Wenn Psychologie auf IT-Sicherheit trifft

Jeder Mensch trifft im Schnitt rund 20.000 Entscheidungen pro Tag, bewusst oder nicht. Dabei prägen kognitive Verzerrungen wie Voreingenommenheit und Vorurteile die menschliche Entscheidungsfindung enorm. Daraus resultierende Denkfehler lassen sich auch auf die IT-Sicherheit übertragen. Werden Erkenntnisse aus den Kognitionswissenschaften und der modernen Analytik richtig interpretiert, kann sich dies positiv auf die Cybersicherheit auswirken - wovon Anwender wie Entwickler gleichermassen profitieren.

Bei der Bewertung von Risiken für die IT-Security ist es von entscheidender Bedeutung, sicherheitsrelevante, kognitive Verzerrungen zu erkennen, zu verstehen und richtig einzuschätzen. Auf diese Weise lassen sich die Risiken besser beherrschen und eindämmen. Um effektive Strategien für die Cybersicherheit zu implementieren, sollten sich IT-Verantwortliche die Auswirkungen der Denkfehler bewusst machen. Im Wesentlichen sind es sechs kognitive Verzerrungen, die die IT-Sicherheit in Unternehmen negativ beeinflussen können.

Beim sogenannten ökologischen Fehlschuss gehen Menschen davon aus, dass Erkenntnisse über eine bestimmte Gruppe auch für jeden Einzelnen in dieser Gruppe gelten müssen. Dies führt regelmässig zu Irrtümern, da Informationen, die aus einer gruppenspezifischen Dynamik resultieren, in der Regel nicht auf eine individuelle Ebene übertragen werden können. Denn Einzelpersonen lassen sich meist von vielen verschiedenen Einflussfaktoren leiten, die sich auf ihr Verhalten auswirken.

So gelten beispielsweise ältere Menschen aufgrund ihrer vermeintlich geringeren Kenntnis neuer Technologien häufig als risikobehaftete Nutzer. Diese Einordnung trifft jedoch nicht unbedingt auf individueller Ebene zu. Neuere Studien zeigen etwa, dass ältere Erwachsene weniger oft Passwörter teilen als jüngere Menschen. Demnach teilen 35 Prozent der Millennials Passwörter für Streaming-Dienste - verglichen mit 19 Prozent der Generation-X-User und nur 13 Prozent der Baby-Boomer-Generation. Die Bereitschaft jüngerer Menschen zum Austausch von sensiblen Informationen verursacht also weitaus höhere Risiken als die Gewohnheiten der älteren Nutzer.

Diese kognitive Verzerrung kann dazu führen, dass sich IT-Sicherheitsverantwortliche fälschlicherweise auf die blosse Gruppenzugehörigkeit konzentrieren anstatt auf Fakten oder gesicherte Informationen, welche die individuelle Person und ihr Verhalten genau beschreiben. Die Risikobewertung basiert also auf reinen Annahmen, was die Identifizierung der tatsächlichen Quelle von Sicherheitsproblemen verzögern kann. Um menschliche Einfluss- und Risikofaktoren hinreichend zu berücksichtigen, müssen Sicherheitslösungen individuelle menschliche Verhaltensweisen verstehen und damit aggregierte Verzerrungen überwinden. Dieses Ziel lässt sich am ehesten durch erweiterte Verhaltensanalysen wie Self-to-Self-, Self-to-Peer- und Self-to-Global-Vergleiche erreichen.

Der Ankereffekt tritt ein, wenn eine Person sich auf ein spezifisches Merkmal oder eine Reihe von Informationen in einem frühen Stadium des Entscheidungsprozesses festlegt. Ausschlaggebend für den Entschluss ist meistens die erste Information, die ein Mensch erhält, der sogenannte Anker. Dies kommt häufig bei Preisverhandlungen zum Tragen. Schlägt dabei eine Partei einen bestimmten Anfangspreis vor, dient dieser als Anker für weitere Verhandlungen. Objektiv gesehen kann dieser jedoch zu hoch, zu niedrig, aber auch angemessen sein.

Die Herausforderung dabei für die IT-Sicherheit: Wird die ganze Aufmerksamkeit zu früh auf einen bestimmten Punkt gelenkt, können andere wichtige Informationen im Zusammenhang mit der Bedrohung in den Hintergrund treten und vernachlässigt werden. Stellt beispielsweise eine Führungskraft im Unternehmen Informationen über potenzielle IT-Bedrohungen bereit, konzentrieren sich untergebene Mitarbeiter fälschlicherweise oft ausschliesslich auf diese Gefahren.

Die blosse Kenntnis des Ankereffekts reicht meist nicht aus, um dessen Auswirkungen wirksam zu verhindern. Menschen sind in der Regel schwach darin, Entscheidungen zu verändern, sobald neue Informationen oder Parameter hinzutre­-ten. Wichtig ist hier vielmehr der Einsatz statistischer Analyse­instrumente. Damit lassen sich Entschlüsse auf Basis früher Informationen kritisch hinterfragen und neue Fakten und Erkenntnisse in den Entscheidungsprozess einbeziehen.