Dunning-Kruger-Effekt: Die unterschätzte Gefahr der IT-Sicherheit!

Die Bedrohungslage durch Internetangriffe ist so hoch wie nie. Ungeachtet dieser Gegebenheit sind nur die allerwenigsten Unternehmen ganzheitlich gegen externe und innere Gefahren gerüstet. Ein häufig unterschätzter Grund ist, dass etliche Unternehmen die Gefahren sowie Konsequenzen von Internetangriffen und Sicherheitslücken verkennen und deshalb keinerlei ausreichenden Anreiz sehen, in eine umfassende IT-Sicherheitsstrategie zu investieren. Jene kognitive Fehleinschätzung wird in der Psychologie auch als Dunning-Kruger-Effekt betitelt. Was sich hinter diesem Begriff verbirgt, welche Auswirkungen er auf die IT-Sicherheit hat und wie Firmen ihn vermeiden bzw. reduzieren können, erfahren Sie im nachfolgenden Blogbeitrag.

Der steigende Gebrauch digitaler Technologien bewirkt seit mehreren Jahren eine gewaltige Veränderung der Businesswelt. Binnen kürzester Zeit wurden bis dato bewährte und erfolgversprechende Geschäftsmodelle und Geschäftsstrategien abgewertet, frische Geschäftsanforderungen definiert sowie der geschäftliche Triumph in etlichen Gebieten ausgeweitet. Zeitgleich hat der Umbruch zu einer Entgrenzung der Kriminalitätsrate geführt. Durch die steigende Diversität netzfähiger Endpunkte, digitaler Portale sowie neuer Technologien öffnen sich bösartigen Akteuren inzwischen eine Vielzahl neuartiger Modi Operandi mit gigantischen Schadenspotenzialen.

Obwohl mittlerweile 84 Prozent der Unternehmen in Deutschland von Internetkriminalität berührt sind, stagnieren an vielen Orten die Ausgaben für eine IT-Sicherheit. Ein Grund: Etliche Unternehmen haben eine falsche Wahrnehmung ihres IT-Schutzes. So werden die internen IT-Sicherheitsfähigkeiten des Unternehmens aufgrund bereits implementierter IT-Sicherheitsmaßnahmen oft überbewertet und die tatsächlichen Risiken des individuellen Unternehmens übergangen oder verkannt.

In der Psychologie redet man in diesem Fall auch von einem sogenannten Dunning-Kruger-Effekt.

Dunning-Kruger-Effekt: Was ist das?

Kurz zusammengefasst, handelt es sich beim Dunning-Kruger-Effekt um ein Mysterium, bei dem Menschen eine bemerkenswerte Selbstüberschätzung der eigenen Fähigkeiten haben, insbesondere in Bezug auf ihr Wissen und ihre Fähigkeiten in einem speziellen Gebiet. Das Resultat ist, dass sich jene Menschen fälschlicherweise für fähiger halten als sie in der Tat sind und unter anderem Schwierigkeiten haben, sich neutral zu bewerten und Fehler verüben, welche sich negativ auf ihre Leistungen auswirken können.

Der Dunning-Kruger-Effekt ist auf die Ergebnisse der beiden Psychologen David Dunning und Justin Kruger zurückzuleiten. Jene führten im Jahre 1999 Untersuchungen bezüglich der Selbstüberschätzung sowie Außendarstellung von Menschen mit einem erhöhten Selbstbewusstsein durch. Die beiden Wissenschaftler kamen zu dem Schluss, dass Menschen mit geringem Wissen und fehlender Kompetenz oft dazu neigen, sich selbst zu überschätzen. Diesen mangelt es an ausreichender Selbstreflexion, um die Position objektiv bewerten zu können und zu begreifen, dass andere diesen geistig überlegen sind.

Dunning-Kruger-Effekt: Beispiele!

Dem Dunning-Kruger-Effekt läuft man nahezu überall über den Weg.
Das wohl imposanteste Dunning-Kruger-Effekt-Beispiel zeigt sich in der Kriminalgeschichte: Im Jahr 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Hierbei verzichtete er auf jegliche Vermummung, obwohl die Banken kameraüberwacht waren. Als sich wenig später die Handschellen schlossen, war die eigene Verwunderung groß. Offenbar war er überzeugt davon, dass ihn Zitronensaft für die Überwachungstechnik der Kreditinstitute transparent machen würde. Nach dem gleichen Prinzip wirkt bekanntermaßen auch eine „Zaubertinte“.
Ebenso bekannte Beispiele für den Dunning-Kruger-Effekt sind

• Fußballfans, welche häufig glauben, mehr taktisches Bewusstsein und Kenntnis vom Spiel zu haben als die professionellen Trainer
• Das Gros der Autofahrer, die davon überzeugt sind, deutlich besser zu fahren als der Standard.
• Wähler, welche besser wissen, was für deren Land das Richtige ist und dass sie das Land besser leiten könnten als die aktuelle Regierung

Wie wirkt sich der Dunning-Kruger-Effekt auf die IT-Sicherheit aus?

So eine Art der Fehleinschätzung kann hauptsächlich im Feld der IT-Sicherheit eines Unternehmens fatale Konsequenzen haben:

• Erhöhtes Sicherheitsrisiko: Durch das Überbewerten der persönlichen Fähigkeiten und Kenntnisse in Bezug auf IT-Gefahren können Arbeitnehmer*innen leichter von Phishing-Angriffen reingelegt werden und unsichere Passwörter benützen, was wiederum das Risiko von Sicherheitsverletzungen erhöhen kann.
• Mangelhafte Sicherheitskonfigurationen: Wenn Leute die eigene Begabung, Netzwerke sicher zu konfigurieren, überschätzen, kann dies zu mangelhaften Sicherheitskonfigurationen führen, die das Risiko von Angriffen erhöhen.
• Unsichere Software-Installationen: Wenn Menschen die persönliche Fähigkeit, sichere Software-Installationen umzusetzen, zu hoch bewerten, könnten selbige schadende Software installieren oder Sicherheitsupdates ignorieren, was die Gefahr von Angriffen erhöhen kann.
• Unsichere Datenspeicherung: Wenn Menschen die persönliche Fertigkeit, sichere Datenspeicherungspraktiken zu verfolgen, überschätzen, können selbige essentielle Daten ungeschützt sichern oder diese auf gefahrvollen Geräten abspeichern, was die Gefahr von Datenverlust oder auch Datendiebstahl erhöhen kann.
• Mangelnde Wachsamkeit: Wenn Leute die persönliche Kenntnis, Bedrohungen in der IT-Sicherheit zu erkennen, überschätzen, könnten jene Phishing-Angriffe oder sonstige Bedrohungen übersehen, was das Risiko von Angriffsversuchen erhöhen kann.
• Mangelhafte Compliance: Mitarbeiter könnten sich nicht der Compliance-Regeln bewusst sein oder diese ignorieren, weil sie meinen, dass sie diese nicht befolgen müssen oder nicht wissen, wie sie jene einhalten sollen. Das könnte zu schweren Nachwirkungen führen, wenn die Firma gegen Gesetze oder Regeln verstößt.

Was kann man gegen den Dunning-Kruger-Effekt tun?

Um den Dunning-Kruger-Effekt in der IT-Sicherheit zu meiden, gibt es einige Methoden, welche genutzt werden könnten:

1. Regelmäßige Aufklärung und Sensibilisierung: Es ist wichtig, dass Menschen über den Dunning-Kruger-Effekt sowie dessen Konsequenzen aufgeklärt werden, damit sie ihre eigenen Fähigkeiten korrekt beurteilen können.
2. Realistische Einschätzung der eigenen Fähigkeiten: Es ist essenziell, dass Menschen eine reelle Beurteilung ihrer eigenen Fähigkeiten haben und keinesfalls versuchen, Aufgaben zu erledigen, die sie nicht bewerkstelligen können.
3. Einhaltung von Sicherheitsrichtlinien und -verfahren: Es ist essenziell, dass man sich an festgelegte Sicherheitsrichtlinien wie auch -verfahren hält, um die Gefahr von Sicherheitsverletzungen zu reduzieren.
4. Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist es wichtig, dass Menschen untereinander sprechen und kooperieren, um Risiken zu verkleinern sowie die Sicherheit zu maximieren. Dazu zählt auch, dass man sich gegenseitig anerkennt sowie hilft.
5. Risikomanagement: Ein wichtiger Teil der IT-Sicherheit ist ein Risikomanagement, bei dem Risiken überprüft und Mittel ergriffen werden, um diese Risiken zu verringern oder zu beseitigen. Hierzu zählt ebenso, dass man die Kompetenzen und Fähigkeiten der einzelnen Teammitglieder berücksichtigt und entsprechende Mittel ergreift.

Fazit: Halbwissen ist nicht nur gefährlich, sondern ganz gefährlich!

Grundsätzlich kann man sagen, dass der Dunning-Kruger-Effekt im Gebiet der IT-Sicherheit ein ernstzunehmendes Problem ist, welches es zu vermeiden gilt. Durch regelmäßige IT-Sicherheitsschulungen können Unternehmen das Know-how und die Fähigkeiten ihrer IT-Teams und Mitarbeiter*innen in Hinsicht auf IT-Sicherheit aufbauen und sicherstellen, dass sie auf dem modernsten Stand sind. So können sie garantieren, dass ihre IT-Teams wie auch Mitarbeiter*innen gut gerüstet sind, um möglichen externen und internen Bedrohungen entgegenzuwirken sowie die Sicherheit ihrer IT-Systeme zu gewährleisten.

Sie sind Endkunde: Möchten auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen vermeiden? Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.