Wenn Psychologie auf IT-Sicherheit trifft

Verfügbarkeitsheuristik

Nach der Verfügbarkeitsheuristik bemessen Menschen die Wahrscheinlichkeit für den Eintritt eines Ereignisses danach, wie oft sie in jüngerer Vergangenheit von ähnlichen Umständen gehört haben. Denn je häufiger eine Person auf bestimmte Informationen trifft, desto leichter sind diese im Gedächtnis zugänglich. So kann sich also die blosse Verfügbarkeit von Informationen auf die individuelle Wahrnehmung hinsichtlich des Eintritts eines Ereignisses auswirken.
Quelle: Forcepoint
Für die IT-Sicherheit bedeutet dies: Zwar analysieren IT-Experten die Unternehmensdaten gründlich und regelmässig. Dennoch überschätzen sie manchmal die Wahrscheinlichkeit für den Eintritt eines Ereignisses. Sie müssen lernen, ihre Argumentationsstrategien konsequent infrage zu stellen und nach dem Unerwarteten zu suchen. Gerade Führungskräfte, die weniger technisch versiert und von tagesaktuellen Informationen abhängig sind, werden meist häufiger von Verfügbarkeitsverzerrungen beeinflusst. Unternehmen, welche die Wahrscheinlichkeit bestimmter Bedrohungsszenarien unrealistisch einschätzen, unterbewerten oder ignorieren, investieren eher in den Schutz vor Problemen, deren Eintritt sehr unwahrscheinlich ist.
Um die Wahrscheinlichkeit einer Bedrohung richtig einzuschätzen, muss eine fortschrittliche Technologie für eine realistische Risikoerkennung eingesetzt werden. Auf dieser Basis kann die tatsächliche Bedrohungslage präzise analysiert und dargestellt werden. So müssen Entscheidungen nicht auf der Grundlage von aktuellen, verfügbaren Nachrichten getroffen werden, welche die Wirklichkeit verzerren. Für die Überwindung der Verfügbarkeitsheuristik bedarf es also sowohl des Menschen als auch der Technik. Der Mensch sollte eine Unternehmenskultur und Kommunikationsstrategie schaffen, die das Fachwissen der Sicherheitsexperten schätzt. Und die Technologie sollte dazu beitragen, genauere Wahrscheinlichkeiten für verschiedene Arten von Bedrohungen zu ermitteln.

Bestätigungsfehler

Falscher Eindruck: Angriffe von Haien erregen viel mediale Aufmerksamkeit, doch verursachen Kühe mehr Todesfälle pro Jahr.
Quelle: Biasin Cybersecurity
Diese kognitive Verzerrung beschreibt die menschliche Neigung, Informationen so auszuwählen und zu interpretieren, dass sie die eigenen Erwartungen, Meinungen und Überzeugungen bestätigen. Informationen hingegen, die diesem Standpunkt widersprechen, werden völlig ausgeblendet. Das bedeutet, dieser Denkmechanismus filtert Informationen nach subjektiven Massstäben. So forschen auch IT-Sicherheitsverantwortliche häufig nur nach Ursachen oder Problemen, die mit ihren persönlichen Theorien oder Erkenntnissen übereinstimmen. Diese selektive Wahrnehmung kann oft von den tatsächlichen Bedrohungen und Gefahren ablenken.
Die Überwindung von Bestätigungsverzerrungen erfordert kreatives und flexibles Denken - und insbesondere die Fähigkeit und Bereitschaft, eine Situation aus unterschiedlichen Blickwinkeln zu betrachten. Es sollte eine Unternehmenskultur gefördert werden, in der abweichende Überzeugungen teamübergreifend wertgeschätzt werden. Dabei unterstützen mentale Übungen wie Rückwärtsdenken, Rollenspiele und das Lernen aus überraschenden Ereignissen.

Autor(in) Margaret Cunningham


Das könnte Sie auch interessieren