HackerangriffeCyberkriminalitätDatenschutz

Die menschliche Schwachstelle: Warum Sicherheitsteams bei der Überprüfung von Personen und Organisationen scheitern

Die menschliche Schwachstelle: Warum Sicherheitsteams bei der Überprüfung von Personen und Organisationen scheitern
Zusammenfassung

# Das menschliche Sicherheitsrisiko: Warum Cybersecurity-Profis bei der Überprüfung von Personen scheitern Ein kritisches Problem in der Cybersecurity-Branche wird oft übersehen: Während Sicherheitsteams Informationen, Quellen und Sicherheitsindikatoren rigoros überprüfen, wenden sie diese strenge Vettingpraxis kaum auf Menschen und Organisationen an. In der Praxis führt dies dazu, dass negative Gerüchte über Personen oder Unternehmen schnell akzeptiert werden, ohne diese gründlich zu hinterfragen oder zu verifizieren. Ein erfahrener Sicherheitsexperte warnt vor den gravierenden Folgen dieser Inkonsistenz: Sicherheitsteams könnten dadurch wertvolle Fachkräfte oder Partner diskreditieren, während sie gleichzeitig potenziell schädliche Akteure unbewusst unterstützen. Das Problem liegt oft in menschlichen Verhaltensmustern – Menschen vermeiden Unbehagen und Konflikte, auch wenn diese notwendig wären. Für deutsche Unternehmen und Behörden ist dies besonders relevant, da vertrauensbasierte Entscheidungen in Sicherheitsstrukturen langfristig zu Schwachstellen führen können. Eine Lösung liegt in der systematischen Anwendung strukturierter Vettingmethoden auch auf personeller Ebene, um die Integrität der Sicherheitsinfrastruktur zu wahren.

Das Phänomen ist paradox: Sicherheitsprofis, die beim Umgang mit technischen Daten höchste Standards anlegen, lassen diese Standards fallen, sobald es um menschliche Faktoren geht. Die Gründe sind vielfältig, wurzeln aber oft in grundlegenden zwischenmenschlichen Verhaltensmustern.

Goldfarb, der langjährige Erfahrung in Security Operations und als Chief of Analysis für das US-CERT sammelte, identifiziert zwei zentrale Hürden: Menschen wollen anderen nicht missfallen und vermeiden Konflikte, auch wenn diese notwendig und für das Gemeinwohl förderlich wären. Das Ergebnis ist eine Schieflage im Vetting-Prozess. Negative Informationen über Personen oder Organisationen werden schnell akzeptiert und internalisiert – ohne die einfachen Fragen zu stellen, die Wahrheit von Fiktion trennen könnten.

Die Konsequenzen dieser mangelhaften “sozialen Vetting” sind nicht zu unterschätzen. Ein Sicherheitsteam könnte versehentlich auf wertvolle Expertise verzichten, weil jemand Opfer von Gerüchten wurde. Umgekehrt könnten problematische Personen oder Sicherheitsanbieter in Schlüsselpositionen landen, weil kritische Stimmen nicht gehört oder überprüft wurden. Besonders kritisch wird es bei der Auswahl von Sicherheitslieferanten oder der Einstellung von Sicherheitsexperten – Entscheidungen, die auf unvalidierter Information basieren, können die gesamte Sicherheitsposition eines Unternehmens schwächen.

Goldfarb plädiert dafür, die gleiche Rigorosität, die bei IOC-Vetting selbstverständlich ist, auch auf soziale und organisatorische Bewertungen anzuwenden. Das bedeutet: Quellen überprüfen, mehrere Perspektiven einholen, direkt nachfragen und Widersprüche dokumentieren. Es erfordert Unbehagen und den Mut zum konstruktiven Konflikt – aber genau das macht Sicherheitsarbeit aus.

Für deutsche Unternehmen und Behörden ist diese Lektion besonders relevant. In Zeiten gestiegener Sicherheitsanforderungen und komplexer Supply-Chain-Abhängigkeiten sind fundierte Entscheidungen über Sicherheitspartner und interne Personalien nicht optional. Sie sind existenziell. Wer hier auf Basis von Gerüchten entscheidet, sabotiert seine eigene Sicherheitsarchitektur.

Ähnliche Artikel