Aus biologischen Systemen können wir viel auf die Cybersicherheit und Cyber-Resilienz in komplexen IT/OT-Systemen ableiten. So hat beispielsweise die Resilienzforschung im Immunsystem von Lebewesen Mechanismen entdeckt, deren Wirkprinzipien sich auf die Robustheit digitaler Systeme im Falle eines Cyberangriffs anwenden lassen. In der Neurobiologie ist das Konzept der Resilienz eng verbunden mit dem Begriff der Vigilanz. Es lohnt sich daher, einen Blick auf die Vigilanz in der Neurobiologie zu werfen und darauf, wie sie auf die Cybersicherheit übertragen werden kann.

“Vigilanz [von latein. vigil = wach, munter], Zustand der Wachheit, der ein Individuum in die Lage versetzt, ohne Verzögerung auf Reizsituationen und Veränderungen in der Umwelt zu reagieren. Die Mechanismen der visuellen Aufmerksamkeit spielen hierbei eine übergeordnete Rolle. Reizsituationen, wahrgenommen als physikalische Stimuli, beeinflussen diesen noch näher zu differenzierenden Aktivitätszustand des Zentralnervensystems. Zur Vigilanz gehört der indifferente, passive Wachzustand, daraus hervorgehend die gerichtete Aufmerksamkeit ohne Motorik(“alert-Zustand”, “alertness”) sowie danach situationsadäquates motorisches Verhalten bis hin zur nicht mehr situationsangepaßten Hypermotorik“ (Quelle: Lexikon der Neurowissenschaft)

Die Vigilanz – definiert als die Daueraufmerksamkeit oder Wachsamkeit gegenüber seltenen, unvorhersehbaren Ereignissen – ist ein zentraler psychophysiologischer Zustand, der die menschliche Reaktionsfähigkeit maßgeblich bestimmt. In der Psychologie und Neurowissenschaft werden oft drei Hauptzustände der Vigilanz unterschieden, die sich direkt auf die Leistungsfähigkeit und Effizienz von menschlichen Operatoren, wie etwa Analysten in einem Security Operations Center (SOC), übertragen lassen.

In der Neurowissenschaft korreliert der Zustand der Vigilanz mit dem allgemeinen Erregungsniveau des zentralen Nervensystems:

Die Person ist wach, entspannt, aber nicht hochfokussiert. Die Aufmerksamkeit ist breit und wenig selektiv.

Im Security Operations Center (SOC):
Dies kann der Zustand während Routineaufgaben oder in Phasen mit geringer Alarmdichte sein. Analysten bearbeiten Standard-Tickets oder führen präventive Check durch.

Reaktionsfähigkeit: Die Reaktionszeit auf einen plötzlichen, unerwarteten, aber kritischen Alarm könnte verlängert sein. Die Erkennungssrate für subtile Anomalien ist möglicherweise suboptimal, da die fokussierte Dauer-Aufmerksamkeit (Vigilanz) nicht maximal ist. Es besteht die Gefahr von Nachlässigkeit und dem Übersehen leiser Warnsignale (Fälle von Unterforderung).

Dieser Zustand ist durch ein optimales Niveau gekennzeichnet, das für eine maximale Leistung sorgt. Die Aufmerksamkeit ist hoch selektiv und fokussiert. Die kognitiven Ressourcen sind optimal auf die zu erwartende Aufgabe eingestellt.

Im Security Operations Center (SOC): Dies ist der ideale Betriebszustand. Analysten sind mental engagiert, die Alarmdichte ist überschaubar, oder es wird eine erhöhte Bedrohungslage erwartet, die eine hohe Bereitschaft erfordert. Sie wenden aktiv Mustererkennung an und führen gezielte Analysen durch.

Reaktionsfähigkeit: Die Reaktionszeiten sind minimal, die Entscheidungsfindung ist präzise und die Fehlerrate ist gering. Dies ist der Bereich, in dem das SOC seine höchste Effizienz bei der Triage und Eindämmung von Sicherheitsvorfällen erreicht.

Dieser Zustand ist durch Stress, Panik und starke Aufregung gekennzeichnet.

Im Security Operations Center (SOC): Tritt typischerweise während großer Sicherheitsvorfälle (Major Incidents), Massenalarmen oder nach dramatischen Fehlern auf. Die Analysten geraten unter hohen Zeit- und Erwartungsdruck.

Reaktionsfähigkeit: Anfängliche ist die Reaktionszeit kurzfristig beschleunigt, aber die Gesamtleistung sinkt drastisch im Verlauf der Zeit. Es kommt zu Tunnelblick, eingeschränkter kognitiver Flexibilität, häufigeren Fehlentscheidungen und der Unfähigkeit, Prioritäten korrekt zu setzen. Die erhöhte emotionale Belastung führt zu einer Überlastung der kognitiven Kapazitäten, was die eigentliche forensische und analytische Arbeit behindert und zur schnellen Ermüdung führt (Fälle von Überforderung).

Die Herausforderung für das Management eines SOCs besteht darin, Maßnahmen zu ergreifen, um die Analysten so weit wie möglich im Zustand der Alert Attentiveness zu halten:

1. Vermeidung des Zustandes der Relaxed Wakefulness:
   Dies erfordert die Gestaltung von Arbeitsabläufen, die die mentale Aktivität aufrechterhalten. Dazu gehören Job-Rotation, die Einbindung in Threat-Hunting-Aktivitäten (proaktive Suche nach Bedrohungen), regelmäßige Trainings mit realistischen Szenarien und die Minimierung repetitiver, langweiliger Aufgaben durch Automatisierung (SOAR-Tools).
2. Förderung der Alert Attentiveness:
   Dies wird durch klare Incident-Response-Pläne, definierte Schwellenwerte für Alarme, eine effektive Filterung von False Positives und eine strukturierte Umgebung erreicht. Die Analysten benötigen die Gewissheit, dass das Alarmsystem zuverlässig ist und dass ihre Arbeit einen echten Mehrwert liefert. Ein gesundes Arbeitsklima und ausreichend Erholungspausen sind essenziell, um dieses optimale Arousal-Niveau langfristig zu stabilisieren.
3. Abfederung von Strong Excited Emotion Zuständen:
   Hier greifen Eskalationsstrategien, die klare Rollenverteilung während eines Krisenfalls, das Einsetzen eines Incident Commanders zur Beruhigung und Steuerung, sowie das Einhalten von Checklisten und Playbooks. Die Disziplin, auch unter Hochdruck den Prozess zu befolgen, verhindert den Absturz in die Übererregung und sichert die Entscheidungsqualität. Debriefings nach einem Vorfall helfen zudem, die emotionale Last zu verarbeiten und aus den Fehlern unter Stress zu lernen.

Die Effektivität und Cyber-Resilienz eines Security Operations Center (SOC) sind somit direkt abhängig von der Fähigkeit, die Vigilanz seiner menschlichen Analysten kontinuierlich in den optimalen Bereich der wachen Aufmerksamkeit zu steuern und zu halten.