Warum Menschen mit Risiken schlecht umgehen können

Fast vier Jahrzehnte sind seit der Entdeckung von Brain vergangen, dem ersten Computervirus mit größerer zerstörerischer Kraft. Seitdem hat es viele Angriffe gegeben: Stuxnet zerstörte fast ein Fünftel der iranischen Atomzentrifugen, WannaCry infizierte Computer in 150 Ländern, Ransomware-Banden erbeuteten Millionen von US-Dollar und Tausende von Unternehmen waren von Datendiebstahl betroffen. Trotzdem neigen die Verantwortlichen in vielen Unternehmen dazu, das Risiko eines Cybersicherheits-Vorfalls immer noch zu unterschätzen.

Wir Menschen haben über die Jahrtausende einen Instinkt entwickelt, der uns vor Gefahren beschützt. Die Bedrohungen waren immer sehr konkret, es ging um mögliche Angriffe wilder Tiere, Naturkatastrophen oder kriegerische Auseinandersetzungen. Auf dem noch relativ jungen Feld der Cybersicherheit ist das anders. "Das Risiko eines Cyberangriffs ist ein ziemlich abstraktes Szenario", sagt Ralf Schmälzle, Assistenzprofessor an der Michigan State University. "Wir können diese Gefahr nicht mit unseren Sinnen wahrnehmen."

Schmälzle, der unter anderem erforscht, wie eine Krisenkommunikation optimal auf menschliches Verhalten abgestimmt werden kann, vertritt die Auffassung, dass Gefahr von jedem Menschen anders empfunden und eingeschätzt wird. Es handele sich um ein "unsicheres Urteil", was bedeutet, dass es sehr subjektiv ist. "Das Problem bei Computersicherheit und Viren ist, dass man das Risiko nicht spürt", sagt der Wissenschaftler.

Sind CISOs paranoid?

In vielen Unternehmen gibt es zwei Perspektiven, die des CISOs und die der anderen Stakeholder, beispielsweise Business-Manager. "Menschen, die noch nie einen Blick auf die Firewall-Logs geworfen haben, um zu sehen, wie viele Angriffe gerade stattfinden, neigen dazu, übermäßig entspannt zu sein und zu glauben, dass CISOs paranoid sind", beobachtet Stefan Tanase, Experte für Cyberintelligenz bei der CSIS Group. "Stakeholder und CISOs haben unterschiedliche Meinungen und es ist schwierig für sie, die andere Perspektive zu verstehen."

Wissenschaftler, die sich auf Risikobewertung und -management spezialisiert haben, stellen fest, dass die menschliche Wahrnehmung von Risiken auf vielerlei Weise getrübt wird. Voreingenommenheit ist ein Problem, ebenso unsere Erfahrungen mit ähnlichen Vorfällen, die uns in vermeintlicher Sicherheit wiegen lassen. Hinzu kommt unsere tägliche Arbeitslast, die uns Risiken oft verdrängen lässt - man will ja vorankommen.

Beim Einschätzen potenzieller Risiken verlassen sich Menschen oft auf ihr intuitives Gefühl für Gefahr. Die Neigung zu optimistisch oder selbstbewusst zu sein, überwiegt. Viele unterliegen auch einem Confirmation Bias (Bestätigungsfehler), indem sie Fakten nur dann akzeptieren, wenn sie ihre eigenen Erfahrungen bestätigen un dihr Weltbild stützen.

Menschen neigen zu übermäßigem Optimismus

"Menschen sind sehr unterschiedlich, wenn es um Risikoeinschätzung geht. Generell lässt sich aber sagen, dass sie dazu neigen, bei den meisten Dingen übermäßig optimistisch zu sein - auch bei der Cybersicherheit", beobachtet der US-Wissenschaftler und Buchautor Hersh Shefrin.

Und Schmälzle konstatiert sogar, dass unrealistischer Optimismus unser Urteilsvermögen vernebelt. "Wir gehen unbewusst davon aus, dass es uns besser geht als anderen, dass wir nicht eine Krankheit wie Krebs bekommen, klügere Kinder haben - und nicht so schnell Opfer eines Cyberangriffs werden", sagt er. Das ist tendenziell überall auf der Welt zu beobachten, doch scheint diese Neigung in den entwickelten Gesellschaften stärker ausgeprägt zu sein.

Eng damit verbunden ist die Illusion, alles unter Kontrolle zu haben, was in einem geschäftlichen Umfeld katastrophale Folgen zeitigen kann. Gerade Führungskräfte neigen oft dazu zu glauben, alles kontrollieren zu können. Sie spielen dann gerne die Risiken herunter. Wie trügerisch das Gefühl von Kontrolle ist, zeigt ein alt bekanntes Beispiel: Menschen fühlen sich in ihrem Auto sicher, haben aber Angst, ein Flugzeug zu besteigen. Dabei ist Fliegen statistisch gesehen viel sicherer.

Schmälzle, der "ein kleines bisschen Flugangst" hat, kann das gut verstehen. Er fügt jedoch hinzu, dass unsere Risikowahrnehmung davon beeinflusst wird, wie weit das gefährliche Ereignis in der Zukunft liegt. Wenn er einige Wochen vor einem Flug die Tickets bucht, verspürt er keine Angst. "Sobald wir dann aber auf der Startbahn beschleunigen, schleicht sich ein Gefühl von Angst ein."

Zeitlicher Abstand reduziert die Risikowahrnehmung

Das Beispiel veranschaulicht laut Schmälzle einen allgemeineren Punkt: "Wenn die Dinge zu weit weg liegen, zu weit in der Zukunft, dann 'fühlen' wir das Risiko nicht - egal, wie sehr uns Experten vor diesem oder jenem warnen." Wir verwerfen ihren Rat, weil wir Informationen bevorzugen, die uns unmittelbar angehen. Den Rest ignorieren wir. Alle Forscher wissen, dass Menschen bei der Suche nach Informationen, deren Interpretation und der Art und Weise, wie wir uns an Dinge erinnern, zu Bestätigungsfehlern neigen. Da wir sie nicht vermeiden können, müssen wir lernen mit ihnen umzugehen und sie durch kritisches Denken in Schach zu halten.

Ein nicht spürbares Risiko richtig einzuschätzen, ist eine schwierige Aufgabe, und selbst die kleinsten Dinge spielen eine Rolle - sogar die Frage, wie wir unsere eigene Arbeitsleistung einschätzen. "Die Angst vor dem Scheitern oder davor, hinter den Erwartungen zurückzubleiben, veranlasst uns dazu, zu hohe Risiken in Kauf zu nehmen", beobachtet Shefrin. "Das ist ein Hauptgrund für die Breaches in großen Unternehmen wie Yahoo oder Equifax."

Was Schmälzle am meisten verblüfft, wenn es um Cybersicherheit geht, ist die Tatsache, dass manche Unternehmen mehrmals nacheinander betroffen sind. Acer und Olympus sind Beispiele. "Normalerweise wird man sehr vorsichtig, wenn man sich einmal verbrannt hat", sagt er. "Wenn man die Hand auf eine Herdplatte, lernt man daraus normalerweise für immer." Für Cybervorfälle gelte das jedoch nicht.

Kleinere Angriffe schaffen Illusion von Beherrschbarkeit

Schmälzle glaubt, dass Unternehmen, die immer wieder angegriffen werden, aber nur überschaubare Schäden hinnehmen müssen, Schwierigkeiten haben, "sich den Worst Case plastisch vorzustellen". Im Grunde werden sie ja in ihrer Annahme, dass es so schlimm schon nicht wird, sogar bestätigt.

Tanase vom CSIS vermutet außerdem, dass eine gewisse Alarmmüdigkeit die Gesellschaft befallen hat: "Viele der Berichte über Bedrohungen werden ja tatsächlich über Gebühr dramatisiert - aus Marketing- und PR-Zwecken. Wie soll der Leser das Risiko richtig einschätzen, wenn jeder Cyberangriff 'der komplexeste' und jeder Bedrohungsakteur 'der raffinierteste' ist? Wenn alles wichtig ist, ist am Ende nichts mehr wichtig."

Obwohl unser Gehirn nicht dafür optimiert ist, das Risiko von Cybersicherheitsvorfällen korrekt einzuschätzen, können wir Einiges tun, um unsere Chancen zu verbessern. Beispielsweise kann die Cybersicherheit von ihrer älteren Schwester, der physischen Sicherheit, lernen, wie Matt Blaze in einem 2004 veröffentlichten Aufsatz vorschlug. Die Grundannahme des Papiers ist, dass fast alle Systeme mit genügend Zeit geknackt werden können.

"Vielleicht aufgrund ihrer langen Geschichte und der weitgehend stabilen technologischen Ausgangssituation streben die Experten für physische Sicherheit - insbesondere die für Tresore und Tresorräume - eine genaue Definition der zu erwartenden Fähigkeiten ihrer Gegner und deren Ressourcen an, die sie für einen erfolgreichen Angriff benötigen werden", schrieb er. "Sicherheit wird hier als Kompromiss verstanden, und zwar als ein quantifizierbarer." Entscheidender Faktor sei der Zeitraum, über den Systeme als sicher gelten könnten.

Reden wir drüber...

Tom Sammel, ehemaliger CISO und heute als Incident Response Commander bei Secureworks tätig, empfiehlt, in der Welt der Cybersicherheit häufiger über Risiken zu sprechen. Unternehmen neigten dazu, unbequeme Gespräche zu vermeiden. "In diese Welt des Schmerzes trauen sich die meisten Führungskräfte nicht hinein", sagt er. "Sie tun sich schwer damit, einen Datendiebstahl oder einen Ransomware-Angriff gedanklich durchzuspielen und sich klar zu machen, wie sich so ein Vorfall auf den laufenden Betrieb und den Ruf des Unternehmens auswirken könnte. Da es schwierig ist, das zu kalkulieren, neigen sie dazu, es zu lassen."

Einige Tools, die auf dem NIST Cybersecurity Framework aufsetzen, können Unternehmen dabei helfen, Cybersecurity-Risiken mit geringem Aufwand zu identifizieren und zu reduzieren, sagt Michael Benz von Fortium Partners. Vor allem kleine und mittelgroße Organisationen könnten davon profitieren, da sie nicht über die Ressourcen großer Konzerne verfügten. Obwohl diese Tools keineswegs perfekt seien, könnten sie einen Unterschied machen. "Ich habe die Erfahrung gemacht, dass sich viele Führungskräfte auf Hoffnung, Gebete und Glück verlassen, wenn sie eine Strategie für das Cybersecurity-Risikomanagement entwerfen", sagt Benz.

Diverse Teams identifizieren Bedrohungen besser

Doch obwohl Tools helfen können, sollten sich Unternehmen nicht nur darauf verlassen. Es geht auch darum, die besten Mitarbeiter für diese Aufgabe einzustellen. Jane Frankland, Cybersecruity-Unternehmerin und Autorin des Buches "IN Security: Why a Failure to Attract and Retain Women in Cybersecurity is Making Us All Less Safe" empfiehlt, Frauen in diese Teams einzubinden. "Unzählige Studien haben gezeigt, dass Frauen und Männer Risiken unterschiedlich einschätzen", sagt sie. "Frauen sind in der Regel risikoscheuer und genauer. Sie haben auch weniger Probleme damit, Verhaltensmuster zu verändern. Das ist eine Fähigkeit, die für das Identifizieren von Bedrohungen und den Schutz von Einrichtungen sehr hilfreich ist."

Laut Frankland punkten Frauen auch in Sachen Intuition sowie emotionaler und sozialer Intelligenz. Sie weist darauf hin, dass zahlreiche Versuche die Vorteile divers zusammengestellter Gruppen bewiesen hätten. "Uniformität des Denkens führt dazu, dass man die kreativsten Lösungen oder Taktiken verpasst, mit denen Bedrohungsakteure besiegt werden könnten", sagt sie.

Mit vielfältigen Teams, den richtigen Tools und geeigneten Prozessen können Unternehmen Risiken besser einschätzen. Wichtig wäre zudem, dass Sicherheitsexperten bessere Wege fänden, um über Risiken zu sprechen. Die COVID-19-Krise hat gezeigt, dass Menschen, die in einer ständigen Risikosituation leben, mit Zahlen nicht viel anfangen können. "Was bedeutet es wirklich, wenn ein Risiko 60 oder 80 Prozent beträgt?", fragt Schmälzle. "Praktisch kann ich mit dieser Information nichts anfangen. Wenn ich mein persönliches Risiko einschätzen will, unterteile ich in zwei Kategorien: 'könnte passieren' und 'wird wahrscheinlich nicht passieren'."

Aus diesem Grund müssen CISOs den Beteiligten erklären, dass Risiken nicht abstrakt, sondern sehr konkret sind. "Der CISO muss Zeit mit seinen Teams verbringen und verschiedene Szenarien konkret durchspielen. Sie müssen durchsprechen, wie sich verschiedene Vorfälle entwickeln könnten", empfiehlt Secureworks-Manager Sammel. "Wenn das erledigt ist, müssen die CISOs mit diesen Analyseergebnissen zum am besten geeigneten Stakeholder gehen, um gemeinsam die Auswirkungen der potenziellen Vorfälle zu quantifizieren".

Konkrete Zahlen gehören auf den Tisch

In diesen Gesprächen sollten konkrete Zahlen auf den Tisch kommen. Sammel rät den Security-Verantwortlichen, die Wahrscheinlichkeit des unerwünschten Vorfalls zu berechnen und ebenso die Größenordnung der wirtschaftlichen Folgen. CISOs sollten die Beteiligten energisch darauf hinweisen, dass es nicht ausreicht, eine Versicherung abzuschließen, alle Compliance-Kästchen anzukreuzen und einige technische Geräte zu kaufen, die das Sicherheitsniveau erhöhen könnten. Diese Maßnahmen seien notwendig, aber nicht ausreichend.

CISOs können das Risiko potenzieller Cybersicherheits-Vorfälle auch in Geld umrechnen. Sammel berichtet von einem Ransomware-Fall, in dem er dem betroffenen Unternehmen geraten habe, den Produktionsbetrieb für einige Tage komplett einzustellen, um die Probleme zu beheben. "Ich habe es für sie anhand von Zahlen aufgeschlüsselt. Ich sagte: ' Wenn Sie diesen Ausfall in Kauf nehmen, wird Sie das etwa fünf bis acht Millionen Dollar kosten. Tun Sie es nicht, und es gelingt dem Angreifer erneut einzudringen und eine Bombe zu zünden, wird Sie das mindestens zwei bis vier Wochen außer Gefecht setzen. Dann wird sich die Rechnung auf 500 Millionen Dollar belaufen."

Doch selbst wenn CISOs das Risiko in Geld umrechnen, sollten sie bedenken, dass "Fakten allein die Menschen nicht bewegen", wie US-Forscher Shefrin es ausdrückt. Sie sollten durch anschauliche Bilder und Emotionen ergänzt werden, die die Beteiligten zum Handeln auffordern. "Emotion leitet sich von 'Motion' her, der Bewegung also. Bezogen auf das Gehirn heißt das: Der Mensch wird aufgefordert, sich zu bewegen beziehungsweise zu handeln." (hv)