Die Bedrohungslage durch Internetangriffe ist so hoch wie nie. Ungeachtet dieser Tatsache sind bloß die wenigsten Unternehmen umfassend gegen äußere und innere Bedrohungen gerüstet. Ein in der Regel unterschätzter Grund ist, dass viele Firmen die Risiken sowie Auswirkungen von Internetangriffen und Sicherheitslücken verkennen und deshalb keinerlei ausreichenden Beweggrund sehen, in eine umfängliche IT-Sicherheitsstrategie zu investieren. Diese kognitive Verzerrung wird in der Psychologie auch als Dunning-Kruger-Effekt betitelt. Was sich dahinter versteckt, welche Folgen er auf die IT-Sicherheit hat und wie Firmen ihn vermeiden bzw. reduzieren können, lesen Sie im nachfolgenden Beitrag.
Der steigende Einsatz digitaler Technologien bewirkt seit Jahren eine tiefgreifende Umwälzung der Businesswelt. Binnen kürzester Zeit wurden bis dato etablierte sowie erfolgversprechende Geschäftsmodelle wie auch Geschäftsstrategien abgewertet, frische Geschäftsanforderungen formuliert und der geschäftliche Triumph in vielen Bereichen ausgeweitet. Zeitgleich hat der Umbruch zu einer Entgrenzung der Kriminalitätsrate geleitet. Durch die wachsende Diversität netzfähiger Endpunkte, digitaler Plattformen sowie neuer Technologien eröffnen sich bösartigen Akteuren inzwischen eine Vielzahl neuer Modi Operandi mit enormen Schadenspotenzialen.
Obwohl mittlerweile 84% der Firmen in Deutschland von Internetkriminalität betroffen sind, stagnieren an vielen Orten die Ausgaben für die IT-Sicherheit. Der Auslöser: Etliche Firmen haben eine falsche Wahrnehmung ihres IT-Schutzes. Somit werden die hausinternen IT-Sicherheitsfähigkeiten der Firma wegen bereits implementierter IT-Sicherheitsmaßnahmen häufig überschätzt und die wirklichen Gefahren des eigenen Unternehmens übergangen oder unterschätzt.
In der Psychologie redet man in diesem Kontext auch von dem sogenannten Dunning-Kruger-Effekt.
Dunning-Kruger-Effekt: Was ist das?
Kurz erfasst, handelt es sich beim Dunning-Kruger-Effekt um ein Phänomen, bei dem Leute eine übermäßige Selbstüberschätzung ihrer Fähigkeiten haben, insbesondere in Bezug auf ihr Know-how und ihre Kompetenzen in einem speziellen Bereich. Das Resultat ist, dass sich jene Menschen irrtümlicherweise für fähiger halten als sie tatsächlich sind und beispielsweise Probleme haben, sich objektiv zu bewerten und Fehler machen, die sich negativ auf ihre Leistungen auswirken können.
Der Dunning-Kruger-Effekt ist auf die Erkenntnisse der beiden Psychologen David Dunning sowie Justin Kruger zurückzuführen. Jene führten 1999 Untersuchungen bezüglich der Selbstüberschätzung sowie Außendarstellung von Personen mit einem erhöhten Selbstwertgefühl durch. Die beiden Forscher kamen zu dem Ergebnis, dass Menschen mit kleinem Wissen sowie wenig Qualifikation häufig dazu neigen, sich selbst zu überschätzen. Ihnen fehlt es an entsprechender Selbstreflexion, um ihre Position sachlich einschätzen zu können sowie zu begreifen, dass andere ihnen kognitiv überlegen sind.
Der Dunning Kruger Effekt als Schaubild
Fehleinschätzungen sind die Regel!
Dem Dunning-Kruger-Effekt begegnet man nahezu überall. Das wohl imposanteste Dunning-Kruger-Effekt-Beispiel findet sich in der Kriminalgeschichte: Im Jahr 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Dabei verzichtete er auf jedwede Art von Vermummung, ungeachtet, dass die Banken kameraüberwacht waren. Als sich wenig später die Handschellen schlossen, war die eigene Verwunderung beachtlich. Anscheinend war er überzeugt davon, dass ihn Zitronensaft für die Überwachungstechnik der Banken transparent machen würde. Nach dem gleichen Konzept wirkt bekanntermaßen auch eine „Zaubertinte“.
Ebenso bekannte Beispiele für den Dunning-Kruger-Effekt sind
- Fußballfans, die oftmals glauben, mehr taktisches Verständnis und Kenntnis vom Spiel zu haben als die kompetenten Trainer
- Das Gros der Autofahrer, welche davon überzeugt sind, merklich richtiger zu fahren als der Standard.
- Wähler, welche besser wissen, was für ihr Land das Ideale ist und dass sie das Land richtiger leiten könnten als die momentane Regierung
Die Folgen des Dunning-Kruger-Effekts für die IT-Sicherheit!
So eine Art der Fehleinschätzung kann insbesondere im Bereich der IT-Sicherheit eines Unternehmens schwere Konsequenzen haben:
- Erhöhtes Sicherheitsrisiko: Durch das Überschätzen der persönlichen Fähigkeiten und Kenntnisse in Bezug auf IT-Risiken können Mitarbeiter*innen leichter von Phishing-Angriffen getäuscht werden sowie unsichere Passwörter benützen, was wiederum das Risiko von Sicherheitsverletzungen maximieren kann.
- Mangelhafte Sicherheitskonfigurationen: Wenn Menschen ihre eigene Begabung, Netzwerke mit Sicherheit zu erstellen, zu hoch bewerten, kann das zu mangelhaften Sicherheitskonfigurationen führen, die das Risiko von Angriffen erhöhen.
- Unsichere Software-Installationen: Wenn Leute die persönliche Fähigkeit, sichere Software-Installationen durchzuführen, zu hoch bewerten, könnten sie schädliche Software einspielen oder Sicherheitsupdates nicht beachten, was das Risiko von Angriffsversuchen erhöhen kann.
- Unsichere Datenspeicherung: Wenn Leute ihre eigene Fähigkeit, sichere Datenspeicherungspraktiken zu verfolgen, überschätzen, können selbige essentielle Daten ungeschützt sichern oder sie auf gefahrvollen Geräten speichern, was die Gefahr von Datenverlust oder auch Datendiebstahl erhöhen kann.
- Mangelnde Wachsamkeit: Wenn Menschen die persönliche Fähigkeit, Bedrohungen in der IT-Sicherheit zu erfassen, zu hoch bewerten, könnten sie Phishing-Angriffe oder sonstige Bedrohungen übergehen, was das Risiko von Angriffen erhöhen kann.
- Mangelhafte Compliance: Mitarbeiter könnten sich nicht der Compliance-Vorschriften bewusst sein oder sie nicht beachten, weil sie meinen, dass sie diese nicht einhalten müssen oder nicht verstehen, wie sie diese befolgen sollen. Das könnte zu schweren Nachwirkungen führen, wenn das Unternehmen gegen Gesetzmäßigkeiten oder Vorschriften verstößt.
Wie kann man den Dunning-Kruger-Effekt verhindern?
Um den Dunning-Kruger-Effekt in der IT-Sicherheit zu meiden, gibt es einige Maßnahmen, welche ergriffen werden könnten:
- Regelmäßige Aufklärung und Sensibilisierung: Es ist entscheidend, dass Menschen über den Dunning-Kruger-Effekt sowie seine Konsequenzen aufgeklärt werden, damit sie ihre persönlichen Fähigkeiten korrekt beurteilen können.
- Realistische Einschätzung der eigenen Fähigkeiten: Es ist wichtig, dass Menschen eine reelle Beurteilung der persönlichen Fähigkeiten haben und keinesfalls probieren, Aufgaben zu übernehmen, die sie nicht bewerkstelligen können.
- Einhaltung von Sicherheitsrichtlinien und -verfahren: Es ist essenziell, dass man sich an geregelte Sicherheitsrichtlinien und -verfahren hält, um die Gefahr von Sicherheitsverletzungen zu reduzieren.
- Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist es wichtig, dass Menschen miteinander sprechen und zusammenarbeiten, um Risiken zu minimieren sowie die Sicherheit zu erhöhen. Dazu gehört ebenso, dass man einander anerkennt und unterstützt.
- Risikomanagement: Ein entscheidender Teil der IT-Sicherheit ist das Risikomanagement, bei welchem Risiken überprüft und Mittel ergriffen werden, um jene Risiken zu verringern oder zu eliminieren. Dazu zählt ebenso, dass man die Kompetenzen sowie Fähigkeiten der jeweiligen Teammitglieder berücksichtigt und adäquate Mittel ergreift.
Fazit: Der Dunning-Kruger-Effekt ist real!
Zusammenfassend lässt sich sagen, dass der Dunning-Kruger-Effekt im Gebiet der IT-Sicherheit ein ernstzunehmendes Problem ist, welches es zu umgehen gilt. Durch geregelte IT-Sicherheitsschulungen können Unternehmen das Know-how sowie die Kenntnisse ihrer IT-Teams und Arbeitnehmer*innen in Hinsicht auf IT-Sicherheit aufbauen und sicherstellen, dass diese auf dem modernsten Niveau sind. So können sie sicherstellen, dass ihre IT-Teams und Mitarbeiter*innen gut gerüstet sind, um potenziellen externen und internen Gefahren entgegenzuwirken und die Sicherheit der IT-Systeme zu gewährleisten.
Möchten auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen umgehen? Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an.
