schulungen weitergeben, dass die Thematik IT-Sicherheit uns alle betrifft. Sie ist für jede und jeden von uns herausfordernd. Eine meiner wichtigsten Botschaften ist: Wir müssen immer aufmerksam sein – wir alle, jederzeit. Deshalb ist es auch wichtig, das Bewusstsein für IT-Sicherheit immer aufrecht zu erhalten. Die Forschung zeigt, dass es nicht ausreicht, sich einmal im Jahr mit der Thematik zu befassen. Vielmehr muss man sich immer wieder damit auseinandersetzen, damit einem die Relevanz des Themas im Alltag ständig präsent ist. Ja, das ist manchmal mühsam, aber es bringt sehr viel. Das möchte ich in der HIN Academy weitergeben. Denn gerade im Gesundheitswesen ist Cybersecurity elementar, weil Gesundheitsdaten sehr sensibel sind. Ihr Missbrauch kann extreme Auswirkungen haben. Beispielsweise kann es sein, dass jemand keine Arbeitsstelle mehr findet, wenn bestimmte psychologische Faktoren über ihn offengelegt werden.
« Ich finde es spannend, Sensibilität für ein Thema zu schaffen, das für die meisten Leute kein Kernthema ist. »
Hast du einen Tipp, wie sich unsere Leser vor Cyberattacken schützen können?
Seien Sie aufmerksam. Verlangt jemand eine Information von Ihnen, die Ihnen nicht plausibel scheint? Kommt Ihnen eine Nachricht verdächtig vor? Dann ist eine gesunde Portion Misstrauen gefragt. Fragen Sie lieber einmal zu viel beim Absender nach als einmal zu wenig. Tun Sie dies per Telefon oder via eines sicheren Chats, nicht mittels der Antwortfunktion in der verdächtigen E-Mail.
Und was gefällt dir am meisten an deiner Arbeit bei HIN?
Ich mag es, dass ich viel mit Menschen zu tun habe und mit verschiedenen Personen im Austausch stehe. Zudem finde ich es spannend, Sensibilität für ein Thema zu schaffen, das für die meisten Leute kein Kernthema ist. Unsere Zielgruppe, die Akteure des Gesundheitswesens, interessiert sich mehr für die Gesundheit von Menschen als für IT-Sicherheit. Ich mag die Herausforderung, sie für etwas zu gewinnen, das nicht ihre Profession ist.
HIN Academy: Bewusstsein für IT-Sicherheit schaffen
Das Ziel der HIN Academy ist es, Gesundheitsfachpersonen nachhaltig für die Themen IT-Sicherheit und Datenschutz zu sensibilisieren. Dabei geht es nicht um reine Informationsvermittlung, sondern es soll ein langfristiges Bewusstsein für die Gefahren der Cyberkriminalität geschaffen werden. Die HIN Awareness Schulungen lassen sich je nach Vorwissen und Ziel individuell konfigurieren; das HIN Awareness Portal bietet die Möglichkeit, das Wissen im interaktiven Selbststudium zu vertiefen.
Dominik Grolimund
IT Security / Awareness Referent.