Lesedauer: 6 Minuten

Wir wissen zwar, dass wir schon längst einen Termin zur Kontrolle beim Zahnarzt machen sollten, aber irgendwie schaffen wir es nicht. Warum auch, es tut ja nicht weh, ist doch sicher alles gut! Kennt ihr das?

Ähnlich verhält es sich mit dem Fitnessbesuch, den wir immer wieder aufschieben („Wieso, die Hose passt doch noch!“) und Passwörtern, die mit 6 Stellen langsam nicht mehr dem heutigen Standard entsprechen.

Im Nachhinein fragen wir uns manchmal, warum es so schwierig ist, diesen Status quo zu ändern. Das liegt an einem der drei Denkfehler, die wir in diesem Artikel untersuchen werden. In diesem Artikel werden wir auch lernen, wie wir unsere Sicherheit erhöhen können, indem wir diese Denkfehler erkennen, bevor sie zuschlagen!

Warum machen wir Denkfehler?

Warum sind wir nicht einfach perfekt? Denkfehler und kognitive Verzerrungen sind mentale Abkürzungen (Heuristiken), die unser Gehirn benutzt, um schnelle Entscheidungen zu treffen. Da wir zu 80 % im System 1 (automatisch, schnell, intuitiv) agieren, sind diese Abkürzungen meist nützlich und meist auch richtig.

Wie sind sie entstanden?

Unter anderem gibt es folgende Gründe dafür, dass wir Denkfehler machen.

• Evolution: Entscheide schnell und überlebe!

• Effizienz: Wer nicht alles einzeln analysieren muss, spart Zeit.

• Konstantes Weltbild: Wir einigen uns mit uns selbst auf einen Standpunkt, eine Rolle und ein Weltbild. Dies zu ändern, erfordert eine grosse kognitive Anstrengung.

• Kontrollverlust: Kein stabiles Weltbild zu haben, kann uns psychisch instabil machen, weil wir nicht mehr wissen, woran wir uns orientieren sollen und ein starkes Gefühl von Kontrollverlust erleben.

Solche Denkfehler, sogenannte Biases, beeinflussen unsere Entscheidungen und wie wir Risiken einschätzen.

Im Bereich der Cybersicherheit können sie uns besonders anfällig für Angriffe wie Phishing oder Social Engineering und für fehlende Sicherheitspraktiken machen.

1. Bestätigungsfehler (Confirmation Bias)

Stellt euch vor, ihr seid morgens nicht besonders gut gelaunt (Morgenmuffel). Sobald ihr um 6:45 Uhr das Haus verlasst, um in den Bus zu springen, seht ihr an der Haltestelle ein grimmiges Gesicht. Auch im Bus neben den 20-Minuten-Zeitungen sitzt jemand, der schlecht gelaunt zu sein scheint, und so geht es noch einige Male weiter, bis ihr im Geschäft seid. Inzwischen habt ihr die Gewissheit gewonnen, dass eure Überzeugung stimmt und praktisch alle Menschen Morgenmuffel sind. Aber der pfeifende Nachbar und die freundlich lächelnde ältere Dame auf dem Sitz gegenüber sind euch völlig entgangen, weil ihr nur auf das geachtet habt, was ihr schon zu wissen glaubtet.

Definition

Der Bestätigungsfehler beschreibt also unsere Neigung, Informationen zu suchen oder zu bevorzugen, die unsere bestehenden Annahmen oder Erwartungen stützen und bestätigen. Gleichzeitig ignorieren wir widersprüchliche Hinweise.

Beispiel aus der Cyberwelt

Ein bekanntes Beispiel für den Confirmation Bias war der Einfluss von Cambridge Analytica während der US-Präsidentschaftswahl 2016.

theguardian.com, 2018: Beispiel eines Teils der Forschung zu personalisierter Werbung

Das Unternehmen nutzte gezielt den Confirmation Bias der Nutzer aus, indem es personalisierte Inhalte erstellte, die die politischen Überzeugungen der Nutzer bestärkten. Diese Manipulation verstärkte Filterblasen und beeinflusste Entscheidungen, ohne dass die Nutzer ihre Informationsquellen kritisch hinterfragten.

Obwohl es übertrieben wäre zu behaupten, dass Trump 2016 nur wegen der Facebook-Kampagne gewonnen hat, trug sie zweifellos dazu bei, seine populistische Botschaft zu verbreiten und Wähler zu mobilisieren, die sonst möglicherweise nicht erreicht worden wären.

Confirmation Bias bekämpfen

Widerlegende Frage: „Warum könnte das Gegenteil wahr sein?“

• Bewusst nach gegensätzlichen Informationen suchen, auch wenn sie uns nicht so faszinieren

• Kritisches Denken aktivieren bei allem, was wir online lesen, hören, sehen

• Fakten / Beweise suchen, anstatt individuellen Erfahrungen / Fallbeispielen zu vertrauen

Praxistipp für Awareness-Programme: Um dem Confirmation Bias entgegenzuwirken, könnte eine einfache Checkliste helfen. Es soll zuerst genau in die Absenderzeile jeder sensiblen E-Mail angeschaut, dann der Schreibstil und Layout geprüft werden. Dann sollte die vermeintliche Absenderin bei Unsicherheiten lieber einmal zu viel als einmal zu wenig kontaktiert werden. Dadurch wird die automatische Reaktion unterbrochen und verhindert, dass allein auf Annahmen vertraut wird.

2. Selbstüberschätzung (Overconfidence Bias)

Laut einer repräsentativen Online-Umfrage im Auftrag der ADAC Autoversicherung halten sich 82 % der deutschen Autofahrer für gute oder sehr gute Autofahrer.

ADAC.de, Befragung zur Selbsteinschätzung der Autofahrer in Deutschland, 2024

Schön, dass die Deutschen so gut Auto fahren, oder?

Aber es ist auch ein klarer Fall von Selbstüberschätzung, denn statistisch gesehen ist es unmöglich, dass so viele Autofahrer überdurchschnittlich gut sind. Interessanterweise gestehen die Befragten aber doch den einen oder anderen Fauxpas ein, wenn es um zu schnelles Fahren (47 %), zu dichtes Auffahren (33 %) oder das Telefonieren mit dem Handy am Steuer (16 %) geht.

Definition

Selbstüberschätzung bezeichnet dementsprechend die Tendenz, die eigenen Fähigkeiten oder die Immunität gegenüber Bedrohungen zu überbewerten.

Beispiel aus der Cyberwelt

„Ich weiss was Phishing ist“, „Ich würde nie auf Phishing reinfallen“ sind typische Annahmen, wenn man sich selbst überschätzt. Laut einer Kaspersky-Studie glauben 57 % der Erwachsenen in Deutschland, überdurchschnittlich sicherheitsbewusst zu sein. Gleichzeitig zeigen die Zahlen, dass ein grosser Teil der Nutzer sorglos mit Passwörtern oder sozialen Medien umgeht, was sich in den am häufigsten genutzten Passwörtern der Schweiz 2024 zeigt:

watson.ch, meistbenutzte Passwörter der Schweiz, 2024

Selbstüberschätzung bekämpfen

Sagen wir uns: „Ich weiss, dass ich nichts weiss“, wie es Sokrates tat (der Kerngedanke war, dass er sich seines Nichtwissens bewusst war und nicht vorgab, mehr zu wissen, als er tatsächlich wusste).

• Selbstreflexion üben, sich selbst ehrlich und schonungslos hinterfragen

• Feedback einholen

• Lernbereit bleiben

Praxis-Tipp für euer Awarenessprogramm: Um Selbstüberschätzung gezielt zu bekämpfen, könnt ihr regelmässige, realitätsnahe Trainings in euer Awarenessprogramm integrieren. Zum Beispiel durch simulierte Phishing-Kampagnen oder Workshops, die echte Szenarien nachstellen. Gebt eurem Team zudem klare Erfolgs- und Misserfolgskriterien an die Hand, damit sie ihre eigene Kompetenz realistisch einschätzen können. Ergänzend empfiehlt es sich, nach jedem Training offenes Feedback einzuholen: Welche Fallen wurden übersehen? An welcher Stelle hat das Team aus Routine gehandelt, ohne wirklich hinzuschauen? So sorgt ihr dafür, dass die eigene Einschätzung fortlaufend hinterfragt und optimiert wird.

3. Status-Quo-Bias

„Es läuft doch alles“. Mit diesem Argument werden oft wichtige Sicherheitsupdates aufgeschoben. Veraltete Software birgt jedoch bekannte Schwachstellen, die von Angreifern leicht ausgenutzt werden können.

Definition

Die Status-quo-Verzerrung beschreibt unsere Neigung, den aktuellen Zustand beizubehalten, auch wenn Veränderungen notwendig sind. Menschen scheuen oft den Aufwand, auch wenn er langfristig Vorteile bringt.

Beispiel aus der Cyberwelt

Ein prominenter Fall war die Ausnutzung der Log4Shell- und ProxyShell-Schwachstellen. Geschätzte 45 % der Cyberangriffe wurden durch bekannte Schwachstellen verursacht, für die bereits Sicherheitspatches und Updates verfügbar waren.

Quelle: Arctic Wolf Labs Report, 2023

Auch im privaten Bereich kann eine gute Cyberhygiene helfen, nicht am Status quo kleben zu bleiben.

Status-Quo-Bias bekämpfen

„Gain Momentum“ – Schwung aufbauen!

• Routinen kreiren und systematisch vorgehen, wenn möglich, automatisieren

• Gewohnheiten schaffen

• Klein anfangen und Momentum aufbauen, um nicht im Status quo stecken zu bleiben

Praxistipp für Awareness Programme: Veraltete Betriebssysteme und Software sind klassische Beispiele dafür, wie schnell der Status quo zur Gewohnheit wird. Wer sich sagt: „Mein Computer läuft doch noch, wozu ein Update?“ handelt nach dem Status-Quo-Bias. Genauso kann es in Teams passieren, dass sicherheitsrelevante Richtlinien nie angepasst werden, obwohl Angriffe immer professioneller werden. Ein automatischer Update-Plan oder ein periodischer Sicherheits-Check schaffen hier Abhilfe und halten euch up to date – auch wenn das anfangs etwas Aufwand bedeutet.

Fazit

Mit einem klaren Bewusstsein für diese Denkfehler und gezielten Gegenmassnahmen können wir uns und unsere Organisationen effektiver schützen.

Bis Bald

Jill

P.s. Der Artikel zeigt, dass Denkfehler wie Confirmation Bias und Selbstüberschätzung unsere Sicherheit beeinträchtigen können. Wenn ihr wissen wollt, wie ihr euch und euer Team optimal darauf vorbereiten könnt, dann meldet euch bei mir – oder vereinbart gleich einen Termin zu einem kostenlosen Kennenlerngespräch!

Referenzen

„Arctic Wolf Labs 2023 Threat Report“. Zugegriffen 11. Januar 2025. https://arcticwolf.com/resource/aw/arctic-wolf-labs-2023-threat-report.

Cadwalladr, Carole. „‘I Made Steve Bannon’s Psychological Warfare Tool’: Meet the Data War Whistleblower“. The Guardian, 18. März 2018, Abschn. News. https://www.theguardian.com/news/2018/mar/17/data-war-whistleblower-christopher-wylie-faceook-nix-bannon-trump.

Jill Wick. „Psychologie des Phishings: So erkennen und verhindert ihr Betrug“, 26. November 2024. https://jillwick.com/2024/11/26/19-psychologische-tricks-bei-phishing-erkennen/.

Security-Insider. „Ransomware-as-a-Service und un­ge­patch­te Schwachstellen“, 24. März 2023. https://www.security-insider.de/ransomware-as-a-service-und-ungepatchte-schwachstellen-a-98f15ce8c153ae0650ac45a7c7bf3af3/.

„Umfrage: Fast alle halten sich für gute Autofahrer“. Zugegriffen 11. Januar 2025. https://presse.adac.de/meldungen/adac-se/versicherungen-finanzdienste/umfrage-fast-alle-halten-sich-fuer-gute-autofahrer.html.

„Unternehmen unzureichend geschützt; 40 Prozent der Unternehmen fehlen moderne KI-gestützte Sicherheitslösungen“, 16. Dezember 2024. https://www.kaspersky.de/about/press-releases/ki-gestutzte-angriffe-57-prozent-der-unternehmen-befurchten-datenlecks.