Human-centered Security: Paradigmenwechsel für höhere IT-Sicherheit
89 Prozent der deutschen Unternehmen waren laut PwC in den letzten drei Jahren von Cyberangriffen betroffen, obwohl die Investitionen in IT-Sicherheit hierzulande zunehmen. Warum greifen die Bemühungen nicht? Ein Hauptgrund: Traditionelle Sicherheitsstrategien vernachlässigen die Mensch-Computer Interaktion. Human-centered Security setzt genau hier an und rückt den Menschen in den Mittelpunkt.
Fehler passieren, weil Systeme sie begünstigen
CIOs und CISOs stellen auf Zero-Trust-Architekturen um, führen neue Verschlüsselungstechnologien und KI-gestützte Tools ein. Wenn es dann zu Sicherheitsvorfällen kommt, wird die Schuld oft vorschnell auf User-Seite vermutet. Es werden Security Awareness Trainings verordnet und Sanktionen verhängt. Dabei liegt der Fehler oft im System selbst: in schlechter User Experience.
Wenn Sicherheitsvorgaben Klickmarathons auslösen und wertschöpfende Workflows stören, ist es kein Wunder, dass Mitarbeitende Umgehungslösungen entwickeln. Das lässt sich auch nicht mit mehr Schulungen beheben. Was effektiver gegen die steigende Zahl erfolgreicher Angriffe wirkt? Bei Comma Soft sind wir überzeugt: IT-Systeme, die so designt sind, dass sie sicheres Verhalten zum Weg des geringsten Widerstands machen. Genau das ist der Anspruch von Human-centered Security.
Was ist Human-centered Security?
Human-centered Security (HCS) ist ein Ansatz, der IT-Sicherheit vom Menschen aus denkt. Er hinterfragt das Design von digitalen Lösungen und Prozessen – und passt es an die Psychologie des Menschen an. Intuitive UX minimiert Unsicherheiten, Aufwand und Überforderung und erhöht die Effektivität von Sicherheitsmaßnahmen.
HCS ist kein Gegenentwurf zu technischen Ansätzen wie Zero Trust, sondern ihr Wirkverstärker: Indem Unternehmen neu eingeführte Kontrollpunkte, beispielsweise zur Mehrfaktor-Authentifizierung oder bei Zugriffsanfragen nutzerfreundlich gestalten, wird Reibung minimiert und damit das Risiko von Umgehungslösungen. Das zahlt auch signifikant auf die Compliance ein.
Neben intuitiver UX gehört zur HCS aber auch eine positive Fehlerkultur: Nur wenn Mitarbeiter:innen keinen Gesichtsverlust fürchten müssen, reagieren sie im Schadensfall schnell, informieren die relevanten Stellen und versuchen nicht, eigene Fehler zu vertuschen. Sicherheitsfolgen werden wirksamer eingedämmt und Erkenntnisse können in die kontinuierliche Verbesserung der Cybersicherheit fließen.
Berücksichtigt Ihre Cybersecurity-Strategie die User Experience?
Lassen Sie uns über Ihre Sicherheitsherausforderungen sprechen und gemeinsam Systeme bauen, die Menschen mitnehmen. Nur so können neue Sicherheitstechnologien die optimale Wirkung entfalten.
„Wer heute resiliente Systeme bauen will, muss Technologie, Psychologie und Strategie synchronisieren.“
Praxisbeispiele: Mit dem richtigen Systemdesign mehr Cybersicherheit erreichen
HCS fordert ein Umdenken in der Cybersecurity-Strategie. Die Maßnahmen selbst müssen dabei weder teuer noch aufwändig sein. In vielen Fällen reichen kleine Veränderungen in den Sicherheitskonzepten, um das Security-Setup aus UX-Sicht nachhaltig zu härten. Hier drei Beispiele aus unserer Beratungspraxis:
- Passwörter: Statt mit komplizierten Passwörtern und nervigen Passwort-Update-Policies zu arbeiten, können Unternehmen im Sinne einer Human-centered Security auf Windows Hello, Passkeys oder geteilte Single-Sign-on-Lösungen wie Entra ID umsteigen. Damit ist nicht nur das Risiko von offen einsehbaren Passwortzetteln und der Sicherheit abträglichen Policy-Work-Arounds eliminiert, der Login ist für Mitarbeiter:innen auch wesentlich bequemer.
- E-Mail-Sicherheit: Nur in theoretischen Schulungen auf neue Phishing-Methoden aufmerksam zu machen, reicht längst nicht mehr aus. Zu schnell ändern sich die Methoden und Angriffsvektoren. Effektiver ist es, E-Mail-Programme so zu konfigurieren, dass verdächtige Nachrichten klar gekennzeichnet sind und mit einem Klick schnell und unkompliziert gemeldet werden können. Der Schlüssel: Sicherheitshinweise werden im Moment der Entscheidung angezeigt.
- Sicherheitsupdates: Oft schieben Anwender:innen Sicherheitsupdates hinaus, weil diese ihren Arbeitsprozess unterbrechen. Eine HCS-orientierte Architektur plant Updates nutzungsabhängig, kommuniziert transparent Dauer und Zweck und minimiert Unterbrechungen. So steigt die Patch-Quote ohne zusätzlichen Kontrollaufwand und ohne, dass sie der Produktivität im Weg steht.
Drei Vorteile von Human-centered Security
Ein Wechsel zu einer menschenzentrierten Cybersecurity-Strategie ist keine Wohlfühlmaßnahme aus dem New-Work-Handbuch. Es ist die logische Konsequenz aus der zunehmend fragwürdigen Bilanz des traditionellen technologiegetriebenen Abwehransatzes. Unternehmen, die auf HCS umstellen, profitieren von:
1. Höherer IT-Sicherheit
Einfache Prozesse, verständliche Richtlinien und nutzerfreundliche Sicherheitsmechanismen senken das Risiko von menschlichen Fehlern, ohne zusätzlich kostenintensive Kontrollschichten aufbauen zu müssen. Wer UX nicht berücksichtigt, versenkt schnell Tausende von Euro in innovative Cybersecurity-Lösungen, ohne dass der Schutz tatsächlich zunimmt.
2. Höherer Mitarbeiterzufriedenheit
Aufwändige Sicherheitsvorgaben erzeugen Friktion, Frustration und Widerstand. HCS bringt intuitive Lösungen, die sich nahtlos in die Workflows von Mitarbeitenden integrieren. Gleichzeitig führt die veränderte Haltung zu einer stärkeren Akzeptanz von notwendigen Sicherheitsanforderungen, mehr Eigenverantwortung und einer besseren Zusammenarbeit mit der IT: „Nicht die Anwender:innen sind schuld, das System ist schlecht designt.“
3. Stärkerer Compliance
Regelwerke wie ISO 27001:2022 oder NIS2 verlangen wirksame Sicherheitsmaßnahmen. Wirksamkeit entsteht nur dort, wo Vorgaben verstanden und tatsächlich umgesetzt werden. Human-centered Security fördert sicheres Verhalten und schafft eine Kultur, in der Vorfälle frühzeitig gemeldet werden. Sie senkt die Hemmschwelle, Verdachtsfälle und Breaches zu melden, und macht IT-Security zu einem konstruktiven und kollaborativen Thema. Bessere UX ist damit keine reine Design-Frage, sondern ein Compliance-Faktor.
Evidenzbasierte Transformation:
So gelingt der Weg zu Human-centered Security
Die steigenden Schäden durch Cyberangriffe sprechen eine klare Sprache: Erfolgreiche IT-Sicherheitsstrategien müssen über die Technologie hinausdenken. Bei Comma Soft verfolgen wir daher einen ganzheitlichen Beratungsansatz, der sich zentral an HCS-basierten Ansätzen an die IT-Sicherheit orientiert. Wir kombinieren Deep-Tech-Expertise mit organisationspsychologischen Maßnahmen.
- Technologische Reibung reduzieren: Wir analysieren zunächst Ihre Sicherheitsarchitektur auf unnötige Komplexität. Wo behindert Security das Business? Wo entsteht Schatten-IT? Wir ersetzen diese Hürden durch resiliente, nutzerfreundliche Technologien.
- Kulturwandel einleiten: Anschließend etablieren wir Prozesse, die auf Vertrauen basieren. Mitarbeiter:innen werden von potenziellen Sicherheitsrisiken zur zentralen Line of Defense.
- Ergebnisse messen: Wir validieren die neuen Sicherheitsmaßnahmen hinsichtlich ihrer Akzeptanz und ihrer tatsächlichen Nutzung im Arbeitsalltag. Denn Cybersicherheit ist keine Frage des Gefühls.