Ist der DAU wirklich dumm? - KA-IT-Si
Werbung
Secorvo Security Consulting GmbH Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer Secorvo Security Consulting GmbH Bei der Entwicklung von Systemen gilt die alte Weisheit, stets den Dümmsten Anzunehmenden User (DAU) im Blick zu behalten. Doch was heißt das eigentlich? Und warum verhält sicher der User so "dumm"? Der Vortrag soll zeigen, wie Entscheidungsprozesse im menschlichen Gehirn ablaufen und welchen systematischen Fehlern Menschen bei der Entscheidungsfindung unterliegen. Aus dem Vortrag sollen Entwickler lernen, die Denkweise von Anwendern besser in die Produkte einfließen zu lassen und besonders Sicherheitsprobleme durch "Missverständnisse" zwischen Anwendung und Anwender zu vermeiden“ Laufe der Jahrmillionen deutlich weiterentwickelt. Vögel beispielsweise besitzen trotz ihrer vielfach beträchtlichen Intelligenz nur ein solches Reptiliengehirn, allerdings deutlich weiterentwickelt und weitaus stärker durchblutet als bei Reptilien. Bildquelle: Bigstock.com/stockasso 1) Evolution unseres Gehirns Drei Teile arbeiten im Team Das menschliche Gehirn ist das Ergebnis vieler Evolutionsschritte. Deutlich erkennbar ist dies an den Teilen, aus denen sich das Gehirn zusammensetzt. Je nach Quelle und Definition unterteilt sich das Gehirn in drei bis fünf Bereiche. Zur Vereinfachung – und für das Verständnis im Rahmen dieses Vortrags ausreichend – werden drei in sich verwobene Gehirn-Teile unterschieden: Stammhirn, Zwischenhirn und Großhirn. Das Stammhirn ist der älteste Teil unseres Gehirns. Es entwickelte sich bereits bei den Dinosauriern und wird daher auch Reptilienhirn genannt. Dieser Gehirnteil, Steuerzentrale für viele relativ primitive Grundfunktionen, hat sich im Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer Die Hauptaufgabe dieses Teils des Gehirns ist es, das Überleben sicherzustellen – Instinkte sind hier verankert. Das Stammhirn entscheidet innerhalb kürzester Zeit, ob eine Information ein schnelles Handeln erfordert (z. B. Angriff oder Flucht). Mit der Entwicklung der Säugetiere entstand ein weiterer Gehirnteil, das sogenannte Zwischenhirn, welches auch als Säugetiergehirn bezeichnet wird. Auch dieses Relikt unserer Vorfahren finden wir im menschlichen Gehirn wieder. Das Zwischenhirn dient der Erzeugung von Gefühlen. Verantwortlich ist es für alle Emotionen und soziales Verhalten. Reptilien oder Vögel besitzen keinerlei Gefühle, sondern nur sehr primitive Reaktionen wie Schmerzempfinden. Sollte das Stammhirn eine Information für bedrohlich oder besonders positiv halten, sorgt das Zwischenhirn dafür, dass die entsprechenden Hormone freigesetzt werden, die Arbeit des Stammhirns zu unterstützen. Seite 1 von 8 Stand 22.04.2016 Secorvo Security Consulting GmbH Das Großhirn ist gerade jetzt aktiv und verarbeitet Informationen, nämlich die dieses Textes. In diesem Bereich wird gedacht und gespeichert. Logisches Denken, die Bildung von Denkstrukturen, Phantasie und Schöpfergeist, die Fähigkeit zu Schlussfolgerungen und neuen Erkenntnissen. Es sitzt über den beiden anderen Gehirnteilen und ist deutlich größer. Am Großhirn kann man am deutlichsten die Zweiteilung des Gehirns erkennen (Hemisphären). Allerdings gilt diese Zweiteilung auch für Zwischenhirn und Stammhirn. Der Verbindungsstrang zwischen den beiden Gehirnhälften ist ein dickes Nervenbündel. Man bringt die verschiedenen Talentschwerpunkte bei Männern und Frauen mit diesem Nervenbündel in Verbindung: Es ist bei Frauen wesentlich stärker entwickelt und fördert deshalb die Sprachbegabung, während die stärkere Hemisphären-Teilung der Männer Funktionen wie das räumliche Vorstellungsvermögen begünstigt. Es ist falsch anzunehmen, dass das Großhirn die Entscheidungen trifft, vielmehr sind alle drei Teile gleichberechtige Partner, die jeweils ihre Vor- und Nachteile haben. Beispiel: Sie fahren ziemlich zügig links auf einer zweispurigen Autobahn, als plötzlich kurz vor Ihnen ein LKW auf ihre Spur zieht. Das Stammhirn sorgt dafür, dass das Lenkrad herum gerissen wird und Sie auf die Bremse treten. Das Zwischenhirn schüttet Angst- und Panikhormone wie Adrenalin aus, um die Reaktionsge- Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer Bildquelle: stari/Bigstock.com schwindigkeit zu erhöhen und Sie in Alarmbereitschaft zu versetzen. Das Großhirn wird erst wirklich aktiv, sobald die Gefahr überstanden ist. Es sorgt dafür, dass man über die Situation nachdenkt (“Was hab ich falsch gemacht? Was kann ich das nächste Mal besser machen?”). Es sorgt dafür, dass wir aus Fehlern lernen und unterstützt das Stammhirn bei einer ähnlichen Situation das nächste Mal (noch) besser zu reagieren. Amygdala – Feuermelder des Gehirns Die Amygdala ist ein paariges Kerngebiet des Gehirns. Sie ist sozusagen der „Feuermelder“ und wird auch als Mandelkern bezeichnet. Sie ist im Wesentlichen verantwortlich für die Bewertung und Wiedererkennung von Situationen sowie die Analyse möglicher Gefahren und der daraus entstehenden emotionalen Mechanismen. So steuert der Mandelkern z. B. unsere Furcht oder unsere Aggressionen. In jeder Situation in der wir uns befinden, gleicht der Mandelkern Informationen ab, die früher schon einmal verarbeitet wurden. So werden z. B. traumatische Erlebnisse in der Amygdala abgespeichert. Tritt eine ähnliche Situation auf, erkennt sie diese und schlägt Alarm. Die Folge sind die entsprechenden emotionale Zustände (Trauer, Wut, Aggressionen) und körperliche Reaktionen (Herzrasen, Schwindel, Übelkeit). Dabei spielt die Vernetzung im Gehirn eine wesentliche Rolle. So ist das sog. rationale Denken fest im Großhirn verankert. Die Meldungen von Seite 2 von 8 Stand 22.04.2016 Secorvo Security Consulting GmbH der Amygdala zum Großhirn sind um ein vielfaches schneller als andersherum. So lernt das Gehirn schneller auf Gefahren zu reagieren, indem der Mandelkern blitzschnell reagiert, noch bevor es zum rationalen Denken kommt. Erst wenn es dem rationalen Denken gelingt, die Situation auch gedanklich zu "entschärfen", erreicht dieses auch wiederum die Amygdala, die mit der Beendigung der Hormonausschüttung reagiert. Die Folge ist die Abnahme der emotionalen und körperlichen Reaktionen. 2) Kognitive Verzerrungen Entsprechend dieser Arbeitsteilung im Gehirn unterteilt der Psychologe Daniel Kahneman unser Denken in zwei Arten: Das schnelle, instinktive und emotionale Denken (er nennt es System 1) und das langsamere, Dinge durchdenkende und logischere Denken (System 2). In seinem Buch „Schnelles Denken, langsames Denken“ schildert er kognitive Verzerrungen beider Arten des Denkens, angefangen bei Kahnemans eigenen Untersuchungen zu Verlustaversion. Literaturtipp: Daniel Kahneman, Schnelles Denken, langsames Denken, München 2012. ISBN: 978-3-88680-886-1 System 1 System 2 Schnell Langsam(er) Automatisch Mühsam Instinktiv Logisch Emotional Strategisch Kognitive Verzerrung („cognitive bias“) sind systematische (nicht zufällige) fehlerhafte Neigungen beim Wahrnehmen, Erinnern, Denken und Urteilen. Sie bleiben meist unbewusst. Angreifer Nutzen kognitive Verzerrungen z. B. für Social Engineering, aber auch für die Planung von Awareness-Kampagnen sind sie eine wichtige Grundlage. Oft resultieren daraus kognitive Heuristiken. Kognitive Heuristiken Heuristik (altgr. εὑρίσκω heurísko „ich finde“; von εὑρίσκειν heuriskein ‚auffinden‘, ‚entdecken‘) Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer Jeden Tag strömen massenhaft Informationen auf uns ein. Wir nehmen enorm viele Dinge wahr und verarbeiten sie. Das Verarbeiten von Informationen ist die Grundlage für unser tägliches Handeln, aber ohne kognitive Verzerrungen wäre diese Informationsverarbeitung für uns nicht möglich. Sie dienen z. B. der Vorselektion und Einordnung von Informationen in bereits bekannte Informationsmuster. Unsere Gehirne als Ergebnis evolutionärer Entwicklung sind nicht perfekt, sondern gerade gut genug. Der Grund, warum wir uns im täglichen Informationsmeer zurechtfinden, ist darum auch nicht ein perfektes Gehirn, sondern ein effizientes Gehirn. Den größten Teil unserer Kognition (also unserer Informationsverarbeitung) machen eher unbewusste, routinierte Prozesse aus. Diese kognitiven Abkürzungen, oder Heuristiken, sorgen dafür, dass wir mit der täglichen Informationsflut zurechtkommen, ohne kognitiv überlastet zu werden. Für spezielle Denkanstrengungen haben wir dann ausreichend Kapazitäten, um uns ihnen fokussiert zu widmen. Mit Hilfe von Heuristiken werden Schlussfolgerungen gezogen, ohne komplizierte und vergleichsweise langwierige Algorithmen einsetzen zu müssen. Der Vorteil der Heuristiken liegt darin, dass sie ressourcensparend zu Schlussfolgerungen führen, die in den meisten Lebenssituationen eine hinreichende Güte besitzen. Dabei besteht allerdings die Gefahr, dass gerade in komplexen Situationen voreilige und systematisch verzerrte Schlüsse gezogen werden, die besonders unerwünscht sind, wenn es um Entscheidungen von großer Tragweite geht. Anker-Effekt (anchoring effect) Wann immer wir etwas schätzen oder Informationen unbekannter Größenordnung verwerten müssen, orientieren wir uns an einem ersten Ausgangswert (Anker). Dies führt jedoch nicht selten zu falschen Urteilen. Ein Mensch kann bei bewusst gewählten Zahlenwerten von momentan vorhandenen Umgebungsinformationen beeinflusst werden, ohne dass ihnen dieser Einfluss bewusst wird. Die Umgebungsinformationen haben Einfluss selbst dann, wenn sie für die Seite 3 von 8 Stand 22.04.2016 Secorvo Security Consulting GmbH Entscheidung eigentlich irrelevant sind. Es handelt sich also um eine Urteilsheuristik, bei der sich das Urteil an einem willkürlichen „Anker“ orientiert. Die Folge ist eine systematische Verzerrung in Richtung des Ankers. Anker können auf zwei verschiedene Weisen wirken: 1. Als unbewusste Suggestion aktiviert der Anker zu ihm passende Assoziationen, welche im Anschluss die Urteilsfindung beeinflussen. 2. Der Anker liefert den Ausgangspunkt oder Startwert für einen bewussten Gedankengang, der zu einem rational begründeten Urteil führen soll. Dann spricht man auch von Anpassungsheuristik. Beispiel: Sie kaufen einen Ring für Ihre Liebste. Der Ring für 400 Euro sieht eigentlich ganz schick aus. Der Ring für 450 Euro wäre aber auch nicht schlecht. Nun lächelt der Verkäufer Sie an und meint: "Wissen Sie, ich hätte da noch einen anderen, ganz besonderen Ring. Der ist allerdings ein wenig teurer und denke, er wird Ihnen wahrscheinlich zu teuer sein. Aber vielleicht möchten Sie dennoch einen Blick darauf werfen.“ Sie werfen also einen Blick auf den 600-EuroRing. Definitiv: So viel wollten Sie nicht ausgeben. Doch welchen Ring kaufen Sie dann? Plötzlich kommen Ihnen die 50 Euro mehr gar nicht mehr so viel vor. Bestätigungsfehler (confirmation bias) Der Begriff Bestätigungsfehler (confirmation bias) bezeichnet in der Kognitionspsychologie die Neigung, Informationen so auszuwählen, zu suchen und zu interpretieren, dass diese die eigenen Erwartungen erfüllen. Unbewusst ausgeblendet werden dabei Informationen, die eigene Erwartungen widerlegen (disconfirming evidence). Die betreffende Person unterliegt dann einer Selbsttäuschung oder einem Selbstbetrug. Einrahmungs-Effekt (Framing) Wie wir uns entscheiden hängt unter anderem stark davon ab, in welchem Rahmen uns Informationen präsentiert werden. Unterschiedliche Formulierungen des gleichen Inhalts können dabei zu unterschiedlichen Entscheidungen führen. Beispiel: Ein Medikament, das zu 50% erfolgreich ist, wird eher vom Patienten akzeptiert als ein Medikament, das zu 50% keinen Erfolg hat Generell wird Framing oft im Marketing eingesetzt, z. B. sind Marken ein typisches Framing. Verfügbarkeitsheuristik Ein Risiko ist dann groß, wenn es leicht fällt, konkrete Beispiele zu finden, in denen es eingetreten ist. Hingegen wird ein Risiko als gering eingeschätzt, wenn es unauffällig oder vertraut ist Beispiel: Ein Beispiel ist der Vergleich zwischen der Gefahr des Todes durch Haie und herabfallende Kokosnüsse. Zwar gibt es keine weltweite Statistik zu Todesfällen durch Kokosnüsse und die in den Medien herumgeisternde Zahl von durchschnittlich 150 Toten pro Jahr ist wohl eher geschätzt, durch Haiangriffe starben allerdings belegbar 10 Menschen weltweit im Jahr 2013. Zahlreiche weitere Beispiele sind uns aus dem Alltag bekannt (z. B. die Panik vor BSE oder der Schweinegrippe). Auch im Bereich der IT-Sicherheit kämpft man mit diesem Problem. Erhöhte Medienaufmerksamkeit schürt zwar die Angst vor der NSA, das ganz realistische Risiko eines mit Malware bestückten privaten USBSticks, der an einen Firmenrechner angeschlossen wird, wird dabei nicht gesehen. Das Problem ist, dass seltene, aber dramatische Ereignisse für viel wahrscheinlicher gehalten werden, als sie es tatsächlich sind. Beispiel: Am Freitag den 13ten passieren besonders viele Unglücke. Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer Seite 4 von 8 Stand 22.04.2016 Secorvo Security Consulting GmbH Prospect Theory Experiment A: Sie haben die Wahl zwischen folgenden beiden Optionen: 1. Ein sicherer Gewinn von 250 €. 2. Eine Chance von 25%, 1000 € zu gewinnen und eine Chance von 75%, nichts zu gewinnen. Ergebnis: In der Regel sind ca. 85 % für 1. und 15 % für 2. – das kann je nach Gruppenzusammensetzung natürlich variieren. Lieber den Spatz‘ in der Hand, als die Taube auf dem Dach. Experiment B: Sie haben die Wahl zwischen folgenden beiden Optionen: 1. Ein sicherer Verlust von 750 €. 2. Eine Chance von 75%, 1000 € zu verlieren und eine Chance von 25%, nichts zu verlieren. Ergebnis: In der Regel sind ca. 15 % für 1. und 85 % für 2. – das kann je nach Gruppenzusammensetzung natürlich variieren. Die Prospect Theory (Neue Erwartungstheorie) von Daniel Kahneman und Amos Tversky gilt als psychologische, realistischere Alternative zu der Erwartungsnutzentheorie der klassischen Volkswirtschaftslehre. Sie erlaubt die Beschreibung der Entscheidungsfindung in Situationen der Unsicherheit. Dies sind insbesondere Entscheidungen, bei denen unwägbare Risiken bzw. die Eintrittswahrscheinlichkeiten der künftigen Umweltzustände unbekannt sind. Daniel Kahneman erhielt hierfür 2002 den Nobelpreis für Wirtschaftswissenschaften. Die Prospect Theory ist heute wesentlicher Bestandteil der Verhaltensökonomik (Behavioural Economics). Zentrale Aussage: Kognitive Verzerrungen (biases) beeinflussen das Verhalten unter Unsicherheit. Insbesondere werden Menschen stärker durch Verluste als durch Gewinne motiviert. Sie verwenden mehr Energie in die Vermeidung von Verlusten als in die Erzielung von Gewinnen. Beispiel: Ein aus der experimentellen Forschung wohlbekanntes Phänomen besagt, dass ein und Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer derselbe Mensch den Wert eines Gutes unterschiedlich einschätzt, je nachdem, ob er sich als Eigentümer desselben betrachtet oder nicht. Als Eigentümer fordert er einen höheren Verkaufspreis (Willingness to Accept) als er als Nachfrager zu zahlen bereit wäre (Willingness to Pay). Aus Sicht der Prospect Theory wird dies durch die Veränderung des Referenzpunktes, hier dem Status Quo, erklärt. Der Eigentümer interpretiert den Verkauf des Produktes als Verlust. Da Verluste stärker empfunden werden als Gewinne, bewertet er die Nutzeneinbuße durch den Verkauf höher als einen Nutzengewinn beim Kauf, da dieser als Gewinn angesehen würde. Verschiedene Verzerrungen, die in der Prospect Theory Beachtung finden: Vermessenheitsverzerrung: Überschätzen der eigenen Fähigkeiten und des Mutes, Überschätzen des eigenen Einflusses auf die Zukunft, Fehleinschätzung der Fähigkeiten von Konkurrenten, Überschätzen der eigenen Kenntnisse und des Verständnisses. Anker-Effekt: Eine einmal gemachte Aussage (Meinung) wird zur selbsterfüllenden Prophezeiung. Dies gilt sogar dann, wenn eine Aussage von einer Quelle stammt, die nicht besser informiert ist als man selbst. Sturheit: Eine einmal eingenommene Position wird nicht gerne aufgegeben. Nähe-Verzerrung: Die Kenntnis einer bestimmten Problematik verzerrt die Wahrnehmung in Richtung des Bekannten; anderweitige Optionen werden ignoriert. Status-quo-Verzerrung (status quo bias): Menschen gehen größere Risiken ein, um den Status quo zu erhalten, als um die Situation zu ändern. Gewinn und Verlust: Menschen fürchten Verlust mehr, als sie Gewinn begrüßen. Das geht so weit, dass greifbare Vorteile nicht wahrgenommen werden, um die entferntere Chance des Versagens zu vermeiden. Seite 5 von 8 Stand 22.04.2016 Secorvo Security Consulting GmbH Falsche Prioritäten: Menschen wenden unverhältnismäßig viel Zeit für kleine und unverhältnismäßig wenig für große Entscheidungen auf. Peter Gutmann macht dies in seinem Werk „Engineering Security“ (S. 168) prägnant deutlich (siehe Linkliste am Ende des Artikels). Unangebrachtes Bedauern: Bedauern über einen Verlust bringt nichts ein, aber es wird viel Zeit darauf verwendet. Nutzer denken nicht, dass sie gefährdet sind. Sie neigen dazu zu glauben, dass sie weniger verwundbar sind als andere. Das schließt eine breite Reihe von Bereichen ein – von Verbrauchsgütern bis Gesundheit, vom Computer bis zur Sicherheit. („Warum sollte ich meine Virenschutzsoftware updaten? Da passiert schon nichts.“) Selbst-Täuschung: Falsche Entscheidungen werden gerne schöngeredet. Priming: Entscheidungen werden durch vergangene, gespeicherte und meist unbewusste Erfahrungen und Erwartungen beeinflusst. Zusammenfassung Mit Hilfe von Heuristiken werden Schlussfolgerungen gezogen, ohne komplizierte und vergleichsweise langwierige Algorithmen einsetzen zu müssen. Diese „Faustregeln“ dienen der kognitiven Entlastung. Sie führen ressourcensparend zu Schlussfolgerungen, die in den meisten Lebenssituationen eine hinreichende Güte besitzen. Sie können in anderen Kontexten jedoch zu systematischen Fehleinschätzungen („kognitive Verzerrung“) führen. Wir sind nicht bereit, eine gewohnte Funktionalität oder einen Status an Bequemlichkeit aufzugeben, um einen ungewissen (und unkonkreten) Sicherheitsgewinn zu erzielen. 3) Otto Normal-Nutzer Der Durchschnittsnutzer ist kein Techie. Daraus resultieren unterschiedliche Denkweisen und Wahrnehmungen von IT-Security. Unterschiedliche Interessen (wie funktioniert das vs. Hauptsache es funktioniert). Nutzer möchten meist schlicht ihre Arbeit erledigen. IT-Sicherheit hat für sie weder einen greifbaren Nutzen noch unmittelbare negative Folgen. Zudem werden Nutzer gezwungen, Sicherheitsentscheidungen zu treffen, die sie selbst – mit ihrem Wissen – gar nicht treffen können (z. B. Zertifikatswarnungen im Web-Browser). Ineffektive oder nicht erklärte Sicherheitskontrollen werden nicht verstanden, umgangen oder ausgeschaltet. Sicherheitsmeldungen sind oft zu abstrakt, als dass sie das menschliche Gehirn als Gefahr wahrnehmen kann. Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer Nutzer sind nicht zu dumm, um sich um IT-Sicherheit zu kümmern – sie sind schlicht unmotiviert. Wir haben in unserem Gehirn nur eine begrenzte Kapazität zur Informationsverarbeitung. Daher verlassen wir uns auf Heuristiken – meistens führt das erfahrungsgemäß auch zu guten Ergebnissen. („Es passiert ja nie etwas, wenn ich das Warnfenster wegklicke.“) IT-Sicherheit ist oft auch ein zu abstrakter Begriff und wird nicht genug erklärt. Konkrete Erfahrungen dominieren abstrakte Vermutungen. Eine „sichere“ Entscheidung (Warnfenster nicht ignorieren) führt zu keinem sichtbaren (positiven) Ergebnis. Warum sollte man es also tun? Das Gehirn sagt sich: Also nutze ich besser meine Heuristiken. Sicherheit wird als sekundäre Aufgabe gesehen. Vor allem unter Zeitdruck, neigen die Menschen dazu, sich mehr auf die Probleme ihrer unmittelbaren Aufgabe zu konzentrieren. Sie nehmen „Abkürzungen“ und ignorieren Sicherheitsvorgaben. Es erfolgt kaum Feedback auf sicherheitsrelevante Entscheidungen – ein Lernprozess ist kaum vorhanden. In der IT-Sicherheit heißt die Devise wie so oft im Leben „Nicht geschimpft ist genug gelobt” und es kommt sogar (meist) noch schlimmer, denn es gilt: 1. Mach‘ etwas richtig und es passiert nichts Schlimmes. 2. Mach‘ etwas falsch, und du merkst (meist) gar nicht, dass etwas Schlimmes passiert. Seite 6 von 8 Stand 22.04.2016 Secorvo Security Consulting GmbH Ein typischer Lernprozess erfolgt allerdings über Belohnungen. Ohne Konsequenzen und Belohnungen ist ein Lernprozess kaum möglich. Menschen nehmen Verluste überproportional wahr. Wenn Menschen mit einem Gewinn und einem Verlust des gleichen Werts konfrontiert werden, ist der Verlust stets motivierender. Selbst wenn die Kosten für einen Sicherheitsaufwand relativ klein sind („Ich muss mir ein längeres Passwort merken.“), kann es für den Nutzer unverhältnismäßig schwer erscheinen. 4) Basis für Angriffe Während viele Angriffe rein technischer Natur sind, wie beispielsweise Denial-of-Service-Attacken (DoS) oder Exploit-Kits, greifen bei vielen Angriffen direkt oder indirekt psychologische Aspekte. Angreifer nutzen kognitive Verzerrungen aus, um an Informationen/Daten zu gelangen. Angreifer betreiben umfangreiche Recherchen und geben sich dann als Kollege/Dienstleister aus. Mitarbeiter unterschätzen dabei, was bereits durch eine Internetrecherche an Informationen gesammelt werden kann. Sie manipulieren ihr Opfer dermaßen geschickt, dass es den Angriff oft nicht einmal bemerkt (siehe Video „What is your Password“ in der Linkliste) Social Engineering ist ein gutes Beispiel dafür, dass man sich als Unternehmen nicht auf technische Lösungen allein verlassen darf, um seine Systeme zu schützen. Awareness-Maßnahmen sind mindestens. 5) Sicherheit erfordert Kompromisse In Wochen nach 9/11 wurde der Kryptographieund Sicherheitsexperte Bruce Schneier von einem Reporter gefragt, wie man sich davor schützen kann, dass so eine Katastrophe noch einmal passiert. Schneier antwortete: „That‘s easy, simply ground all the aircraft.“ In den Stunden nach dem Anschlag ist genau das passiert. Und zu diesem Zeitpunkt war es Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer ein guter Kompromiss. Auf Dauer wäre es aber nicht zu akzeptieren. Sicherheit kostet immer etwas, oft vor allem Geld. Aber sie schränkt auch Freiheiten ein (Kein privater USB-Stick am Firmen-Laptop), sie ist oft unbequem (Automatische Bildschirmsperre), sie kostet Zeit (Sicherheitskontrollen am Flughafen), sie schränkt Entwicklungsmöglichkeiten (Cloud-Computing zu riskant?). Wenn es um Effektivität geht, macht es keinen Sinn, ausschließlich auf Sicherheit zu schauen. Daher ist „Ist dieses Maßnahme effektiv gegen diese Bedrohung?“ die falsche Frage. Die Frage muss lauten: „Ist es ein guter Kompromiss?“. Beispiel: Das Tragen von schusssicheren Westen ist eine ist eine sehr effektive Maßnahme, um zu verhindern, dass man erschossen wird. Aber für die meisten gesetzestreuen Bürger in relativ sicheren industrialisierten Ländern, wie Deutschland, ist das Tragen einer schusssicheren Weste kein guter Kompromiss. Die zusätzliche Sicherheit lohnt sich nicht - sie ist die Kosten, die Unbequemlichkeit und das unmodische Aussehen nicht wert. Es kann einen sehr großen Unterschied zwischen tatsächlicher und gefühlter Sicherheit geben. Unter anderem aufgrund kognitiver Verzerrungen können Menschen Risiken nicht mathematisch korrekt einschätzen. Einerseits fühlen sie sich oft sicher, auch wenn sie einem großen Risiko ausgesetzt sind. Andererseits werden Risiken aber oft auch überschätzt. Menschen berechnen Entscheidungen (und Risikobewertungen) nicht anhand mathematischer Verfahren, sondern bewerten sie aufgrund von Erfahrungen, Einschätzungen und Einstellungen – Menschen sind unterschiedlich risikoavers oder risikoaffin. Schulungen und Awareness-Kampagnen sind genau deswegen so wichtig. Sie können das subjektive Gefühl von Sicherheit beeinflussen und an die Realität annähern. Dadurch wird erreicht, dass bessere Sicherheitsentscheidungen getroffen werden. Seite 7 von 8 Stand 22.04.2016 Secorvo Security Consulting GmbH 6) Fazit – Ist der DAU dumm? · Sicherheit wird je nach Betrachter sehr unterschiedlich wahrgenommen und ist immer ein Kompromiss zwischen Risiko, Verlust, Gewinn, und Kosten. · Es bestehen immer Zielkonflikte mit anderen Anforderungen (z. B. Usability) und Sicherheit ist für die meisten Nutzer absolute Nebensache. · Nutzer werden eher einen ungewissen Verlust riskieren, als einen garantierten Verlust akzeptieren („Prospect Theory“). Verluste (z. B. an Bequemlichkeit) werden überproportional gegenüber Gewinnen (z. B. an Sicherheit) wahrgenommen. · Sicherheit muss bereits in den Entwicklungsprozess eingebaut werden. · Der Nutzer muss Sicherheitsoptionen bekommen, mit denen er etwas anfangen kann. · Er darf aber niemals echte Sicherheitsentscheidungen treffen müssen. 7) Linkliste Quellen und Literaturtipps · · · · · · · · Anderson, R.: Security Engineering, 2008. Gutmann, P.: Engineering Security (Book Draft), 2013. Kahnemann, D.: Schnelles Denken, langsames Denken, 2012. Kahneman, Daniel; Tversky, A.: Prospect theory: An analysis of decision under risk, 1979. Modic, D.; Anderson, R.: Reading This May Harm Your Computer: The Psychology of Malware Warnings, 2013. Schneier, B.: The Psychology of Security, 2008. Sternberg, G.: The Psychology behind Security, 2010. West, B.: The Psychology of Security, 2008. Videos zum Vortrag · Mensch und Maschine: https://www.youtube.com/watch?v=Aqix9L-xIjM · What is your Password (Jimmy Kimmel): https://www.youtube.com/watch?v=opRMrEfAIiI · Attention Test (ŠKODA Fabia): https://www.youtube.com/watch?v=qpPYdMs97eE Zum Autor: Christoph Schäfer ist Security Consultant bei der Secorvo Security Consulting GmbH, zertifizierter betrieblicher Datenschutzbeauftragter (GDDcert.), Datenschutzauditor (TÜV) und TeleTrusT Information Security Professional (T.I.S.P.). Seine Beratungsschwerpunkte sind datenschutzrechtliche Fragestellungen und technisch-organisatorischer Datenschutz. Zudem hält er regelmäßig Schulungen und Vorträge zu Datenschutzthemen. Telefon: 0721 255171-0 | E-Mail: [email protected] Psychologie der Sicherheit: Ist der DAU wirklich dumm? Christoph Schäfer Seite 8 von 8 Stand 22.04.2016