:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/25/8a2573a800c6056ea8fdbd3b75be4a6f/0111649194.jpeg "Mit generativer KI wollen SAP und Microsoft dem Fachkräftemangel begegnen. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/0a/52/0a527890d1a49aec0eec7681c66b642f/0111370569.jpeg "Das Spatial Web beschreibt die nächste Evolutionsstufe des World Wide Web mit immersivem Nutzererlebnis. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/12/a4/12a4a48595efca31a7c5d336b5690964/0111093968.jpeg "Modernes Cloud Management bedeutet vor allem auch Automation. So lässt sich die Arbeitsbelastung beim Betreiben einer Cloud-Infrastruktur reduzieren. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/50/74/5074b80b67c29ba7dae0f3d2a18ef565/0111290551.jpeg "Der Befreiungsschlag gegen Vendor Lock-in: Open Source – es gibt aber auch hier einige Regeln zu beachten. (Bild: zinco79 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/41/ae4152fb7e8354e775a61b08dd62a776/0111450846.jpeg "Mit Windows 11 22H2 hat Microsoft die Integration der Cloud-Apps in den Windows-Explorer weiter ausgebaut. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a5/25/a525b276d26f8e9050d48a5fccf0004c/0111392876.jpeg "Die Conga Revenue Lifecycle Cloud macht das Umsatzmanagement einfacher und flexibler. (Bild: Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/05/e3/05e32deef3060ac3d3062e8ac0212c31/0111695821.jpeg "Cloud Fax von Retarus macht klassische Fax-Server überflüssig. (Bild: THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/9f/8f9f044f1cb1f366ec1b59fc024108da/0111997059.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/55/45/5545ca406bfa514a17cbb2b6f89052e3/0111357194.jpeg "Unternehmen, die sich für SaaS-Lösungen entscheiden, müssen ihre Hausaufgaben hinsichtlich der eigenen IT-Sicherheit selbst machen und diese auch immer wieder auf den Prüfstand stellen. (Bild: enzozo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/b8/bdb8ca7d32882a78b17c0518b3b71852/0111696631.jpeg "Matt Hicks wurde im Juli 2022 zum President und Chief Executive Officer von Red Hat ernannt. Hier eröffnet er das Red Hat Summit 2023 in Boston. (Bild: Müller)")
:quality(80)/p7i.vogel.de/wcms/a6/0b/a60bb13d799fcf8237498ad2b2364c06/0110417630.jpeg "Laut der diesjährigen von Arcserve in Auftrag gegebenen Studie sind 59 Prozent der befragten deutschen IT-Entscheidungsträger der Meinung, die Anbieter öffentlicher Cloud-Dienste seien für den Schutz und die Wiederherstellung der gespeicherten Daten verantwortlich. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/0d/b00d8ac7f8dae9c24cb3ba1856ddcd99/0111370120.jpeg "Wenn Unternehmen die technischen und geschäftlichen Vorteile der Cloud nutzen wollen, ist es wichtig, dass sie auch die finanziellen Auswirkungen einer solchen Umstellung berücksichtigen. (Bild: Jacky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/75/b975383052c5cd2127caca39c3ef4074/0111694286.jpeg "Die 4. Generation der Intel® Xeon® Prozessoren optimiert Leistung, Effizienz und Sicherheit von Servern und Cloud-Diensten für KI-Lösungen. (Bild: Canvas)")
:quality(80)/p7i.vogel.de/wcms/bb/d5/bbd5f171a70f7d0d3304de0cd6030c48/0109278368.jpeg "Nach der Installation von Nextcloud sind einige, wichtige Schritte notwendig, um die Umgebung so sicher und gleichzeitig so stabil wie möglich zu betreiben. (Bild: frei lizenziert Micha - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/0a/38/0a383b5bb511ccf680cb8aa5b325b736/0111386397.jpeg "Der transatlantische Datenverkehr ist aus datenschutzrechtlicher Sicht noch immer nicht klar geregelt; Hoffnung keimt mit TADPF auf. (Bild: frei lizenziert Photo Mix - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/d7/90/d7900b86d43fdca58dfab36c9bdb70b7/0111406940.jpeg "Varonis bietet ein Risikomanagement für Drittanbieter-Anwendungen. (Bild: frei lizenziert manolofranco / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/4e/d1/4ed14acc9526abdbb275aac022586b24/0110957079.jpeg "Die Snowflake Manufacturing Data Cloud soll die Lieferkette stärken, die Zusammenarbeit mit Partnern und Zulieferern vereinfachen und die Produktqualität verbessern. (Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/cb/d3/cbd3ea8f142599b07ce6f623808a20b4/0111321611.jpeg "Cloud-Analysen gewinnen angesichts stetig steigender Datenmengen an Bedeutung; sie liefern das Material, mit dem moderne Knowledge Worker in Unternehmen heute arbeiten. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/aa/3daa0c8718e54b361b5761972c3983c2/0110965189.jpeg "Einer Veritas-Studie zufolge wollen 40 Prozent der Verbraucher Unternehmen künftig nicht mehr unterstützen, die Daten grundlos dauerhaft speichern und wegen der damit verbundenen Energieverschwendung zu Umweltschäden beitragen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a5/ae/a5ae6286537bab7fc3a6629d4d5809f5/0111413019.jpeg "Mangelnde IT-Optimierung belastet die entsprechenden Budgets, wie eine aktuelle Umfrage von LeanIX zeigt. (Bild: Tumisu)")
:quality(80)/p7i.vogel.de/wcms/df/32/df32d21050444e04acf3dfc4741629e5/0111354551.jpeg "Eine FinOps-Strategie lässt sich mithilfe der drei Säulen „Inform“, „Optimize“ und „Operate“ entwickeln und umsetzen. (Bild: Watchara - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/05/bc05ef8a79336137189f244034c304ef/0111306153.jpeg "Der „Stand der Technik“ – ein vermeintlich einfacher Begriff. Welche direkten Auswirkungen hat er auf die Gestaltung der eigenen Security von Unternehmen und Organisationen? (Bild: CrazyCloud - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/16/e916e1e3c86ab51296f724e899675ee4/0111041367.jpeg "OVHcloud hat mit AI Deploy einen neuen Service für KI-Anwendungen veröffentlicht. (Bild: OVHcloud)")
Kognitive Verzerrungen gefährden die IT-Sicherheit – Teil 1 Wir alle sind manipulierbar!
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Kognitive Verzerrungen (cognitive biases) hat jeder Mensch, niemand kann sich davon freisprechen. Das liegt vor allem daran, dass unser Gehirn darauf ausgelegt ist, effizient zu denken und Entscheidungen zu treffen.
Und in der Welt der IT-Sicherheit müssen viele Entscheidungen getroffen werden: Als Mensch, in der Zusammenarbeit, in der Implementierung von Software und insbesondere KI-Lösungen.
Der Kopf denkt mit zwei verschiedenen Systemen. System 1 ist das schnelle System. Durch dieses System können intuitiv schnelle, automatisierte Entscheidungen getroffen werden. Im System 2, das langsame Denksystem, muss intensiver über eine Entscheidung nachgedacht werden und viele Informationen und Faktoren werden wahrgenommen.
System 1 ist schneller und effektiver als System 2. Wie sähe eine Welt aus, in der man jeden Morgen über die Vor- und Nachteile eines morgendlichen Kaffees nachdenken würde. Man wäre ineffizient und langsam. Dabei ist einem nicht bewusst mit welchem System gerade Entscheidungen getroffen werden. Eventuell werden Entscheidungen mit System 1 getroffen, „weil man das schon immer so getan hat“, wegen dem vertrauten Bauchgefühl oder der Intuition. Durch die Schnelligkeit des System 1 wird die Entscheidung nicht hinterfragt und verursacht kognitive Verzerrungen.
Beispiele kognitiver Verzerrungen
Ankereffekt (Anchorring Effect)
Dieser Effekt tritt ein, wenn sich eine Person früh auf eine erste (Anker-) Information in einem Entscheidungsprozess festlegt. Bei Verhandlungen kann dies beispielsweise der Anfangspreis sein.
Attributionsfehler (Correspondence Bias)
Dieser Fehler beschreibt die Zuschreibung bestimmter Charaktereigenschaften, nicht aber situationsbedingten Ursachen für das Handeln von Menschen. Wenn beispielsweise ein 86-jähriger Mensch in einen Autounfall verwickelt ist, kann das Alter als Ursache für den Unfall vermutet werden, unabhängig von anderen äußeren Umständen.
Bestätigungsfehler (Confirmation Bias)
Dieser Bias beschreibt die Neigung, Informationen nach subjektiven Maßstäben zu filtern und zu interpretieren, sodass sie die eigenen Erwartungen, Meinungen und Überzeugungen bestätigen. Informationen, die diesem Standpunkt widersprechen, werden hingegen ausgeblendet.
Straußeneffekt (Ostrich Effekt)
Dieser Effekt beschreibt die Tendenz Situationen zu vermeiden, die als negativ wahrgenommen werden. Die Voreingenommenheit ist nach dem Mythos benannt, dass Strauße ihren Kopf in den Sand stecken, wenn sie Gefahr wittern.
Dunning-Kruger-Effekt (Overconfidence Bias)
Dieser Bias ist eine Form der Selbstüberschätzung. Dabei beschreibt er die Tendenz von wenig kompetenten Menschen, das eigene Können zu überschätzen und die Kompetenz anderer zu unterschätzen. Gleichzeitig unterschätzen kompetente Menschen ihre Fähigkeiten. Beispielsweise glauben die meisten Menschen besser im Auto fahren zu sein als andere.
Verfügbarkeitsheuristik
Nach dieser Heuristik schätzen Menschen die Eintrittswahrscheinlichkeit eines Ereignisses danach, wie oft sie in naher Vergangenheit ähnliche Ereignisse wahrgenommen haben. Je häufiger man auf bestimmte Informationen trifft, desto eher bleiben diese im Gedächtnis.
Framing-Effekt
Dieser Effekt bewirkt, dass unterschiedliche Formulierungen einer gleichen Information das Verhalten unterschiedlich beeinflussen kann. Das Glas kann halb voll oder halb leer sein, die Formulierung begünstigt jedoch eine positive oder negative Sichtweise.
Verzerrungsblindheit (Bias blind spot)
Bei diesem Bias glaubt man, dass Verzerrungen zwar existieren, man selbst aber eine Ausnahme darstellt und objektiv urteilt, gleichzeitig werden bei anderen solche Verhaltenseffekte erkannt.
Wir alle sind manipulierbar
Kognitive Verzerrungen können insbesondere durch Social Engineers ausgenutzt werden. Social Engineering beschreibt eine Technik zum systematischen Manipulieren menschlicher Eigenschaften (kognitiver Verzerrungen), sodass man bereitwillig Aktionen ausführt, die man normalerweise nicht durchführen würde oder dürfte. Dabei kann es sich um die Herausgabe von Informationen, die Installation von Schadsoftware oder das Tür aufhalten in das Firmengebäude handeln.
Ein Werkzeug eines Social Engineers sind Spear-Phishing-E-Mails. Ein Angreifer verschickt eine in den Kontext des Zielobjekts passende E-Mail und hofft, dass die Person die angehängte Datei herunterlädt oder auf den Link in der E-Mail klickt. Bei solchen Phishing-E-Mails kann der Confirmation Bias wirken. Man erwartet eventuell eine ähnliche E-Mail und klickt schnell auf den Link oder die Datei und denkt gar nicht lange nach, ob es eine Phishing-E-Mail hätte sein können oder nicht. Oftmals wird das Verhalten diesbezüglich nicht hinterfragt, weil man denkt, dass man auf eine Phishing-E-Mail niemals hereinfallen würde (Overconfidence Bias), oder auch weil es in der Vergangenheit noch nicht passiert ist (Verfügbarkeitsheuristik) und die Wahrscheinlichkeit dementsprechend unterschätzt wird.
Ein weiteres Beispiel sind DeepFakes. Die Bezeichnung DeepFake ist aus der Verschmelzung der Begriffe Deep Learning und Fake entstanden und bezeichnet mediale Inhalte (Video, Audio, Fotos), die authentisch wirken, aber mit Hilfe von Künstlicher Intelligenz (KI), beziehungsweise Deep Learning, verändert wurden. Ein berühmtes Beispiel dafür ist das DeepFake-Video von Barack Obama, in dem er Trump als Idioten bezeichnet. Der Confirmation Bias könnte bewirken, dass man glaubt Obama hätte diese Aussage getätigt. Wenn nun gezielt Fake News mithilfe solcher Videos verbreitet und nicht hinterfragt werden, können diese Fake News unsere Meinung beeinflussen. Dies kann so weit führen, dass Meinungen radikalisiert werden können.
Jedoch braucht es dafür nicht nur DeepFakes, Fake News oder Social Engineering. Auch heutzutage können unsere Daten verwendet werden, um uns gezielt durch Confirmation Bias und Framing in eine gewollte Richtung zu drängen. Dies geschah bereits durch Cambridge Analytica bei der US-Präsidentschaftswahl 2016, um ein bestimmtes Wahlverhalten zu fördern und bescherte Facebook seinen größten Skandal bis dato.
Doch noch einmal zurück zu den Social Engineers und ihren neuen Möglichkeiten durch den Einsatz von KI. Wenn DeepFakes immer besser werden und in Echtzeit erstellt und verwendet werden können, können sie auch in Online-Meetings-Tools eingesetzt werden. So könnte es sein, dass der Vorstand durchklingelt und schnelle Informationen verlangt. Wieder muss der betroffene Mensch schnell reagieren und eine Entscheidung treffen. Und je glaubhafter die Situation, umso eher besteht die Gefahr, auf den Social Engineer hereinzufallen und seinen Forderungen nachzugehen. Dies kann somit auf die IT-Sicherheit verschiedenster Unternehmen treffen, daher stuft der Lagebericht des BSI und die BaFin Cybercrime Perspektive DeepFakes als ein großes Sicherheitsrisiko für die Zukunft ein.
Im zweiten Teil dieses Artikels wird vermehrt auf die Auswirkung solcher Verzerrungen in der Zusammenarbeit und Implementierung in der Softwareentwicklung eingegangen. Außerdem wird aufgezeigt, was getan werden kann, damit die Wahrnehmungen des Menschen nicht zur Sicherheitslücke werden.
* Der Autor Vivien Schiller ist als Senior Software Engineer bei Adesso tätig. Sie unterstützt Projektteams in der Sicherheit von Webanwendungen und hält Schulungen im Bereich Kryptographie und Security Awareness. Für den Menschen nutzbare IT-Sicherheitslösungen stehen für sie im Fokus, dafür braucht es innovative und kreative Ideen, daher setzt sie sich für mehr Diversität in der Softwareentwicklung ein.
(ID:47850981)
:quality(80)/images.vogel.de/vogelonline/bdb/1943400/1943478/original.jpg "Cyberkriminelle versuchen immer erst so viele Informationen wie möglich über ihr Ziel zu sammeln. Wenn die öffentlich verfügbaren Informationen nicht ausreichen greifen sie meist als nächstes zum Social Engineering. (jariyawat - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940968/original.jpg "Angesichts eines Umfelds mit Unterbrechungen der Lieferkette und unvorhersehbaren Kundenwünschen müssen Automobilunternehmen sich schnell an den sich verändernden Markt anpassen können. (© Sergey Nivens - stock.adobe.com)")