Die Bedrohungslage (Link) durch Angriffe im Internet ist so hoch wie noch nie. Trotz jener Tatsache sind nur die allerwenigsten Firmen umfassend gegen äußere und innere Gefahren gerüstet. Ein häufig unterschätzter Anreiz ist, dass etliche Firmen die Risiken sowie Auswirkungen von Internetangriffen und Sicherheitslücken verkennen und deshalb keinen hinreichenden Anreiz wahrnehmen, in eine umfassende IT-Sicherheitsstrategie zu investieren. Jene kognitive Fehleinschätzung wird in der Psychologie auch als Dunning-Kruger-Effekt betitelt. Was sich hinter diesem Begriff versteckt, welche Auswirkungen er auf die IT-Sicherheit hat und wie Unternehmen diesen vermeiden bzw. minimieren können, erfahren Sie im nachfolgenden Blogbeitrag.
Der steigende Einsatz digitaler Technologien bewirkt seit mehreren Jahren eine gewaltige Veränderung der Businesswelt. Binnen kürzester Zeit wurden bis dato etablierte sowie erfolgversprechende Geschäftsmodelle wie auch Geschäftsstrategien abgewertet, neue Geschäftsanforderungen definiert und der geschäftliche Triumph in vielen Gebieten ausgeweitet. Gleichzeitig hat der Umbruch zu einer Entgrenzung der Kriminalität geführt. Durch die wachsende Diversität netzfähiger Endpunkte, digitaler Plattformen und neuer Technologien öffnen sich bösartigen Akteuren mittlerweile eine Reihe neuer Modi Operandi mit gigantischen Schadenspotenzialen.
Obwohl inzwischen 84 Prozent (Link) der Unternehmen in Deutschland von Internetkriminalität berührt sind, stagnieren vielerorts die Ausgaben für die IT-Sicherheit. Der Auslöser: Viele Firmen haben eine fehlerhafte Perzeption des eigenen IT-Schutzes. So werden die internen IT-Sicherheitsfähigkeiten des Unternehmens aufgrund bereits implementierter IT-Sicherheitsmaßnahmen oft überbewertet und die tatsächlichen Gefahren des individuellen Unternehmens übergangen und unterschätzt.
In der Psychologie redet man in ebendiesem Fall auch von einem sogenannten Dunning-Kruger-Effekt.
Was besagt der Dunning-Kruger-Effekt?
Knapp erfasst, handelt es sich beim Dunning-Kruger-Effekt um ein Mysterium, bei dem Leute eine bemerkenswerte Selbstüberschätzung ihrer Fähigkeiten aufweisen, vor allem in Bezug auf ihr Wissen sowie ihre Fähigkeiten in einem speziellen Bereich. Das Ergebnis ist, dass sich jene Menschen fälschlicherweise für fähiger halten als sie tatsächlich sind und unter anderem Schwierigkeiten haben, sich objektiv zu beurteilen und Fehler verüben, die sich negativ auf ihre Dienste auswirken können.
Der Dunning-Kruger-Effekt ist auf die Erkenntnisse der beiden Psychologen David Dunning sowie Justin Kruger zurückzuführen. Diese führten im Jahre 1999 Untersuchungen hinsichtlich der Selbstüberschätzung sowie Außendarstellung von Personen mit einem hohen Selbstbewusstsein durch. Die beiden Wissenschaftler kamen zu dem Ergebnis, dass Menschen mit kleinem Wissen sowie fehlender Qualifikation häufig dazu neigen, sich selbst zu überschätzen. Ihnen fehlt es an ausreichender Selbstreflexion, um die Position objektiv bewerten zu können und zu erkennen, dass andere diesen geistig voraus sind.
Fehleinschätzungen sind die Regel!
Dem Dunning-Kruger-Effekt läuft man nahezu überall über den Weg.
Das vermutlich imposanteste Dunning-Kruger-Effekt-Beispiel findet sich in der Kriminalgeschichte: 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Dabei verzichtete er auf jegliche Maskierung, obwohl die Banken kameraüberwacht waren. Als sich wenig später die Handschellen schlossen, war die eigene Verwunderung beachtlich. Anscheinend war er überzeugt davon, dass ihn Zitronensaft für die Überwachungstechnik der Kreditinstitute transparent machen würde. Nach demselben Prinzip funktioniert schließlich auch eine „Zaubertinte".
Ebenfalls bekannte Beispiele für den Dunning-Kruger-Effekt sind
- Fußballfans, welche häufig glauben, mehr taktisches Bewusstsein und Ahnung vom Spiel zu haben als die kompetenten Coaches
- Das Gros der Autofahrer, die davon überzeugt sind, deutlich besser zu fahren als der Standard.
- Wähler, welche besser wissen, was für ihr Land das Ideale ist und dass sie das Land richtiger leiten könnten als die aktuelle Regierung
Dunning-Kruger-Effekt und IT-Sicherheit: Die Auswirkungen auf einen Blick!
So eine Art der Fehleinschätzung kann hauptsächlich im Feld der IT-Sicherheit eines Unternehmens schwere Konsequenzen haben:
• Erhöhtes Sicherheitsrisiko: Durch das Überschätzen der eigenen Fähigkeiten und Fachkenntnisse in Bezug auf IT-Risiken können Mitarbeiter*innen leichter von Phishing-Angriffen getäuscht werden und unsichere Passwörter benützen, was das Risiko von Sicherheitsverletzungen maximieren kann.
• Mangelhafte Sicherheitskonfigurationen: Wenn Leute die eigene Begabung, Netzwerke sicher zu erstellen, überschätzen, kann das zu mangelhaften Sicherheitskonfigurationen führen, die das Risiko von Angriffen steigern.
• Unsichere Software-Installationen: Wenn Leute ihre persönliche Fähigkeit, geschützte Software-Installationen durchzuführen, zu hoch bewerten, könnten sie schadende Software einspielen oder Sicherheitsupdates nicht beachten, was das Risiko von Angriffsversuchen erhöhen kann.
• Unsichere Datenspeicherung: Wenn Leute ihre eigene Fertigkeit, sichere Datenspeicherungspraktiken zu beachten, überbewerten, können sie wichtige Daten ungeschützt speichern oder sie auf unsicheren Geräten speichern, was das Risiko von Datenverlust oder Datendiebstahl steigern kann.
• Mangelnde Wachsamkeit: Wenn Leute ihre persönliche Kenntnis, Bedrohungen in der IT-Sicherheit zu erkennen, zu hoch bewerten, könnten jene Phishing-Angriffe oder andere Bedrohungen übergehen, was das Risiko von Angriffsversuchen maximieren kann.
• Mangelhafte Compliance: Arbeitnehmer könnten sich nicht der Compliance-Regeln bewusst sein oder diese nicht beachten, weil sie meinen, dass sie diese nicht einhalten müssen oder nicht verstehen, wie sie jene befolgen sollen. Dies könnte zu schweren Konsequenzen führen, wenn das Unternehmen gegen Gesetzmäßigkeiten oder Vorschriften verstößt.
Was kann man gegen den Dunning-Kruger-Effekt tun?
- Regelmäßige Aufklärung und Sensibilisierung: Es ist wichtig, dass Menschen über den Dunning-Kruger-Effekt und dessen Konsequenzen informiert werden, damit sie ihre eigenen Fähigkeiten realistisch einschätzen können.
- Realistische Einschätzung der eigenen Fähigkeiten: Es ist essenziell, dass Menschen eine realistische Beurteilung ihrer persönlichen Kenntnisse haben und keinesfalls versuchen, Aufgaben zu übernehmen, die sie nicht bewerkstelligen können.
- Einhaltung von Sicherheitsrichtlinien und -verfahren: Es ist wichtig, dass man sich an geregelte Sicherheitsrichtlinien und -verfahren hält, um die Gefahr von Sicherheitsverletzungen zu minimieren.
- Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist es bedeutend, dass Menschen miteinander kommunizieren und kooperieren, um Gefahren zu minimieren und die Sicherheit zu maximieren. Hierzu zählt ebenso, dass man einander anerkennt und unterstützt.
- Risikomanagement: Ein wichtiger Teil der IT-Sicherheit ist ein Risikomanagement, bei welchem Gefahren überprüft und Maßnahmen ergriffen werden, um jene Risiken zu verringern oder zu beseitigen. Dazu zählt ebenso, dass man die Kenntnisse sowie Skills der einzelnen Teammitglieder berücksichtigt und adäquate Mittel ergreift.
Fazit: Halbwissen ist nicht nur gefährlich, sondern ganz gefährlich!
Zusammenfassend kann man sagen, dass der Dunning-Kruger-Effekt im Bereich der IT-Sicherheit ein ernstzunehmendes Problem ist, welches es zu umgehen gilt. Durch regelmäßige IT-Sicherheitsschulungen können Firmen das Wissen und die Fähigkeiten ihrer IT-Teams und Arbeitnehmerinnen im Hinblick auf IT-Sicherheit aufbauen und sicherstellen, dass sie auf dem neuesten Stand sind. So können sie sicherstellen, dass ihre IT-Teams wie auch Mitarbeiterinnen gut gerüstet sind, um potenziellen externen sowie internen Bedrohungen entgegenzuwirken sowie die Sicherheit ihrer IT-Systeme zu versichern.
Möchten auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen vermeiden? Oder haben Sie noch Anliegen zum Thema? Rufen oder schreiben Sie uns an!