Über unsMediaKontaktImpressum
Dr. Volker Scheidemann 03. November 2015

Warum Pekinesen besser hacken als Pitbulls

Psychologische Stolpersteine bei der Einschätzung von IT-Risiken


Der Pekinese ist gefährlicher als der Pitbull! Hätten Sie’s gedacht? Und hätten Sie gedacht, dass das was mit IT-Sicherheit zu tun hat? Nein? Doch!

Beim Thema IT-Sicherheit gibt es eine bemerkenswerte Diskrepanz zwischen der Verbreitung verschiedener technischer Sicherheitsmaßnahmen in Behörden und Unternehmen und der immer wieder in diversen Umfragen belegten tatsächlichen Bedrohungslage. Untersucht man dieses Phänomen eingehender, kommt man darauf, dass die menschliche Psychologie der Risikowahrnehmung eine große Rolle spielt. Der "Bauch" siegt bei der Entscheidung für oder gegen eine Sicherheitsmaßnahme oft über den Kopf – leider häufig mit fatalen Konsequenzen.

Die Risiken, die uns umbringen, sind nicht immer die, vor denen wir uns fürchten und über die wir uns aufregen.

In dieser Aussage bringt der Kommunikationswissenschaftler Peter M. Sandman seine Theorie des "Outrage" (Empörung) der menschlichen Risikowahrnehmung auf den Punkt [1]. Genauer ist damit gemeint, dass emotionale Faktoren wie Wut, Bestürzung, Neugier etc. einen großen Einfluss darauf ausüben, wie Menschen Risiken einschätzen und wie sie darauf reagieren. Das gilt für IT-Risiken wie für alle anderen Risiken des täglichen Lebens auch. Ein Beispiel: statistisch gesehen beißen Pekinesen weitaus häufiger zu, als die gefürchteten Pitbulls, und zwar unabhängig von der jeweiligen Verbreitung der Hunderasse. Das ist wissenschaftlich belegt [2]. Da aber die Vorstellung, Opfer eines Pitbull-Angriffs zu werden, ein weitaus größeres Schreckenspotenzial hat, als die, von einem niedlichen kleinen Pekinesen gebissen zu werden, erscheint uns das Risiko beim Pitbull sehr viel größer.

Die so gerne hergenommene Formel

               Risiko = Eintrittswahrscheinlichkeit x Schadensausmaß

mag in der Welt von Zahlen, Daten, Fakten ihre Berechtigung haben. Sie gibt jedoch keine adäquate Beschreibung für das subjektiv wahrgenommene Risiko ab. In der subjektiven Wahrnehmung sind die Faktoren Eintrittswahrscheinlichkeit und Schadensausmaß nicht gleichberechtigt, sondern die potenzielle Schrecklichkeit eines Schadens übt einen ungleich größeren Einfluss auf unsere Psychologie aus, als die Eintrittswahrscheinlichkeit.

Ein wichtiger Einflussfaktor ist auch die wahrgenommene Kontrolle. Während wir zum Beispiel täglich unbekümmert Auto fahren und keinen Gedanken an Unfallstatistiken und die hohe Zahl von Todesopfern auf unseren Straßen verschwenden, beschleicht uns ein mulmiges Gefühl, wenn wir ins Flugzeug steigen und dem Geschick des Piloten ausgeliefert sind.

Die Firewall im Kopf

Im Bereich der IT-Sicherheit ist für viele die Firewall das Synonym für Schutz. Das spiegelt sich auch darin wieder, dass es praktisch kein Unternehmen ohne Firewall mehr gibt. Eine Firewall, technisch betrachtet, trennt zwei Netzwerksegmente. Klassisch steht eine Firewall zwischen dem internen Netzwerk einer Organisation und dem Internet. Sie steuert dort den ein- und ausgehenden Netzwerkverkehr. Die gängige Meinung über Firewalls ist, dass sie  Hacker, Datendiebe und andere Cyber-Schädlinge aus dem Internet vom "guten" internen Netz fernhält. Das ist auch richtig, aber häufig ist in dieser Denkweise auch die Idee impliziert, dass alles böse immer nur von außen kommt und von intern keine Gefahr droht. Dass dies ein Fehlschluss ist, beweisen immer wieder Pressemeldungen über Datenklau oder diverse Statistiken über die IT-Sicherheitsverletzungen durch Interne. Hier verhindert die psychologische Firewall in unseren Köpfen einen Blick aufs Ganze. In der Tat, nach innen gerichtete Schutzmechanismen, wie beispielsweise Datenklassifizierung und Verschlüsselung für vertrauliche Datenbestände, sind viel weniger verbreitet. Hier herrscht immer noch die Meinung vor, dass Daten im internen Netz per se sicher seien. Ein Trugschluss, wie zum Beispiel die seit 1998 regelmäßig durchgeführten Sicherheitsstudien der Fachzeitschrift kes immer wieder belegen [3]. Hier nehmen unbefugte Kenntnisnahme, Fehler und Sicherheitsverletzungen durch interne Mitarbeiter regelmäßig einen Platz unter den ersten Drei ein.

"Das passiert mir nicht!"

Ein sehr häufig anzutreffendes Phänomen beim Umgang mit Risiken ist, dass eine Gefahr zwar erkannt, jedoch immer als ein Problem gesehen wird, dass nicht einen selbst betrifft. Psychologen sprechen bei diesem unerschütterlichen Glauben an die eigene Unverwundbarkeit vom "It won’t happen to me"-Syndrom (Weinstein, 1987) [4]. Bestärkt wird dies vor allem dadurch, wenn ein potenzieller Schaden nicht unmittelbar eintritt und unter Umständen nicht einmal bemerkt wird. Das Ausspionieren von Daten ist ein typischer Fall aus dem IT-Bereich, in dem diese Faktoren sich zur unheiligen Allianz paaren: da durch Spionage keine Daten geändert werden, fällt es nicht auf. Ein Schaden entsteht nur mittelbar und mit Zeitverzögerung, nämlich dann, wenn die unbefugte Kenntnis, wie beispielsweise über Angebote an Kunden, dazu führt, dass ein Konkurrent ein besseres Angebot erstellt und den Zuschlag bekommt. Ob das nun einfach Pech ist, oder ob da durch Datenklau nachgeholfen wurde, wird man im Zweifel nie erfahren.

Eine berühmte Arbeit zum menschlichen Handeln in Risikosituationen ist die sogenannte "Prospekt-Theorie" (auch: "Neue Erwartungstheorie") von Daniel Kahnemann und Amos Tversky [5], welche den beiden Psychologen im Jahr 2002 den Nobelpreis für Wirtschaftswissenschaften einbrachte. Ein Ergebnis dieser Arbeit ist, dass die Motivation eines Menschen bei der Aussicht auf Gewinne langsamer wächst, als wenn es um die Abwendung von Verlusten geht. Ein Beispiel aus der Welt der IT-Sicherheit sind Passwortrichtlinien. Der "Gewinn" in dieser Situation ist die Steigerung der Sicherheit bei der Einführung von Komplexitätsregeln. Dem gegenüber stehen der "Verlust" der Bequemlichkeit und das Risiko des Vergessens. Je komplexer die Richtlinien für ein Passwort werden, desto schwerer wiegt die "Verlustseite". Die Motivation, mehr Sicherheit zu erreichen, nimmt mit wachsender Komplexität immer langsamer zu, bis irgendwann die Bequemlichkeit und die Angst vor dem Vergessen des Passwortes überhand nehmen. Und dann klebt wieder ein Post-It am Monitor.

Die Psychologie spielt eine enorm große Rolle bei der Einschätzung von Risiken, also auch bei IT-Risiken. Wer diesen Aspekt aus seinem Informationssicherheitskonzept ausklammert, muss sich nicht wundern, wenn als Pekinesen getarnte Hacker in seinem Netz ein- und ausgehen.

Autor

Dr. Volker Scheidemann

Dr. Volker Scheidemann ist Leiter der apsec academy. Er ist seit über 15 Jahren in der IT-Security-Branche tätig und er war mehrere Jahre Lehrbeauftragter für IT-Sicherheit an der Frankfurt University of Applied Sciences.
>> Weiterlesen
botMessage_toctoc_comments_9210