Die Bedrohungslage durch Internetangriffe ist so groß wie noch nie. Trotz jener Gegebenheit sind bloß die wenigsten Unternehmen umfassend gegen externe und innere Gefahren gewappnet. Ein häufig unterschätzter Anreiz ist, dass viele Firmen die Risiken und Auswirkungen von Internetangriffen oder Sicherheitslücken unterschätzen und deshalb keinerlei ausreichenden Anreiz sehen, in eine umfängliche IT-Sicherheitsstrategie einzuzahlen. Jene kognitive Fehleinschätzung wird in der Psychologie auch als Dunning-Kruger-Effekt bezeichnet. Was sich dahinter verbirgt, welche Auswirkungen er auf die IT-Sicherheit hat und wie Firmen diesen umgehen beziehungsweise reduzieren können, erfahren Sie im nachfolgenden Blogbeitrag.

Der steigende Gebrauch digitaler Technologien erzeugt seit Jahren eine gewaltige Umwälzung der Businesswelt. Innerhalb kürzester Zeit wurden bis dato bewährte sowie erfolgreiche Geschäftsmodelle wie auch Geschäftsstrategien abgewertet, frische Geschäftsanforderungen formuliert und der geschäftliche Triumph in vielen Bereichen erweitert. Gleichzeitig hat der Umbruch zu einer Entgrenzung der Kriminalität geleitet. Durch die steigende Diversität netzfähiger Endpunkte, digitaler Plattformen sowie neuer Technologien öffnen sich bösartigen Akteuren inzwischen eine Vielzahl neuartiger Modi Operandi mit gigantischen Schadenspotenzialen.

Auch wenn mittlerweile 84 Prozent der Firmen hierzulande von Internetkriminalität berührt sind, stocken vielerorts die Aufwendungen für die IT-Sicherheit. Ein Grund: Viele Unternehmen haben eine fehlerhafte Perzeption des eigenen IT-Schutzes. Somit werden die hausinternen IT-Sicherheitsfähigkeiten der Firma wegen schon implementierter IT-Sicherheitsmaßnahmen häufig überschätzt und die wirklichen Gefahren des individuellen Unternehmens übergangen und verkannt.

In der Psychologie spricht man in ebendiesem Kontext auch von dem sogenannten Dunning-Kruger-Effekt.

Ich weiß, dass ich nichts weiß!

Kurz erfasst, handelt es sich beim Dunning-Kruger-Effekt um ein Phänomen, bei dem Leute eine bemerkenswerte Selbstüberschätzung der eigenen Kenntnisse aufweisen, vor allem in Bezug auf ihr Know-how sowie ihre Fähigkeiten in einem speziellen Bereich. Das Resultat ist, dass sich jene Menschen irrtümlicherweise für qualifizierter halten als sie tatsächlich sind und beispielsweise Schwierigkeiten haben, sich neutral zu bewerten und Fehler verüben, die sich suboptimal auf ihre Dienste auswirken können.

Der Dunning-Kruger-Effekt ist auf die Erkenntnisse der beiden Psychologen David Dunning und Justin Kruger zurückzuführen. Jene führten im Jahre 1999 Untersuchungen hinsichtlich der Selbstüberschätzung sowie Außendarstellung von Menschen mit einem hohen Selbstwertgefühl durch. Die beiden Wissenschaftler kamen zu dem Ergebnis, dass Menschen mit geringem Wissen sowie fehlender Kompetenz häufig dazu tendieren, sich selbst überzubewerten. Ihnen mangelt es an ausreichender Selbstreflexion, um ihre Position sachlich einschätzen zu können und zu erkennen, dass andere ihnen kognitiv voraus sind.

Die Selbstüberschätzung der Inkompetenten!

Dem Dunning-Kruger-Effekt begegnet man nahezu überall.
Das wohl imposanteste Dunning-Kruger-Effekt-Beispiel zeigt sich in der Kriminalgeschichte: 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Dabei verzichtete er auf jedwede Art von Vermummung, obwohl beide Banken kameraüberwacht waren. Als sich wenig später die Handschellen schlossen, war die eigene Verwunderung beachtlich. Anscheinend war er der Meinung, dass ihn Zitronensaft für die Überwachungstechnik der Kreditinstitute transparent machen würde. Nach demselben Konzept wirkt bekanntermaßen auch eine „Zaubertinte“.

Ebenso berühmte Beispiele für den Dunning-Kruger-Effekt sind

Fußballfans, die oftmals meinen, mehr taktisches Verständnis und Kenntnis vom Spiel zu haben als die professionellen Coaches
Das Gros der Autofahrer, welche denken, deutlich richtiger zu fahren als der Standard.
Wähler, welche besser wissen, was für ihr Land das Ideale ist und dass sie das Land richtiger regieren könnten als die aktuelle Regierung

Die Folgen des Dunning-Kruger-Effekts für die IT-Sicherheit!

Eine solche Fehleinschätzung kann insbesondere im Bereich der IT-Sicherheit eines Unternehmens schwere Konsequenzen haben:

Erhöhtes Sicherheitsrisiko: Durch das Überbewerten der persönlichen Fähigkeiten und Fachkenntnisse in Bezug auf IT-Risiken können Arbeitnehmer leichter von Phishing-Angriffen getäuscht werden und unsichere Passwörter benützen, was das Risiko von Sicherheitsverletzungen erhöhen kann.
Mangelhafte Sicherheitskonfigurationen: Wenn Leute die eigene Fähigkeit, Netzwerke sicher zu konfigurieren, zu hoch bewerten, kann dies zu mangelhaften Sicherheitskonfigurationen führen, die die Gefahr von Angriffen erhöhen.
Unsichere Software-Installationen: Wenn Leute die eigene Kompetenz, geschützte Software-Installationen durchzuführen, überschätzen, könnten sie schadende Software einspielen oder Sicherheitsupdates nicht beachten, was die Gefahr von Angriffen steigern kann.
Unsichere Datenspeicherung: Wenn Menschen die eigene Fertigkeit, sichere Datenspeicherungspraktiken zu beachten, überbewerten, können sie essentielle Daten ungeschützt sichern oder diese auf unsicheren Geräten abspeichern, was die Gefahr von Datenverlust oder Datendiebstahl erhöhen kann.
Mangelnde Wachsamkeit: Wenn Leute die eigene Kenntnis, Bedrohungen in der IT-Sicherheit zu erkennen, zu hoch bewerten, könnten jene Phishing-Angriffe oder sonstige Bedrohungen übersehen, was das Risiko von Angriffen erhöhen kann.
Mangelhafte Compliance: Mitarbeiter können sich nicht der Compliance-Vorschriften bewusst sein oder sie ignorieren, weil sie meinen, dass sie diese nicht einhalten müssen oder nicht wissen, wie sie jene einhalten sollen. Dies könnte zu schweren Nachwirkungen führen, wenn die Firma gegen Gesetzmäßigkeiten oder Regeln verstößt.

Wie kann man den Dunning-Kruger-Effekt verhindern?

Um den Dunning-Kruger-Effekt in der IT-Sicherheit zu vermeiden, gibt es etliche Maßnahmen, welche genutzt werden können:

Regelmäßige Aufklärung und Sensibilisierung: Es ist entscheidend, dass Menschen über den Dunning-Kruger-Effekt sowie seine Konsequenzen aufgeklärt werden, damit sie die persönlichen Fähigkeiten realistisch beurteilen können.
Realistische Einschätzung der eigenen Fähigkeiten: Es ist wichtig, dass Menschen eine reelle Beurteilung ihrer eigenen Fähigkeiten haben und keinesfalls versuchen, Aufgaben zu erledigen, welche sie nicht bewältigen können.
Einhaltung von Sicherheitsrichtlinien und -verfahren: Es ist wichtig, dass man sich an geregelte Sicherheitsrichtlinien und -verfahren hält, um das Risiko von Sicherheitsverletzungen zu minimieren.
Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist es bedeutend, dass Menschen miteinander sprechen und kooperieren, um Gefahren zu minimieren und die Sicherheit zu erhöhen. Dazu gehört auch, dass man einander anerkennt sowie hilft.
Risikomanagement: Ein entscheidender Teil der IT-Sicherheit ist das Risikomanagement, bei dem Gefahren analysiert sowie Maßnahmen ergriffen werden, um diese Risiken zu verringern oder zu beseitigen. Dazu zählt ebenso, dass man die Kenntnisse und Skills der jeweiligen Teammitglieder berücksichtigt sowie adäquate Maßnahmen ergreift.

Fazit: Halbwissen ist nicht nur gefährlich, sondern ganz gefährlich!

Zusammenfassend kann man sagen, dass der Dunning-Kruger-Effekt im Gebiet der IT-Sicherheit ein ernstzunehmendes Problem ist, das es zu vermeiden gilt. Durch geregelte IT-Sicherheitsschulungen können Unternehmen das Wissen sowie die Kenntnisse ihrer IT-Teams und Arbeitnehmer im Hinblick auf IT-Sicherheit aufbauen und sicherstellen, dass diese auf dem modernsten Niveau sind. So können sie sicherstellen, dass ihre IT-Teams wie auch Mitarbeiter gut gerüstet sind, um möglichen externen sowie internen Bedrohungen entgegenzuwirken sowie die Sicherheit ihrer IT-Systeme zu versichern.

Wollen auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen vermeiden? Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an.