Nather definierte einen Beinahe-Vorfall als alles, was beinahe passiert wäre und einen sagen lasse: “Wow, wenn diese eine Sache nicht gewesen wäre, hätte es richtig schlimm werden können.” Den Fall einer Gefährdung ohne Ausnutzung beobachte sie häufig, weil viele Unternehmen Schwierigkeiten hätten, ausreichende Protokollierungsfunktionen umzusetzen.
Lord beschrieb, wie Firmen solche Momente als Heldentaten oder glückliche Zufälle feiern: Man erkenne einen knappen Ausgang an, kehre dann aber einfach zur Arbeit zurück — das gelte für alle, besonders für das Management. Dadurch fehle es an Gesprächen über reale Beinahe-Vorfälle. Einen Beinahe-Vorfall nicht zu nutzen, um den vollständigen Notfallplan einmal durchzuspielen, sei eine große Verschwendung, warnte er.
Um Transparenz zu fördern, müsse die Branche Schuldzuweisungen beenden. Menschliches Versagen betreffe nur die unmittelbare Ursache eines Problems, nicht die eigentliche Wurzel, erklärten die Referenten. Schon die Suche nach der Grundursache sei schwierig genug. Der Begriff “root cause” sei keine tatsächliche Schlussfolgerung, so Lord, sondern lediglich die Bezeichnung für die Entscheidung, nicht weiterzusuchen. Streitigkeiten unter Kollegen über die eigentliche Ursache eines Vorfalls erklärten sich oft daraus, dass jeder den Punkt, an dem er die Suche beendet, anders festgelegt habe.
Nach Ansicht beider Fachleute tragen Menschen einen Großteil der Schuld statt der eingesetzten Systeme und Technologien. Mitarbeiter könnten Teil der Ursache sein, etwa wenn sie auf einen Phishing-Link klicken oder auf einen Vishing-Angriff hereinfallen, bei dem sich ein Angreifer als IT-Helpdesk ausgibt — oder wenn Mehr-Faktor-Authentifizierung fehlt oder Passwörter wiederverwendet werden. “Ich hasse den Spruch, dass der Mensch das schwächste Glied ist”, sagte Nather. Man solle stattdessen Systeme so bauen, dass Menschen nicht die Verantwortung tragen müssten.
Menschliches Versagen solle den Beginn einer Untersuchung markieren, nicht ihr Ende, sagte Lord. Systeme drifteten unter Druck, Effizienzzwängen und konkurrierenden Zielen natürlicherweise in Richtung höheres Risiko, und Menschen versuchten, Sicherheitsmaßnahmen zu umgehen, um schneller zu arbeiten. “Immer wenn man versucht ist, jemandem die Schuld an einem Beinahe-Vorfall zu geben, ist das ein Signal, tiefer in das System statt auf die Person zu schauen”, so Nather.
Der Abbau von Schuldzuweisungen könne das Teilen von Informationen verbessern, indem er Angst und Peinlichkeit nehme. Sich sicher genug zu fühlen, um Beinahe-Vorfälle an die Unternehmensführung zu melden, könne eine “Goldgrube an Informationen” sein. Um dies branchenweit zu erreichen, schlug Nather vor, Daten zu Beinahe-Vorfällen zu aggregieren, damit kein einzelnes Unternehmen herausgestellt werde — so seien mehr Beteiligte zum Teilen bereit, was Regulierungsbehörden und der Branche helfe. Vertrauen entstehe zwischen Personen, nicht zwischen Organisationen; reale Geschichten von Einzelnen seien wertvoller als standardisierte Datensätze.
Ein freiwilliger Meldekanal für Beinahe-Vorfälle — ähnlich der staatlichen Meldung von Sicherheitsverletzungen — sei ein möglicher Weg. Einreichungen könnten vertraulich oder anonymisiert erfolgen und ausdrücklich von regulatorischen und vertraglichen Anforderungen geschützt werden. Der Datensatz könne festhalten, was beinahe passiert wäre, was es stoppte, welche Kontrolle entscheidend war und welche Annahmen sich als falsch erwiesen. Daraus ließen sich Trends und Lehren veröffentlichen, ohne Organisationen zu nennen. So wollen Nather und Lord Beinahe-Vorfälle als “Beleg für Vertrauen, nicht für Schwäche” verstanden wissen.
