Computersicherheit ist eine Frage der Psychologie
IT-Sicherheit. Dass User Warnhinweise auf ihren Bildschirmen ignorieren, liegt nicht nur an der Art und Weise, wie sie programmiert sind. Es hat vor allem psychologische Gründe, sagt Computerexperte Peter Gutmann.
Es ist eine trügerische Sicherheit, in der sich viele Unternehmen wähnen. 66 Prozent der kleinen Unternehmen mit einem bis neun Mitarbeitern fühlen sich sicher, aber nur zwölf Prozent der befragten IT-Experten teilen diese Einschätzung. Das war eines der Ergebnisse der Sora-Studie (in Zusammenarbeit mit A1 und dem Innenministerium) zur IT-Sicherheitssituation in österreichischen Unternehmen. Acht von zehn Unternehmen hatten bereits IT-Störfälle, jedes zehnte Unternehmen sogar mehr als fünf. Die am häufigsten genannten Probleme sind Schadsoftware aus dem Internet, technische und infrastrukturelle Probleme wie Netzwerkausfälle sowie Angriffe von Hackern.
Ein Fünftel hat keine Back-ups
Immerhin verwenden 95 Prozent der Unternehmen Antivirus-Software, 90 Prozent sichern ihre Systeme mit Passwörtern und 86 Prozent ihr Netzwerk mit einer Firewall. Doch nur 80 Prozent der Unternehmen legen regelmäßig Back-ups ihrer Daten an, um sie zu schützen – die meisten auf externen Festplatten.
Doch Computersicherheit ist nicht allein eine Frage der Logik und Wahrscheinlichkeit, sondern auch der Psychologie. Diese Meinung vertritt der renommierte neuseeländische Computerwissenschaftler Peter Gutmann, der auf Einladung des Kompetenzzentrums für IT-Security an der FH Campus Wien zu Gast war. „Der Verstand von ,normalen‘ Menschen arbeitet völlig anders als der Verstand von Menschen, die Com- putersoftware entwickeln.“Dieser Unterschied führe dazu, dass User mit Sicherheitsfeatures und -hinweisen nicht umgehen könnten.
Denn Sicherheitsapplikationen würden „von Geeks für Geeks“entwickelt. Menschen, sagt Gutmann, treffen Entscheidungen nicht ökonomisch, indem sie anhand logischer Überlegungen aus einer Vielzahl von Möglichkeiten die beste auswählen. Vielmehr entwickeln sie unter Druck und mit unklaren Zielen eine Lösungsmöglichkeit nach der anderen und nehmen dann die erste, die funktioniert. Sie bevorzugen einfache Verfahren, um Probleme zu lösen, und wenden keine komplexen Entscheidungsfindungsprozesse an. Deshalb seien User nicht in der Lage, aus Entwicklersicht „logische“Entscheidungen in Sachen Security zu treffen.
Menschen reagieren auf Situationen entweder kontrolliert, langsam und überlegend oder automa- tisch, schnell, wenig überlegt und ohne richtig wahrzunehmen, was sie tun. Aus diesem Grund würden User Warnhinweise automatisch und ohne viel darüber nachzudenken wegklicken.
Bloß nicht negativ formulieren
User würden dann auch für sie selbst plausible Erklärungen finden, selbst wenn sie längst wüssten, dass ihre Schlussfolgerungen falsch sind. Weil Menschen negative Informationen schlechter verarbeiten als positive, nehmen sie Objekte und Details nur wahr, wenn ihre Aufmerksamkeit darauf gerichtet wurde. Dementsprechend seien negativ formulierte Warn- und Sicherheitshinweise für User nur schwer zu verarbeiten und würden nicht wahrgenommen.
Das, scheint es, ist generell ein wichtiger Hinweis für die Kommunikation – nicht nur für jene mit Mitarbeitern. (red.)