Die Psychologie der Cybersecurity: Verstehen und Minimieren menschlicher Risiken

Auf der einen Seite sind sich Unternehmen bewusst, dass Cyber-Angriffe immer raffinierter werden und investieren daher kontinuierlich nicht nur in die Sicherheitsinfrastruktur, sondern auch in die Stärkung der internen Sicherheitskultur. Massnahmen sind Schulungen der Mitarbeitenden und eine proaktive Risikomanagement-Strategie. In den Schulungen wird detailliert auf die neuesten Methoden und Strategien der Hacker eingegangen, um das technologische Verständnis zu fördern sowie Bewusstsein und Wachsamkeit bezüglich Cybersecurity zu schärfen. Teilnehmenden wird das notwendige Wissen vermittelt, um potenzielle Sicherheitsrisiken effektiv zu erkennen und zu mitigieren.

Aber wieso gibt es immer neuere Tricks? Und wieso fallen Benutzer immer wieder auf diese herein? Wie ist es trotz aller Massnahmen möglich, dass Cyber-Attacken immer noch wirkungsvoll sind?
 

Eine der gemeinsten, aber effektivsten Hacker-Strategien ist das Spiel mit den psychologischen Grenzen der Systemanwenderinnen und -anwender. Cyber-Attacken sind leider nicht mehr nur eine Bedrohung durch technische Schwachstellen, sondern eine strategische Analyse und Ausnutzung menschlicher Verhaltensweisen und kognitiver Verzerrungen. Viel effektiver als Schwachstellen in der Technologie zu finden, ist es, menschliche Verhaltensmuster und psychische Prozesse als potenziell schwaches Glied in der Kette der Cybersecurity auszunutzen.

Wirklich gute Hacker wissen: Instinktive Reaktionen auf bedrohliche Situationen basieren nicht auf Logik, sondern auf automatischen oder halbautomatischen Reaktionen. Dies ist ein Erbe unserer evolutionären Vergangenheit, in der schnelle Reaktionen oft lebensrettend waren. Angreifer nutzen genau diese primitiven Reaktionsmuster aus und setzen auf psychologische Tricks und irreführende Manöver, um Benutzer zu täuschen und Sicherheitssysteme zu umgehen. Doch wie machen sie das?

Wenn ein Sicherheitsvorfall auftritt und menschliches Versagen als Ursache identifiziert wird, müssen wir tiefer fragen: Warum hat sich die betreffende Person fahrlässig verhalten? Um diese Frage angemessen zu beantworten, braucht es zunächst ein Verständnis menschlicher Motivation. Insbesondere gilt es zu verstehen, was Menschen dazu bewegt, sich im Cyberspace vorsichtig zu verhalten – oder eben nicht.

Grundsätzlich lässt sich zwischen zwei unterschiedlichen psychologischen Prozessen unterscheiden, die in Reaktion auf wahrgenommene Bedrohungen auftreten können: Den Gefahrenkontrollprozess und den Angstkontrollprozess. Diese Prozesse beeinflussen, wie Menschen auf Cyber-Bedrohungen reagieren.

Der Gefahrenkontrollprozess wird dann aktiviert, wenn Benutzer eine Bedrohung als hoch einschätzen – beispielsweise das Stehlen von Passwörtern durch Phishing Mails – und sie davon überzeugt sind, genau zu wissen, was zu tun ist, um diese Bedrohung abzuwenden. In diesem Fall sind die Reaktionen der Person in der Regel adaptiv. Heisst: Die Nutzer sind motiviert, die Gefahr zu kontrollieren und zu minimieren. Beim Beispiel von Phishing Mails werden Nutzer motiviert sein, alle Sicherheitshinweise im E-Mail-Verkehr gemäss der gängigen Anweisungen zu befolgen.

Der Angstkontrollprozess tritt ein, wenn eine Person eine Bedrohung als hoch wahrnimmt, jedoch glaubt, dass es keine wirksamen Massnahmen gibt, um die Bedrohung zu bewältigen. Dann zielen Reaktionen der Nutzer mehr darauf ab, die eigene Angst oder Unsicherheit zu managen statt der tatsächlichen Bedrohung. Menschen reagieren dann mit Vermeidung, Verleugnung oder übersteigerter Besorgnis, anstatt effektiv zu handeln. Massnahmen werden als unwirksam bewertet, wenn das Einhalten von Regeln der Cybersecurity zu komplex ist oder sogar mehrere, teilweise widersprüchliche Regeln gleichzeitig berücksichtigt werden müssen.

Im Kontext der Cybersecurity heisst das, dass in Schulungen darauf geachtet werden muss, effektive Interventionsstrategien zu entwickeln, die darauf abzielen, adaptive Reaktionen zu fördern und maladaptive Reaktionen der Nutzer zu reduzieren. Doch leider zeigt sich auch hier wieder: Menschen sind keine Maschinen und verhalten sich im Netz (wie auch im wahren Leben) ambivalent, komplex und teilweise unberechenbar.

Forschungsergebnisse belegen leider auch, dass Personen, die sich gut informiert fühlen, mögliche Bedrohungen mehr und mehr unterschätzen. Sie werden fahrlässig, weil sie sich unverwundbar fühlen. Anders gesagt: Je informierter die Person, desto weniger motiviert ist sie, präventive Massnahmen zu ergreifen. Dies ist leider ein Regelwerk unseres Gehirns: Immer dann, wenn eine Person sich in einer Tätigkeit oder einem Verhalten sicher fühlt, geschehen durch mentale Automatisierung die meisten menschlichen Fehler, da das Gehirn in einen automatischen Modus wechselt. Dies kann selbst bei komplexen Aufgaben wie dem Autofahren passieren, wo ursprünglich intensives bewusstes Denken erforderlich ist, das aber nach wiederholter Ausführung durch Automation ersetzt wird. Diese Fehler werden oft nicht als solche erkannt, weil das Individuum einfach einem tief eingewurzelten Verhaltensmuster folgt. Ein Beispiel wäre das automatisierte Beantworten «typisch» wirkender E-Mails, wobei nicht erkannt wird, dass es sich in Wirklichkeit um Phishing Mails handelt.

Die Konsequenz daraus muss sein, beim Design von Cybersicherheitssystemen menschliche Fehler und Grenzen zu erkennen und proaktiv auf diese zu reagieren, anstatt zu erwarten, dass Benutzer im Cyberspace immer die richtigen Entscheidungen treffen. Auch die traditionelle Cyber-Sicherheitsschulung muss lernen, die psychologischen Grenzen der Menschen stärker zu berücksichtigen.

Weiter sollen Benutzer in Schulungen darüber aufgeklärt werden, dass Hacker nicht nur besser im Verständnis der Systemtechnologien werden, sondern insbesondere im Verständnis der menschlichen Psychologie. Im Klartext: Benutzer müssen über ihre eigenen kognitiven Muster, die Grenzen und Schwachpunkte ihres eigenen Denkens und Verhaltens aufgeklärt werden, um bei neuen Tricks ein wachsames Auge zu behalten. Ein aufgeklärter Benutzer versteht psychologische Taktiken und sozialtechnische Strategien und weiss, wie sich Sicherheitslücken damit potenziell ausnutzen lassen. Und insbesondere versteht er, wie er sein Verhalten anpassen muss, um in eigener Kontrolle Cyberangriffe wirksam zu minimieren.