Beim Wort «IT-Sicherheit» erscheint vielen das Bild einer hochkomplexen Materie, die für «Normalsterbliche» nicht zu entschlüsseln ist. Oder man erinnert sich an Ärgernisse mit der Technik, bei denen man zum Schluss stets beschuldigt wird, selbst schuld zu sein. Beide Vorstellungen treffen bei Jona Karg meilenweit daneben. Er ist Leiter Schulungswesen bei HIN und Entwickler der HIN Academy. Sie kennen ihn vielleicht bereits aus dem HIN Blog, wo er zusätzlich als Autor tätig ist. Jona ist nicht nur Awareness-Spezialist (mit «Awareness» wird der sichere Umgang im digitalen Bereich beschrieben), sondern besitzt auch einen Bachelor in Psychologie. Er ist der festen Überzeugung, dass nicht der Mensch das Problem ist, sondern gerade das menschliche Verhalten eine riesige Chance bieten kann. Wie diese Überzeugung in seine Arbeit miteinfliesst und wie sie Schulungen massgeblich verändert, verrät er mir im Interview.
Nathalie: Jona das neue Jahr hat gerade erst begonnen, deshalb fällt unsere Lieblingsfrage etwas anders aus: Wenn HIN eine Neujahrsfeier wäre, welche Rolle würdest du dann übernehmen?
Jona: Auf die Lieblingsfrage war ich vorbereitet, auf diese Abwandlung nicht. Vielleicht wäre ich der Onkel, der scheinbar nicht zur Familie dazu passt. Wenn er da ist, fragt man sich, was er überhaupt da macht. Fehlt er, vermisst man eben doch das Essen, welches er mitbringt und seine Gesellschaft. Genauso verhält es sich wohl mit einem angehenden Psychologen in einem Informatikunternehmen.
Was hast du dir selbst für gute Vorsätze für 2021 vorgenommen?
Im Privaten bin ich weniger der Mensch, der sich für das neue Jahr Vorsätze vornimmt. Auch wenn man sich in der Psychologie weitestgehend darüber einig ist, dass sich das Setzen von klaren erreichbaren Ziele positiv auf deren Gelingen auswirkt. Beruflich stehen bei mir in diesem Jahr einige grössere Herausforderungen an, so beginne ich im September berufsbegleitet mit meinem Masterstudium. Um dies zu bewältigen braucht es dann doch einige definierte Ziele. So muss ich den Aufbau der HIN Academy und das Studium so gut organisiert, dass ich beiden Aufgaben gerecht werde. Nur so erreiche ich ein optimales Ergebnis, ohne meinen Arbeitskolleginnen und -kollegen damit zu belasten und gleichzeitig gute Leistungen im Studium zu erbringen.
Der Spruch «Das Problem sitzt meistens vor dem Computer» ist eine häufig gehörte Unterstellung. Wie stehst du zu der Aussage, dass der Mensch die Basis für technische Probleme sein soll?
Für mich ist diese Aussage viel zu einfach für die Herausforderungen der Mensch-Maschine-Interaktion. In der Realität zeigt sich immer wieder, dass das eigentlich Problem das Zusammenspiel zwischen Mensch und Technik ist. Theoretisch wäre es wohl möglich ein technisches System perfekt zu entwickeln. Zum einen ist es aber der Mensch, der dieses entwickelt und zum anderen nütz es nichts Systeme zu entwickeln, deren Anwendung dem Menschen in seiner Arbeit Schwierigkeiten oder gar Probleme bereitet. Auch wenn der Mensch äusserst lern- und anpassungsfähig ist, bin ich dennoch davon überzeugt, dass die Technik dem Menschen dienen sollte und nicht umgekehrt. Daher ist für mich eine Anwender-zentrierte Entwicklung ausschlaggebend, um den Menschen keine Probleme zu schaffen, die er ohne die Technik erst gar nicht hätte.
Obwohl man immer wieder von Cyberattacken hört, ist der Gedanke, dass einem so etwas nicht passieren könnte, doch weit verbreitet. Was denkst du woran das liegen könnte?
Seitens Psychologie gibt es einige Konzepte, mit denen man diese Einstellung durchaus nachvollziehen kann. Zum einen unterschätz der Mensch häufig den Einfluss von äusseren Faktoren, wie der Situation selbst und überschätzt den Einfluss der Persönlichkeit. So ist man beispielsweise davon überzeugt, dass man selbst nicht auf eine Phishing-Mail hereinfällt, schliesslich ist man nicht dumm. Gleichzeit ist man dann nicht verwundert, wenn dies einer anderen Person widerfährt, schliesslich war es nur eine Frage der Zeit, bis Person XY einen solchen «Fehler» begeht. Zum anderen liegt hier eine weniger rationale als vielmehr intuitive Einschätzung vor. Für eine rationale Risikobewertung fehlen häufig die Informationen. So ist den Anwendenden der Wert ihrer eigenen Daten nicht immer bewusst und das Risiko für sie deshalb nicht greifbar.
Im letzten Jahr hast du deinen Bachelor im Bereich Psychologie abgeschlossen, inwiefern beeinflusst dich das dort erlernte Wissen in deiner Arbeit als Leiter Schulungswesen?
Ein grosser Fokus des Studiums waren die Themen Kommunikation, Gruppendynamik und Selbstreflexion. In dieser Hinsicht ist ein Psychologiestudium wohl für jede Führungskraft eine Bereicherung und ich wende das Erlernte tagtäglich in meiner praktischen Arbeit an. Zudem ist Kommunikation der elementare Bestandteil unserer Schulungen, so fliessen verschiedene psychologische Kommunikationskonzepte in diese mit ein. Nicht zu vergessen: auch die Awareness ist ein Teil des Faktor Mensch und damit ein Einflussfaktor der Mensch-Maschine-Interaktion. Damit habe ich mich unter anderem in meiner Bachelorarbeit intensiv auseinandergesetzt, um so ein besseres Verständnis zu erlangen – eine Grundlage für die Entwicklung von Awareness-Massnahmen.
Du hast dir für das neue Jahr einiges vorgenommen. Unter anderem werden die Awareness Schulungen als Onlinekurse weiter ausgebaut und die HIN Academy wird finalisiert. Wie sehen deine Visionen für diese Projekte aus?
Neben unseren Präsenzschulungen bieten wir mit dem HIN Awareness Portal bereits seit längerem eLearning an. Diese Form von eLearning war aber kein Ersatz, sondern vielmehr eine Ergänzung und Vertiefung zu konventionellen Schulungen. Mit Beginn der Pandemie war es dann erschwert und teilweise gar nicht mehr möglich Präsenzschulungen durchzuführen. Um diese wertvolle Awareness-Massnahme dennoch weiterführen zu können, haben wir uns umgehend dazu entschieden, diese auch als Online-Schulung durchzuführen. Mit HIN Talk Video hatten wir auch bereits ein geeignetes und sicheres Konferenztool dafür. Um das Lernerlebnis weiter zu verbessern, werden wir in eine professionelle Studioinfrastruktur investieren. Damit werden wir bald die Schulungen aus unserem eigenen Studio schalten können. Für viele Menschen sind Online-Schulungen Neuland und werden kritisch betrachtet. Es gilt dieses Misstrauen zu überwinden, damit können ganz neue Türen des zeit- und ortsunabhängigen Lernens aufgestossen werden. Trotz der Distanz ist auch so ein vernetztes Lernen im persönlichen Austausch mit Referenten und Teilnehmenden möglich. So können wir weiterhin auf einer Beziehungsebenen arbeiten, dies ist elementar, denn der Mensch lernt – da er ein soziales Wesen ist – auf dieser Ebene mit anderen Menschen (soziale Lerntheorie).
Hat sich das Thema Awareness in einem Jahr, dass den Schwerpunkt auf Homeoffice legte, signifikant verändert?
Für den grössten Teil unserer HIN Community wohl nicht, da für sie das Arbeiten im Homeoffice eine untergeordnete Rolle spielt. Für Organisationen, wie auch HIN selbst, in denen seit knapp einem Jahr der Betrieb hauptsächlich vom Homeoffice aus und damit dezentral abläuft umso mehr. Die Mitarbeitenden arbeiten nicht mehr in einer einfach zu kontrollierenden Arbeitsumgebung, was für die IT-Sicherheit ein erhöhtes Risiko darstellt. Somit ist die Awareness wichtiger als je zuvor, denn mit der grösseren Freiheit wächst auch die Verantwortung des Individuums. Der Mensch muss sich den möglichen Folgen seines Handelns bewusst sein, da das «Sicherheitsnetz» durch das sichere Firmennetzwerk nicht mehr vollumfänglich verfügbar ist.
Jona Karg
Spezialist für Informationssicherheit und Security Awareness und Leiter Schulungswesen bei HIN.
