Kognitive Verzerrungen gefährden die IT-Sicherheit – Teil 2 Zusammen sind wir sicherer, oder?

Autor / Redakteur: Vivien Schiller / Peter Schmitz

Kognitive Verzerrungen hat jeder Mensch, denn unser Gehirn ist darauf ausgelegt, effizient zu denken und Entscheidungen zu treffen. Im ersten Teil wurden diverse Biases vorgestellt und auf die Wirkung auf den einzelnen Menschen eingegangen. Im zweiten Teil stehen die Zusammenarbeit und die Implementierung von Software im Fokus.

Firma zum Thema

Unterschiedliche Blickwinkel in offener Kommunikation beleuchten verschiedene Charaktereigenschaften, verschiedene Verzerrungen und sind in Summe weniger diskriminierend, robuster, aufmerksamer gegenüber verschiedenen Dingen und erhöhen somit auch die IT-Sicherheit.
Unterschiedliche Blickwinkel in offener Kommunikation beleuchten verschiedene Charaktereigenschaften, verschiedene Verzerrungen und sind in Summe weniger diskriminierend, robuster, aufmerksamer gegenüber verschiedenen Dingen und erhöhen somit auch die IT-Sicherheit.
(Bild: fizkes - stock.adobe.com)

Um Sicherheitsvorfälle zu vermeiden, können verschiedene Maßnahmen ergriffen werden. Doch wer trägt die Verantwortung in der Implementierung und im Betrieb? Ist es ein Teammitglied oder eine IT-Sicherheitsfachkraft?

Im schlimmsten Fall fühlt sich niemand für das Thema verantwortlich. Ein Grund dafür könnte sein, dass die IT-Sicherheit nicht explizit in die Anforderungen oder ins Budget aufgenommen wurde. Falls früher oder später das Thema doch aufkommt, ducken sich Teammitglieder weg und stecken den Kopf in den Sand (Ostrich-Effekt). Mit gefährlichem Halbwissen möchte kaum jemand die Verantwortung übernehmen und die Konsequenzen dafür tragen müssen. Dabei unterschätzen sich viele Mitarbeitende. Wenn die Situation kein Budget für Security(-Fachkräfte) vorsieht, kann jede/r einzelne mit seinem Halbwissen mehr zu einem sichereren Ergebnis beitragen, als nichts zu tun.

Gleichzeitig gibt es Menschen, die sich mit Security-Themen halbwegs auseinandergesetzt haben und sich eventuell selbst über- und andere unterschätzen (Dunning-Kruger-Effekt). Während sich jemand mit dem Thema hervorheben möchte, wagen es andere Personen gegebenenfalls gar nicht mehr, Einwände oder andere Vorschläge zu äußern. Wenn vermeintliche Profis nicht weiter hinterfragt und deren Vorschläge vertraut werden, kann dies dazu führen, dass eine Firewall oder ein Antivirenprogramm installiert wird, jedoch ohne Konfiguration. Damit kann ein falsches Gefühl von Sicherheit, als auch ein schlechtes Teamklima erzeugt werden.

Andererseits gibt es auch den Fall, dass man nicht sich überschätzt, sondern andere. Sprüche wie „Das ist doch Standard, das sollte doch wirklich jede/r wissen“ könnte Teammitglieder dazu bringen, nicht noch mal nachzufragen, um sich nicht als „unwissend“ outen zu müssen. Dies kann zur Folge haben, dass nach Lösungen im Internet gesucht wird, die vielleicht gar nicht passend sind wie zum Beispiel beim Passwort-Hashing. Die möglichen Suchanfrage wären endlos und am Ende könnte das Passwort Base64 „codiert“ gespeichert werden.

Um der Wichtigkeit von IT-Sicherheit Betonung zu verleihen, wird oft auch ein negatives Framing eingesetzt, um die negativen Folgen herauszustellen. Dies kann den positiven Effekt haben, sich mehr mit der IT-Sicherheitsinfrastruktur auseinandersetzen und sie zu hinterfragen. Insbesondere wenn es um die Frage geht: Welche Vorfälle hatten wir bereits? Die Verfügbarkeitsverzerrung könnte glauben lassen, man wäre gut aufgestellt, wenn bisher keine Sicherheitsvorfälle passiert sind, weil dann wird in Zukunft mit Sicherheit auch nichts passieren. Das kann sein, muss aber nicht, wenn neue Angriffstechniken ausprobiert werden und ein Unternehmen plötzlich doch zur Zielscheibe wird. Verschiedene Produktentwickler nutzen dieses negatives Framing, um ihre Security-Produkte zu vermarkten.

Intervention

Unabhängig davon, ob zu wenig Präventionsarbeit geleistet wurde, Software nicht richtig gewartet wurde oder neue Angriffstechniken hinzugekommen sind: Intervention wird immer Teil der Sicherheitsarbeit bleiben. Genauso wichtig wie bei der Prävention ist das Motto: Nicht den Kopf in den Sand stecken, wenn ein Sicherheitsvorfall auftritt. Zu hoffen, dass beispielsweise bei einer Attacke schon nichts passiert ist und sie sich hoffentlich nicht wiederholt, kann die IT-Sicherheit massiv gefährden.

Biases können auch die Suche nach Sicherheitslücken und deren Behebung erschweren oder verlängern. Der Ankereffekt gefährdet die Sicherheit, wenn sich zum Beispiel Analysten zu Beginn an einer Theorie festhalten und auch dann nicht von dem „Anker“ abweichen, wenn die Lösung des Problems ganz woanders liegt. Wird die Aufmerksamkeit nur auf eine (Anker-)-Information gelenkt, kann es passieren, dass andere wichtige Merkmale übersehen werden. Insbesondere, wenn sich jemand unsicher fühlt und einen Rat oder eine (Anker-)-Empfehlung einholt.

Empfehlungen basieren oft auf Erfahrungen, damit können Verfügbarkeitsverzerrungen die Person ebenfalls beeinflussen. Unter anderem können diese auf der Grundlage der aktuellen Trends oder Informationen getroffen werden, die dem Empfehlenden zuerst in den Sinn gekommen sind. Oder sie denken häufig an Ursachen oder Probleme, die mit ihren eigenen Theorien oder Erkenntnissen übereinstimmen. Diese selektive Wahrnehmung des Confirmation Bias kann von den tatsächlichen Bedrohungen ablenken.

Wenn Nutzende in einen Sicherheitsvorfall involviert sind, können wieder Biases auftreten. Der Attributionsfehler kann einen Sicherheitsvorfall herunterspielen, der vielleicht doch mehr Analyse bedarf. Sicherheitsanalysten und Software-Entwicklende scherzen oftmals über PEBKAC (Problem Exists Between Keyboard and Chair) und „id10t“-Nutzenden, die Risiken verursachen oder Probleme mit der Technologie haben. Oft werden unerfahrene Nutzende charakterisiert als weniger fähig, weniger intelligent und dazu neigend aus Bequemlichkeit Fehler zu machen. Durch diese Hypothesen können Fehler übersehen werden.

Aber in der Implementierung, oder?

Gehört es zur Datensicherheit, dass die Daten der Endnutzenden nicht gegen sie verwendet werden? Wenn ja, gilt es auch den psychologischen Schutz und nicht nur die CIA-Schutzziele zu sichern. Wenn User aufgrund ihrer angegebenen Daten diskriminiert werden, gefährdet dies auch die IT-Sicherheit. Beim Identitätsdiebstahl scheint die Situation klar: Wenn Kreditkartendaten abgegriffen und verwendet werden, entsteht ein Schaden. Es entsteht ebenfalls ein Schaden, wenn eine Person aufgrund ihrer (Charakter-)Eigenschaften einen Kredit nicht erhält, wie im Fall von Apple. Es wurde bekannt, dass die KI-Lösung Frauen weniger Kredit gewährt hat als Männern. Falls Verzerrungen in Software eingebaut werden, betrifft dies auch die Sicherheit, da nicht nur dem Kunden ein (finanzieller) Schaden zugefügt wird, sondern auch dem Unternehmen. Hinzu kommt der Imageschaden, wenn solche Fehler bekannt werden.

Es wird nicht nur die Seite „Es sollte nichts Schadhaftes in das System eindringen, sodass kein Schaden für das Unternehmen oder den Kunden entsteht“ betrachtet, sondern auch die Seite „Das System soll keinen Schaden nach außen geben, sodass kein Schaden für Unternehmen oder den Kunden entsteht“.

Was können wir dagegen tun?

Zum einem können wir uns unseren unbewussten Verzerrungen bewusstwerden und dem Bias Blind Spot entkommen. Dies ermöglicht es uns, uns selbst zu hinterfragen. Das Bewusstsein zu schaffen und zu behalten, erfordert kontinuierliches Training. Eine Phishing Kampagne beispielsweise muss regelmäßig wiederholt werden, da der Effekt und das Bewusstsein für Phishing E-Mails sehr schnell nachlässt (Verfügbarkeitsheuristik).

Zum anderen spielt auch Diversität eine große Rolle, denn Menschen mit unterschiedlich ausgeprägten kognitiven Verzerrungen können diese wiederum aufwiegen beziehungsweise aufheben, wenn sie optimal zusammenarbeiten. Unterschiedliche Blickwinkel in offener Kommunikation beleuchten verschiedene Charaktereigenschaften, verschiedene Verzerrungen und sind in Summe weniger diskriminierend, robuster, aufmerksamer gegenüber verschiedenen Dingen und erhöhen somit auch die IT-Sicherheit. Dabei ist es wichtig, sich und auch andere genauso wenig zu überschätzen wie zu unterschätzen, sondern besser zu wertschätzen. Eine offene Fehlerkultur, in der gute und schlechte Erfahrungen geteilt werden, kann die IT-Sicherheit nur stärken.

Über den Autor: Vivien Schiller ist als Senior Software Engineer bei Adesso tätig. Sie unterstützt Projektteams in der Sicherheit von Webanwendungen und hält Schulungen im Bereich Kryptographie und Security Awareness. Für den Menschen nutzbare IT-Sicherheitslösungen stehen für sie im Fokus, dafür braucht es innovative und kreative Ideen, daher setzt sie sich für mehr Diversität in der Softwareentwicklung ein.

(ID:47773142)