Sie erinnern sich vielleicht an unsere Goldenen Regeln im Kontext Social Engineering? Wenn wir – bei unserem Gegenüber kognitiv oder rein intuitiv, d. h. über unser Bauchgefühl – die drei Kommunikationslayer, die verbal-informellen, die nonverbalen oder aber die paraverbalen, als inkongruent wahrnehmen, stimmt etwas nicht mit unserem Gesprächspartnern. Zum Beispiel wenn sich jemand selbstsicher gibt und dabei nervös mit dem Fuß zappelt. Dies kann – muss aber nicht – ein Hinweis darauf sein, dass die Motive des Gegenübers andere sind, als die, die er oder sie vordergründig darzustellen versucht. Wir empfehlen dann, vor allem wenn es sich beim Gegenüber um eine/n Fremde/n handelt, besonders aufmerksam zuzuhören – und zwar mit allen „Ohren“, auch mit dem, durch das unser Bauch „hört“.

Wege aus der Angst führen zu Entwicklungssprüngen

Aus „Wege aus der Angst“ (Vandenhoeck & Ruprecht), dem neuen Buch des Hirnforschers Gerald Hüther, vielleicht der einzige Neurobiologe, dem ich traue, weil er als einer der wenigen in der Lage ist, durchdringend über den Tellerrand seiner Kerndisziplin zu blicken, habe ich gelernt, dass wir Menschen selber Inkohärenz brauchen, um uns zu entwickeln. Wir lernen nur dann etwas hinzu, wenn unser Zustand von Kohärenz, die unser Gehirn zwar anstrebt, weil es dann weniger Energie verbraucht, erschüttert wird. Erst wenn die „Harmonie“ unserer Existenz aus dem Gleichgewicht gerät, z. B. durch Angst, die auch Angriffe oder Fehlleistungen impliziert, findet eine (Rück-)Verwandlung in einen weniger energieaufwändigen Zustand statt. Nur durch diesen „Kniff“ sind wir in der Lage, aus Fehlern zu lernen, diese aufgrund unserer Kompetenz, die wir mit zunehmender Risiken und damit verbundener Fehlerhäufigkeit herausbilden, korrigieren zu können.

Für die Sicherheitskultur bedeutet dies, dass die Mitarbeiter einer „gut“ geschützten Organisation didaktisch auf Sparflamme agieren und gegebenenfalls bei Zuspitzung von Risiken aus sich heraus weniger reaktionsschnell mit Korrekturen reagieren können als solche, die häufiger oder ständig im Fokus von Cyberangriffen stehen oder infolge risikoreicher Tätigkeiten regelmäßiger mit eigenen Fehlleistungen konfrontiert sind.

Verletzlichkeitsparadox als Trigger für Awareness

Wenn man in diesem Kontext noch das Verletzlichkeitsparadox betrachtet – d. h. je „besser" eine Organisation geschützt ist, desto verwundbarer ist sie im Falle eines Incident, umso mehr drängen die Geschützen, die sich durch Sicherheitsmaßnahmen ggf. stillgelegt fühlen, darauf „auszubrechen" – ergibt sich aus der Addition beider hier betrachteter Phänomene das vielleicht beste Argument für Security Awareness in Abgrenzung zur Überhöhung einer Abdichtungsphilosophie aus der klassischen, technisch oder prozessual orientierten IT-Security. Denn durch das Verletzlichkeitsparadox verschärfen sich die Vorfall- und Schadens-Risiken, weil es sich sozialpsychologisch unmittelbar auf Informationssicherheit auswirkt. Das heißt: Die Risiken erhöhen sich auch dadurch, dass das Verhalten von Menschen, die an Schutz und Sicherheit gewöhnt sind, durch den wachsenden Anspruch, die Sicherheit delegieren und eben Schutz durch Dritte erwarten zu können. Gleichsam sinkt die Motivation, selbst aktiv zu werden und z. B. am Schutz von Informationen selbst aktiv mitzuwirken.

Wie man es auch dreht: Inkohärenz und Verletzlichkeitsparadox sind die extradisziplinären Belege dafür, dass 100%ige Sicherheit nicht möglich ist und auch nicht angestrebt werden sollte. Der Mensch ist die Lücke im System, jedoch eine notwendige, eine lebende und daher selbstlernende Lücke, um aus ihr heraus am Ende mehr Sicherheit statt weniger erzielen zu können.