Menschliche Fehler als Bedrohung zu betrachten, mag etwas taktlos erscheinen; dennoch sind sie, wie aus Statistiken unterschiedlicher Organisationen hervorgeht, nach wie vor eine sehr häufige Ursache von EDV-Schadensfällen. 

Als "menschlicher Fehler" gilt jedes menschliche Verhalten, das einer sachgemäßen Benutzung zuwiderläuft und ungewollte Schäden unterschiedlicher Art verursacht.

Als "menschlicher Fehler" gilt jedes menschliche Verhalten, das einer sachgemäßen Benutzung zuwiderläuft und ungewollte Schäden unterschiedlicher Art verursacht. Absichtliche Handlungen zu unlauteren Zwecken gelten nicht als Fehler.

Es ist unmöglich, eine Liste sämtlicher menschlichen Fehler zu erstellen. Obwohl es unzählige Möglichkeiten im Bereich der menschlichen Fehler gibt, lassen sich einige Unterscheidungskriterien aufstellen, anhand derer menschliche Fehler unterteilt werden können.

Fahrlässigkeitsfehler

Unter diese Kategorie fallen alle Handlungen von Personen, die zwar umfassend informiert sind, sich aber nicht an die Vorschriften halten. Daher könnte man Fahrlässigkeit mit einer absichtlichen Handlung gleichsetzen. Allerdings ist Fahrlässigkeit im Allgemeinen nicht mit betrügerischen Absichten verbunden.

Beispiele:

• Nichtbeachtung der vorgesehenen Verfahren für die Sicherung von Daten (KMU: siehe Unbrauchbare Backups),

• Abbruch der Aktualisierung des Antivirenprogramms beim Start des Rechners,

• Weitergabe des Passworts an einen Arbeitskollegen (KMU: siehe Verwendung eines internen Benutzerkontos durch einen Externen),

• Nutzung der EDV-Architektur des Unternehmens zu privaten Zwecken (KMU: siehe Missbrauch von organisationsinternen Ressourcen),

• Installation eines "nicht der Norm entsprechenden" Softwareprogramms auf einem Gerät, insbesondere auf einem Computer oder einem Server (KMU: siehe Benutzung unerlaubter Programme und Böswilliger Administrator).

Unfähigkeitsfehler

Unter diesen Begriff fallen alle unwissentlich begangenen Fehler. Tatsächlich können viele Fehler "in gutem Glauben" begangen werden, ohne dass der Benutzer sich einer unsachgemäßen oder regelwidrigen Benutzung und der Tragweite seiner Handlungen bewusst ist.

Beispiele:

• "Social Engineering" (siehe den Abschnitt zu diesem Thema),

• falsche Verwendung eines EDV-Tools,

• Löschen von Daten.

Menschliche Fehler sind unbeabsichtigt herbeigeführte Bedrohungen, die auf verschiedenen Sicherheitslücken beruhen, insbesondere:

Faulheit und Mangel an Professionalität

Unter diese Kategorie fallen alle fahrlässigen Handlungen, denen ohne Rechenschaftspflichten und Sanktionsmechanismen kaum abzuhelfen ist.

Mangel an Schulung oder Sicherheitssensibilisierung

Eine Person ohne entsprechende Bewusstseinsbildung stellt eine durchaus bedeutende Sicherheitslücke dar, deren Kehrseite darin besteht, dass der begangene Fehler nicht wahrgenommen und somit auch nicht vom Betreffenden selbst erkannt und korrigiert wird.

Mangelnde Ausbildung und Sensibilisierung einer Person in Sicherheitsfragen ist eine Sicherheitslücke, die das hochgefährliche so genannte "Social Engineering" ermöglicht.

Das von dem amerikanischen Mathematiker Gibbs aufgestellte Gesetz der "Unzuverlässigkeit" besagt: "Jedes System, das von der Zuverlässigkeit des Menschen abhängt, ist unzuverlässig."

Es gibt mehrere Möglichkeiten, menschlichen Fehlern vorzubeugen. Dennoch sollte man viel Energie auf die Begrenzung der Auswirkungen menschlicher Fehler verwenden und nicht grundsätzlich davon ausgehen, dass man in der Lage sei, alle menschlichen Fehler zu vermeiden. Die wichtigsten Gegenmaßnahmen sind:

Die Sensibilisierung

In diesem Bereich lässt sich das Risiko auf einfache Weise erheblich senken.

Die meisten Menschen sind im Grunde genommen guten Willens. Wenn man sie über die Tragweite ihrer täglichen Handlungen und den Wert der verarbeiteten Daten informiert, werden sie genau darauf achten, diese fürsorglich zu behandeln.

Die Ausbildung

Das beste Mittel, den falschen Umgang mit Daten und Softwareprogrammen zu vermeiden, ist die Ausbildung der Benutzer in der Bedienung der Software und der Behandlung der Datenträger.

Durchführung und Kontrolle

Es ist äußerst wichtig, Verfahren einzurichten, die alle sicherheitsrelevanten Aspekte (Zugang, Datensicherung usw.) abdecken. touchant à la sécurité. Diese Verfahren müssen in regelmäßigen Abständen kontrolliert und Verstöße mit Strafen belegt werden. Diese Verfahren sind in der Regel Teil der Sicherheitsleitlinie.

Doppelte Überprüfung

Um Eingabefehler bei kritischen Softwareprogrammen (Online-Banking usw.) zu vermeiden, empfiehlt es sich, eine doppelte Eingabe der Daten oder eine doppelte Überprüfung vorzusehen.

Fehlermanagement und -nachverfolgung

Fehler lassen sich nicht immer ganz ausschließen. Daher müssen aus Fehlern Konsequenzen gezogen werden, damit sie sich nicht wiederholen. Nur durch eine gezielte Analyse der begangenen Fehler und ihrer Ursachen können Fehler in der Zukunft vermieden werden.

Zentralisierte Verwaltung

Um menschliche Fehler zu minimieren, ist es ratsam, den Zugriff auf Programme und Daten strikt auf jene Personen zu begrenzen, die diesen brauchen: Verwaltung der Zugriffsrechte und Authentifizierung