Die Bedrohungslage (Quelle) durch Angriffe im Internet ist so hoch wie nie. Trotz dieser Gegebenheit sind nur die wenigsten Firmen umfassend gegen äußere und innere Bedrohungen gewappnet. Ein oft unterschätzter Grund ist, dass viele Unternehmen die Risiken und Konsequenzen von Internetangriffen oder Sicherheitslücken unterschätzen und deshalb keinen ausreichenden Anreiz sehen, in eine umfassende IT-Sicherheitsstrategie zu investieren. Diese kognitive Fehleinschätzung wird in der Psychologie als Dunning-Kruger-Effekt bezeichnet. Was sich dahinter verbirgt, welche Auswirkungen er auf die IT-Sicherheit hat und wie Unternehmen ihn vermeiden bzw. minimieren können, lesen Sie im folgenden Blogbeitrag.
Der steigende Einsatz digitaler Technologien hat in den letzten Jahren eine massive Veränderung der Businesswelt bewirkt. Innerhalb kurzer Zeit wurden bewährte und erfolgreiche Geschäftsmodelle und -strategien abgelöst, neue Geschäftsanforderungen definiert und der geschäftliche Erfolg in vielen Bereichen ausgebaut. Gleichzeitig hat dieser Wandel zu einer Ausweitung der Kriminalität geführt. Durch die zunehmende Vielfalt netzfähiger Endpunkte, digitaler Portale und neuer Technologien eröffnen sich böswilligen Akteuren mittlerweile eine Vielzahl neuer Angriffsmethoden mit enormem Schadenspotenzial.
Obwohl mittlerweile 84 Prozent (Quelle) der Firmen in Deutschland von Internetkriminalität betroffen sind, stagnieren vielerorts die Ausgaben für die IT-Sicherheit. Ein Grund hierfür ist, dass etliche Unternehmen eine fehlerhafte Wahrnehmung ihres IT-Schutzes haben. Dadurch werden die hausinternen IT-Sicherheitsfähigkeiten oft überbewertet, die tatsächlichen Risiken des Unternehmens jedoch übersehen oder unterschätzt, da bereits Sicherheitsmaßnahmen implementiert wurden.
In der Psychologie spricht man in diesem Zusammenhang auch vom sogenannten Dunning-Kruger-Effekt.
Was versteht man unter einem Dunning-Kruger-Effekt?
Kurz zusammengefasst handelt es sich beim Dunning-Kruger-Effekt um ein Phänomen, bei dem Menschen eine übermäßige Selbstüberschätzung ihrer eigenen Fähigkeiten haben, insbesondere in Bezug auf ihr Wissen und ihre Kompetenzen in einem bestimmten Bereich. Das Ergebnis ist, dass diese Menschen sich irrtümlicherweise für qualifizierter halten als sie tatsächlich sind und beispielsweise Schwierigkeiten haben, sich objektiv zu bewerten und Fehler machen, die sich negativ auf ihre Leistungen auswirken können.
Der Dunning-Kruger-Effekt geht auf Studien der Psychologen David Dunning und Justin Kruger aus dem Jahr 1999 zurück. Die beiden Wissenschaftler untersuchten die Selbstüberschätzung und das Auftreten von Personen mit einem erhöhten Selbstwertgefühl und kamen zu dem Ergebnis, dass Menschen mit geringem Wissen und geringer Qualifikation oft dazu neigen, sich selbst zu überschätzen. Ihnen fehlt die ausreichende Selbstreflexion, um ihre Position objektiv zu bewerten und zu erkennen, dass andere ihnen geistig überlegen sind.
Der Dunning-Kruger-Effekt in unserem Alltag!
Dem Dunning-Kruger-Effekt begegnet man nahezu überall.
Das wohl beeindruckendste Beispiel für den Dunning-Kruger-Effekt findet sich in der Kriminalgeschichte: 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus, ohne sich zu maskieren, obwohl die Banken videoüberwacht waren. Als die Handschellen klickten, war er überrascht. Offenbar war er davon überzeugt, dass Zitronensaft ihn vor den Überwachungskameras der Banken unsichtbar machen würde – ähnlich wie „Zaubertinte“.
Weitere bekannte Beispiele für den Dunning-Kruger-Effekt sind:
- Fußballfans, die oft glauben, mehr taktisches Verständnis und Wissen vom Spiel zu haben als die professionellen Trainer.
- Die Mehrheit der Autofahrer, die denken, sie fahren deutlich besser als der Durchschnitt.
- Wähler, die glauben, besser zu wissen, was für ihr Land das Richtige ist und dass sie das Land besser regieren könnten als die aktuelle Regierung.
Dunning-Kruger-Effekt: Ein unterschätztes IT-Sicherheitsrisiko!
Eine solche Fehleinschätzung kann besonders im Bereich der IT-Sicherheit eines Unternehmens schwerwiegende Folgen haben:
- Erhöhtes Sicherheitsrisiko: Durch die Überschätzung der persönlichen Fähigkeiten und Kenntnisse in Bezug auf IT-Risiken können Mitarbeiter leichter Opfer von Phishing-Angriffen werden oder unsichere Passwörter verwenden, was wiederum das Risiko von Sicherheitsverletzungen erhöht.
- Mangelhafte Sicherheitskonfigurationen: Wenn Personen ihre Fähigkeit zur sicheren Konfiguration von Netzwerken überschätzen, kann dies zu unzureichenden Sicherheitskonfigurationen führen, die das Risiko von Angriffen erhöhen.
- Unsichere Softwareinstallationen: Eine Überschätzung der eigenen Fähigkeit, sichere Softwareinstallationen durchzuführen, kann dazu führen, dass schädliche Software installiert oder Sicherheitsupdates ignoriert werden, was die Gefahr von Angriffen erhöht.
- Unsichere Datenspeicherung: Wenn Personen ihre Fähigkeit zur sicheren Datenspeicherung überschätzen, können sie wichtige Daten ungeschützt speichern oder auf unsicheren Geräten ablegen, was das Risiko von Datenverlust oder -diebstahl erhöht.
- Mangelnde Wachsamkeit: Eine Überschätzung der eigenen Fähigkeit, Bedrohungen in der IT-Sicherheit zu erkennen, kann dazu führen, dass Phishing-Angriffe oder andere Bedrohungen übersehen werden, was das Risiko von Angriffen erhöht.
- Mangelnde Compliance: Mitarbeiter könnten sich der Compliance-Vorschriften nicht bewusst sein oder diese ignorieren, weil sie glauben, dass sie diese nicht einhalten müssen oder nicht wissen, wie sie dies tun sollen. Dies kann schwerwiegende Konsequenzen haben, wenn das Unternehmen gegen Gesetze oder Regeln verstößt.
Was kann man gegen den Dunning-Kruger-Effekt tun?
Um den Dunning-Kruger-Effekt in der IT-Sicherheit zu umgehen, gibt es einige Maßnahmen, die ergriffen werden können:
- Regelmäßige Aufklärung und Sensibilisierung: Es ist wichtig, dass Menschen über den Dunning-Kruger-Effekt informiert werden und verstehen, wie er sich auf ihre Fähigkeiten auswirken kann.
- Realistische Einschätzung der eigenen Fähigkeiten: Es ist entscheidend, dass Personen eine realistische Einschätzung ihrer Kenntnisse haben und keine Aufgaben übernehmen, für die sie nicht qualifiziert sind.
- Einhaltung von Sicherheitsrichtlinien und -verfahren: Die Einhaltung etablierter Sicherheitsrichtlinien und -verfahren ist entscheidend, um das Risiko von Sicherheitsverletzungen zu minimieren.
- Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist eine gute Kommunikation und Zusammenarbeit zwischen Teammitgliedern entscheidend, um Risiken zu minimieren und die Sicherheit zu verbessern.
- Risikomanagement: Ein effektives Risikomanagement hilft dabei, Gefahren zu identifizieren und Maßnahmen zu ergreifen, um diese zu reduzieren oder zu beseitigen. Dies erfordert auch eine realistische Einschätzung der Fähigkeiten und Kompetenzen der Teammitglieder.
Fazit: Halbwissen ist nicht nur gefährlich, sondern ganz gefährlich!
Zusammenfassend lässt sich sagen, dass der Dunning-Kruger-Effekt im Bereich der IT-Sicherheit ein ernstzunehmendes Thema ist, das nicht unterschätzt werden sollte. Durch regelmäßige Schulungen zur IT-Sicherheit können Unternehmen das Wissen und die Fähigkeiten ihrer Teams verbessern und sicherstellen, dass sie auf dem neuesten Stand der Sicherheitstechnik sind. Auf diese Weise sind sie besser gerüstet, um sowohl externen als auch internen Bedrohungen entgegenzuwirken und die Sicherheit ihrer IT-Systeme zu gewährleisten.
Möchten Sie auch den Dunning-Kruger-Effekt in Ihrem Unternehmen vermeiden? Haben Sie Fragen zum Thema? Kontaktieren Sie uns!