Dunning-Kruger-Effekt: Die unsichtbare Bedrohung für die IT-Sicherheit!
Die Bedrohungslage (https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/221025_Lagebericht.html) durch Angriffe im Internet ist so hoch wie nie. Ungeachtet jener Tatsache sind nur die wenigsten Unternehmen umfassend gegen äußere und interne Bedrohungen gerüstet. Ein in der Regel unterschätzter Anreiz ist, dass etliche Unternehmen die Risiken und Konsequenzen von Internetangriffen oder Sicherheitslücken unterschätzen und somit keinerlei ausreichenden Anreiz sehen, in eine umfängliche IT-Sicherheitsstrategie einzuzahlen. Jene kognitive Verzerrung wird in der Psychologie auch als Dunning-Kruger-Effekt bezeichnet. Was sich hinter diesem Begriff verbirgt, welche Folgen er auf die IT-Sicherheit hat und wie Unternehmen diesen vermeiden beziehungsweise reduzieren können, lesen Sie im nachfolgenden Blogbeitrag.
Der steigende Gebrauch digitaler Technologien bewirkt seit mehreren Jahren eine gewaltige Veränderung der Businesswelt. Innerhalb kürzester Zeit wurden bis zu diesem Datum etablierte und erfolgreiche Geschäftsmodelle und Geschäftsstrategien abgewertet, frische Geschäftsanforderungen formuliert und der geschäftliche Erfolg in vielen Gebieten erweitert. Gleichzeitig hat der Wandel zu einer Entgrenzung der Kriminalität geführt. Durch die wachsende Diversität netzfähiger Endpunkte, digitaler Plattformen sowie neuartiger Technologien öffnen sich bösartigen Akteuren mittlerweile eine Reihe neuer Modi Operandi mit gigantischen Schadenspotenzialen.
Obwohl mittlerweile 84 % (https://www.bitkom-research.de/de/pressemitteilung/203-milliarden-euro-schaden-pro-jahr-durch-angriffe-auf-deutsche-unternehmen) der Unternehmen hierzulande von Internetkriminalität betroffen sind, stocken vielerorts die Aufwendungen für eine IT-Sicherheit. Der Auslöser: Etliche Unternehmen haben eine fehlerhafte Wahrnehmung des eigenen IT-Schutzes. So werden die hausinternen IT-Sicherheitsfähigkeiten des Unternehmens wegen schon implementierter IT-Sicherheitsmaßnahmen oft überschätzt und die wirklichen Risiken des eigenen Unternehmens übersehen und verkannt.
In der Psychologie spricht man in ebendiesem Kontext auch von dem sogenannten Dunning-Kruger-Effekt.
Was ist der Dunning-Kruger-Effekt?
Knapp zusammengefasst, dreht es sich beim Dunning-Kruger-Effekt um ein Phänomen, bei dem Leute eine übermäßige Selbstüberschätzung ihrer Fähigkeiten haben, insbesondere in Bezug auf ihr Wissen sowie ihre Fähigkeiten in einem bestimmten Gebiet. Das Ergebnis ist, dass sich jene Menschen irrtümlicherweise für qualifizierter halten als sie in der Tat sind und beispielsweise Probleme haben, sich objektiv zu bewerten und Fehler machen, welche sich suboptimal auf ihre Dienste auswirken können.
Der Dunning-Kruger-Effekt ist auf die Erkenntnisse der beiden Psychologen David Dunning und Justin Kruger zurückzuleiten. Jene führten im Jahre 1999 Studien bezüglich der Selbstüberschätzung sowie Außendarstellung von Menschen mit einem hohen Selbstbewusstsein durch. Die beiden Wissenschaftler kamen zu dem Ergebnis, dass Menschen mit geringem Wissen sowie fehlender Kompetenz häufig dazu neigen, sich selbst zu überschätzen. Ihnen fehlt es an ausreichender Selbstreflexion, um die Position objektiv bewerten zu können sowie zu erkennen, dass andere diesen kognitiv überlegen sind.
Beispiele für den Dunning-Kruger-Effekt!
Dem Dunning-Kruger-Effekt läuft man nahezu überall über den Weg.
Das wohl imposanteste Dunning-Kruger-Effekt-Beispiel findet sich in der Kriminalgeschichte: 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Hierbei verzichtete er auf jegliche Maskierung, obwohl die Banken kameraüberwacht waren. Als sich danach die Handschellen schlossen, war die eigene Verwunderung beachtlich. Anscheinend war er der Meinung, dass ihn Zitronensaft für eine Überwachungstechnik der Kreditinstitute unsichtbar machen würde. Nach dem gleichen Prinzip wirkt bekanntermaßen auch eine „Zaubertinte“.
Ebenfalls berühmte Paradebeispiele für den Dunning-Kruger-Effekt sind
- Fußballfans, die oftmals meinen, mehr taktisches Bewusstsein und Ahnung vom Spiel zu haben als die kompetenten Trainer
- Das Gros der Autofahrer, die davon überzeugt sind, merklich richtiger zu fahren als der Standard.
- Wähler, welche besser wissen, was für deren Land das Richtige ist und dass sie das Land besser leiten könnten als die aktuelle Regierung
Erhöhte IT-Sicherheitsrisiken als Folge!
So eine Art der Fehleinschätzung kann hauptsächlich im Bereich der IT-Sicherheit eines Unternehmens schwere Konsequenzen haben:
- Erhöhtes Sicherheitsrisiko: Durch das Überschätzen der eigenen Kompetenzen sowie Fachkenntnisse in Bezug auf IT-Risiken können Arbeitnehmer*innen leichter von Phishing-Angriffen reingelegt werden sowie unsichere Passwörter verwenden, was wiederum das Risiko von Sicherheitsverletzungen erhöhen kann.
- Mangelhafte Sicherheitskonfigurationen: Wenn Leute die eigene Begabung, Netzwerke sicher zu konfigurieren, zu hoch bewerten, kann das zu mangelhaften Sicherheitskonfigurationen führen, die die Gefahr von Angriffen erhöhen.
- Unsichere Software-Installationen: Wenn Leute ihre eigene Kompetenz, sichere Software-Installationen umzusetzen, überschätzen, könnten selbige schädliche Software einspielen oder Sicherheitsupdates ignorieren, was das Risiko von Angriffsversuchen steigern kann.
- Unsichere Datenspeicherung: Wenn Leute die eigene Fertigkeit, sichere Datenspeicherungspraktiken zu verfolgen, überschätzen, können selbige wichtige Daten ungeschützt speichern oder diese auf unsicheren Geräten speichern, was das Risiko von Datenverlust oder Datendiebstahl steigern kann.
- Mangelnde Wachsamkeit: Wenn Leute ihre persönliche Kenntnis, Bedrohungen in der IT-Sicherheit zu erfassen, zu hoch bewerten, könnten sie Phishing-Angriffe oder sonstige Bedrohungen übersehen, was ein Risiko von Angriffsversuchen maximieren kann.
- Mangelhafte Compliance: Arbeitnehmer könnten sich nicht der Compliance-Regeln bewusst sein oder diese nicht beachten, weil sie glauben, dass sie jene nicht einhalten müssen oder nicht verstehen, wie sie diese einhalten sollen. Das könnte zu schwerwiegenden Konsequenzen führen, wenn das Unternehmen gegen Gesetzmäßigkeiten oder Regeln verstößt.
Wie Sie das Risiko von Selbstüberschätzung minimieren!
Um den Dunning-Kruger-Effekt in der IT-Sicherheit zu vermeiden, gibt es etliche Maßnahmen, welche ergriffen werden könnten:
- Regelmäßige Aufklärung und Sensibilisierung: Es ist wichtig, dass Menschen über den Dunning-Kruger-Effekt sowie dessen Konsequenzen informiert werden, damit diese ihre persönlichen Fähigkeiten korrekt einschätzen können.
- Realistische Einschätzung der eigenen Fähigkeiten: Es ist wichtig, dass Menschen eine reelle Beurteilung ihrer eigenen Kenntnisse haben und nicht probieren, Aufgaben zu übernehmen, die sie nicht bewerkstelligen können.
- Einhaltung von Sicherheitsrichtlinien und -verfahren: Es ist essenziell, dass man sich an geregelte Sicherheitsrichtlinien und -verfahren hält, um das Risiko von Sicherheitsverletzungen zu minimieren.
- Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist es bedeutend, dass Menschen untereinander sprechen und kooperieren, um Risiken zu minimieren und die Sicherheit zu erhöhen. Hierzu gehört ebenso, dass man einander anerkennt sowie unterstützt.
- Risikomanagement: Ein entscheidender Teil der IT-Sicherheit ist ein Risikomanagement, bei dem Gefahren analysiert sowie Mittel ergriffen werden, um jene Risiken zu verringern oder zu beseitigen. Dazu zählt auch, dass man die Kenntnisse und Fähigkeiten der einzelnen Teammitglieder beachtet sowie entsprechende Mittel ergreift.
Fazit: Der Dunning-Kruger-Effekt ist real!
Grundsätzlich lässt sich sagen, dass der Dunning-Kruger-Effekt im Gebiet der IT-Sicherheit ein ernstzunehmendes Problem ist, welches es zu vermeiden gilt. Durch regelmäßige IT-Sicherheitsschulungen können Firmen das Wissen sowie die Fähigkeiten des IT-Teams und Mitarbeiter*innen in Hinsicht auf IT-Sicherheit aufbauen und gewährleisten, dass sie auf dem neuesten Niveau sind. Auf diese Weise können sie garantieren, dass ihre IT-Teams wie auch Mitarbeiter*innen gut vorbereitet sind, um möglichen externen und internen Gefahren entgegenzuwirken und die Sicherheit der IT-Systeme zu gewährleisten.
Wollen auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen umgehen? Oder haben Sie noch Anliegen zum Thema? Rufen oder schreiben Sie uns an.