:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/a5/aca50b4dfd6fe448ee00272c52083d91/0110357050.jpeg "Azure OpenAI Service bietet Zugang zu KI-Modellen von OpenAI wie GPT-3, ChatGPT, DALL-E 2 und anderen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/73/3b/733ba48b0c28a33e80ddfe6ae66bc9a7/0109414498.jpeg "T-Systems offeriert mit der Open Telekom Cloud eine sichere Alternative zu den Hyperscalern. (Bild: gemeinfrei, cocoparisienne / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/0c/3f/0c3f1b4dcf6c0dabcd8a361628192d1a/0109850518.jpeg "Bei einem Cloud Data Warehouse bzw. Data-Warehouse-as-a-Service (DWaaS) betreibt, konfiguriert und managt ein Cloud-Anbieter die für das Data Warehouse benötigten Software- und Hardwareressourcen auf einer Cloud-Computing-Plattform. (Bild: frei lizenziert / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/30/c9/30c909fd2d08a194f3adafc5385a80b8/0110474841.jpeg "ServiceNow hat mit „Utah“ ein Update seiner Now-Plattform vorgestellt. (Bild: frei lizenziert manniguttenberger / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/c9/d3/c9d37d515ad72e5efde0a77b01291e70/0110340711.jpeg "Tipp: Mehr Überblick im Gmail-Postfach. (Bild: frei lizenziert Gabriele M. Reinhardt - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/9f/21/9f21f91f86a19a24517eaefff2ffe702/0110366697.jpeg "Neueste Durchbrüche bei der Verarbeitung natürlicher Sprache machen künstliche Intelligenz für den Massenmarkt tauglich und fördern die Einführung von KI auch im Contact Center. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/99/7499f1293be78462897633b51b643ec6/0110246674.jpeg "In Deutschland würde das Bruttoinlandsprodukt (BIP) pro Kopf beispielsweise um 5,2 Prozent zurückgehen. Am meisten würden jedoch kleinere Volkswirtschaften verlieren. (Bild: weyo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/39/5a393cf6af5b9b05aacab7af43598b30/0109272973.jpeg "Brooklyn Data hat im Auftrag von Fivetran einen Data Warehouse Report erstellt. (Bild: © ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/a3/fea375a60daeacbb5ab9ecd2617eafab/0109897506.jpeg "Jed Ayres, CEO von Igel, und Matthias Haas, CTO von Igel, präsentieren Igel Cosmos auf der Disrupt23 in München. (Bild: Igel)")
:quality(80)/p7i.vogel.de/wcms/e9/be/e9bef4fa2e312555d2bd6e2492735b44/0110258442.jpeg "Ein Cloud-Service macht noch keinen Sommer, erklärt Seqis in diesem Beitrag und verweist auf Probleme, mit denen sich Entwickler in Unternehmen konfrontiert sehen könnten. (Bild: frei lizenziert Joe - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/7e/ed/7eed4d8d126dfe09b86ceda41c9ce90c/0110368242.jpeg "Die DSGVO stärkt Geschäftsmodelle, bei denen die Sicherheit der Kundendaten selbstverständlich ist; globale Internetgiganten können trotz nationaler Gesetzgebungen nicht denselben Standard liefern. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/55/b4556efbe423975a04822679b148d36f/0110347850.jpeg "Radware bietet Anwendungsschutz vom Server bis zum Browser und den Clients. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/f9/fd/f9fddafc8d2c3e15741547ed7aaf3df7/0110060216.jpeg "TeamDrive bringt den Chef-Tresor ins digitale Zeitalter. (Bild: TeamDrive)")
:quality(80)/p7i.vogel.de/wcms/16/aa/16aabd4bfe9389f9e71c1120f312d3d1/0110105744.jpeg "Quick-Connect Studio von Renesas basiert auf Quick-Connect IoT, einer Plattform mit standardisierter Hardware, die über branchenübliche Schnittstellen wie PMOD, Arduino und MIKROE verfügt. (Bild: Renesas Electronics)")
:quality(80)/p7i.vogel.de/wcms/62/c3/62c35bfd956cfc23e7a6c52642d118e7/0110252508.jpeg "Aufbau hybrider Storage-Infrastrukturen, Einbindung von Objektspeichern und externen Speichern oder zertifiziertes Backup: NetApp Keystone, LucidLink und Central Data Storage machen es möglich. (Bild: Jacky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/e0/20e0f904daada9c77cbcc45708a233e4/0110339416.jpeg "Der Global Cloud Storage Index von Wasabi Technologies bildet den derzeitigen Stand von Speicherinfrastrukturen in Unternehmen aus EMEA ab. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/48/8648e26e71b6baddb1bc916755c144c8/0110172680.jpeg "Daten sind eine wichtige, aussagekräftige Informationsquelle und Mittelpunkt aller Arbeitsabläufe, da sie überall enthalten und in allen Abteilungen eine Rolle spielen – vom Marketing, über den Kundenservice bis hin zur Rechtsabteilung. (Bild: tookitook - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/59/f4594d0235247f7186bf002963c3dfdc/0110566586.jpeg "Gordon Moore: Halbleiter-Pionier, Autor von „Moore’s Law“ und Mitgründer von Intel. (Bild: Intel Coroporation)")
:quality(80)/p7i.vogel.de/wcms/77/ec/77ec84b313dca44c2cc2e172725352c5/0110234056.jpeg "Duke Energy arbeitet mit AWS zusammen, um Smart-Grid-Lösungen zu entwickeln, von denen seine Kunden profitieren und die dem Unternehmen helfen, den Übergang zu sauberer Energieerzeugung zu bewältigen. (Bild: Duke Energy)")
:quality(80)/p7i.vogel.de/wcms/a1/e6/a1e6079e89a83d872a1a8d164edc8f97/0110412957.jpeg "Angesichts einer Krise macht es keinen Sinn, den Kopf in den Sand zu stecken. (Bild: frei lizenziert Engin Akyurt - Pixabay)")
Kognitive Verzerrungen gefährden die IT-Sicherheit – Teil 1 Wir alle sind manipulierbar!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Kognitive Verzerrungen (cognitive biases) hat jeder Mensch, niemand kann sich davon freisprechen. Das liegt vor allem daran, dass unser Gehirn darauf ausgelegt ist, effizient zu denken und Entscheidungen zu treffen.
Und in der Welt der IT-Sicherheit müssen viele Entscheidungen getroffen werden: Als Mensch, in der Zusammenarbeit, in der Implementierung von Software und insbesondere KI-Lösungen.
Der Kopf denkt mit zwei verschiedenen Systemen. System 1 ist das schnelle System. Durch dieses System können intuitiv schnelle, automatisierte Entscheidungen getroffen werden. Im System 2, das langsame Denksystem, muss intensiver über eine Entscheidung nachgedacht werden und viele Informationen und Faktoren werden wahrgenommen.
System 1 ist schneller und effektiver als System 2. Wie sähe eine Welt aus, in der man jeden Morgen über die Vor- und Nachteile eines morgendlichen Kaffees nachdenken würde. Man wäre ineffizient und langsam. Dabei ist einem nicht bewusst mit welchem System gerade Entscheidungen getroffen werden. Eventuell werden Entscheidungen mit System 1 getroffen, „weil man das schon immer so getan hat“, wegen dem vertrauten Bauchgefühl oder der Intuition. Durch die Schnelligkeit des System 1 wird die Entscheidung nicht hinterfragt und verursacht kognitive Verzerrungen.
Beispiele kognitiver Verzerrungen
Ankereffekt (Anchorring Effect)
Dieser Effekt tritt ein, wenn sich eine Person früh auf eine erste (Anker-) Information in einem Entscheidungsprozess festlegt. Bei Verhandlungen kann dies beispielsweise der Anfangspreis sein.
Attributionsfehler (Correspondence Bias)
Dieser Fehler beschreibt die Zuschreibung bestimmter Charaktereigenschaften, nicht aber situationsbedingten Ursachen für das Handeln von Menschen. Wenn beispielsweise ein 86-jähriger Mensch in einen Autounfall verwickelt ist, kann das Alter als Ursache für den Unfall vermutet werden, unabhängig von anderen äußeren Umständen.
Bestätigungsfehler (Confirmation Bias)
Dieser Bias beschreibt die Neigung, Informationen nach subjektiven Maßstäben zu filtern und zu interpretieren, sodass sie die eigenen Erwartungen, Meinungen und Überzeugungen bestätigen. Informationen, die diesem Standpunkt widersprechen, werden hingegen ausgeblendet.
Straußeneffekt (Ostrich Effekt)
Dieser Effekt beschreibt die Tendenz Situationen zu vermeiden, die als negativ wahrgenommen werden. Die Voreingenommenheit ist nach dem Mythos benannt, dass Strauße ihren Kopf in den Sand stecken, wenn sie Gefahr wittern.
Dunning-Kruger-Effekt (Overconfidence Bias)
Dieser Bias ist eine Form der Selbstüberschätzung. Dabei beschreibt er die Tendenz von wenig kompetenten Menschen, das eigene Können zu überschätzen und die Kompetenz anderer zu unterschätzen. Gleichzeitig unterschätzen kompetente Menschen ihre Fähigkeiten. Beispielsweise glauben die meisten Menschen besser im Auto fahren zu sein als andere.
Verfügbarkeitsheuristik
Nach dieser Heuristik schätzen Menschen die Eintrittswahrscheinlichkeit eines Ereignisses danach, wie oft sie in naher Vergangenheit ähnliche Ereignisse wahrgenommen haben. Je häufiger man auf bestimmte Informationen trifft, desto eher bleiben diese im Gedächtnis.
Framing-Effekt
Dieser Effekt bewirkt, dass unterschiedliche Formulierungen einer gleichen Information das Verhalten unterschiedlich beeinflussen kann. Das Glas kann halb voll oder halb leer sein, die Formulierung begünstigt jedoch eine positive oder negative Sichtweise.
Verzerrungsblindheit (Bias blind spot)
Bei diesem Bias glaubt man, dass Verzerrungen zwar existieren, man selbst aber eine Ausnahme darstellt und objektiv urteilt, gleichzeitig werden bei anderen solche Verhaltenseffekte erkannt.
Wir alle sind manipulierbar
Kognitive Verzerrungen können insbesondere durch Social Engineers ausgenutzt werden. Social Engineering beschreibt eine Technik zum systematischen Manipulieren menschlicher Eigenschaften (kognitiver Verzerrungen), sodass man bereitwillig Aktionen ausführt, die man normalerweise nicht durchführen würde oder dürfte. Dabei kann es sich um die Herausgabe von Informationen, die Installation von Schadsoftware oder das Tür aufhalten in das Firmengebäude handeln.
Ein Werkzeug eines Social Engineers sind Spear-Phishing-E-Mails. Ein Angreifer verschickt eine in den Kontext des Zielobjekts passende E-Mail und hofft, dass die Person die angehängte Datei herunterlädt oder auf den Link in der E-Mail klickt. Bei solchen Phishing-E-Mails kann der Confirmation Bias wirken. Man erwartet eventuell eine ähnliche E-Mail und klickt schnell auf den Link oder die Datei und denkt gar nicht lange nach, ob es eine Phishing-E-Mail hätte sein können oder nicht. Oftmals wird das Verhalten diesbezüglich nicht hinterfragt, weil man denkt, dass man auf eine Phishing-E-Mail niemals hereinfallen würde (Overconfidence Bias), oder auch weil es in der Vergangenheit noch nicht passiert ist (Verfügbarkeitsheuristik) und die Wahrscheinlichkeit dementsprechend unterschätzt wird.
Ein weiteres Beispiel sind DeepFakes. Die Bezeichnung DeepFake ist aus der Verschmelzung der Begriffe Deep Learning und Fake entstanden und bezeichnet mediale Inhalte (Video, Audio, Fotos), die authentisch wirken, aber mit Hilfe von Künstlicher Intelligenz (KI), beziehungsweise Deep Learning, verändert wurden. Ein berühmtes Beispiel dafür ist das DeepFake-Video von Barack Obama, in dem er Trump als Idioten bezeichnet. Der Confirmation Bias könnte bewirken, dass man glaubt Obama hätte diese Aussage getätigt. Wenn nun gezielt Fake News mithilfe solcher Videos verbreitet und nicht hinterfragt werden, können diese Fake News unsere Meinung beeinflussen. Dies kann so weit führen, dass Meinungen radikalisiert werden können.
Jedoch braucht es dafür nicht nur DeepFakes, Fake News oder Social Engineering. Auch heutzutage können unsere Daten verwendet werden, um uns gezielt durch Confirmation Bias und Framing in eine gewollte Richtung zu drängen. Dies geschah bereits durch Cambridge Analytica bei der US-Präsidentschaftswahl 2016, um ein bestimmtes Wahlverhalten zu fördern und bescherte Facebook seinen größten Skandal bis dato.
Doch noch einmal zurück zu den Social Engineers und ihren neuen Möglichkeiten durch den Einsatz von KI. Wenn DeepFakes immer besser werden und in Echtzeit erstellt und verwendet werden können, können sie auch in Online-Meetings-Tools eingesetzt werden. So könnte es sein, dass der Vorstand durchklingelt und schnelle Informationen verlangt. Wieder muss der betroffene Mensch schnell reagieren und eine Entscheidung treffen. Und je glaubhafter die Situation, umso eher besteht die Gefahr, auf den Social Engineer hereinzufallen und seinen Forderungen nachzugehen. Dies kann somit auf die IT-Sicherheit verschiedenster Unternehmen treffen, daher stuft der Lagebericht des BSI und die BaFin Cybercrime Perspektive DeepFakes als ein großes Sicherheitsrisiko für die Zukunft ein.
Im zweiten Teil dieses Artikels wird vermehrt auf die Auswirkung solcher Verzerrungen in der Zusammenarbeit und Implementierung in der Softwareentwicklung eingegangen. Außerdem wird aufgezeigt, was getan werden kann, damit die Wahrnehmungen des Menschen nicht zur Sicherheitslücke werden.
* Der Autor Vivien Schiller ist als Senior Software Engineer bei Adesso tätig. Sie unterstützt Projektteams in der Sicherheit von Webanwendungen und hält Schulungen im Bereich Kryptographie und Security Awareness. Für den Menschen nutzbare IT-Sicherheitslösungen stehen für sie im Fokus, dafür braucht es innovative und kreative Ideen, daher setzt sie sich für mehr Diversität in der Softwareentwicklung ein.
(ID:47850981)
:quality(80)/images.vogel.de/vogelonline/bdb/1943400/1943478/original.jpg "Cyberkriminelle versuchen immer erst so viele Informationen wie möglich über ihr Ziel zu sammeln. Wenn die öffentlich verfügbaren Informationen nicht ausreichen greifen sie meist als nächstes zum Social Engineering. (jariyawat - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883300/1883388/original.jpg "Sicherheitsverantwortliche können sich nicht darauf verlassen, dass Cloud-Services von Erpressungsversuchen verschont bleiben. (artiemedvedev - stock.adobe.com)")