:quality(80)/p7i.vogel.de/wcms/d1/4f/d14f0c11fbf6e5d56fdfeb16437e7048/0115479470.jpeg "Multi-Cloud-Management ermöglicht es Unternehmen, verschiedene Cloud-Dienste effizient zu integrieren und zu verwalten für verbesserte Flexibilität, Risikominimierung und Kosteneffizienz. (Bild: Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/98/3d98b69e471f34ee67173e2b19150983/0115412594.jpeg "Enterprise-SaaS-Angebote bringen die klassischen Geschäftsanwendungen in die Cloud – und damit hohe Flexibilität und Skalierbarkeit, um im Wettbewerb langfristig am Ball zu bleiben. (Bild: peacehunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/62/30624eca2f87ce076c5d1a130775b541/0115474244.jpeg "App- und Geräteverwaltung: Mit Microsoft Intune lässt sich der Benutzerzugriff auf Organisationsressourcen - inklusive mobiler Geräte, Desktopcomputer und virtueller Endpunkte - verwalten. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912d22362ea9150bda4edbeb628f2ecf/0115212768.jpeg "Mit der zunehmenden Verbreitung von Cloud Computing änderten sich auch die klassischen Software-Lizenzen - heutzutage sind Abonnement-Modelle, so genannte Subscriptions gängige Methoden der Software-Beschaffung. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/a1/f7/a1f7f8cdb0d4b00cb4e375692c9890ea/0115336164.jpeg "Nachhaltigkeit ist das Gebot der Stunde: das gilt auch für die moderne Softwareentwicklung. Wie Green Coding im Cloud-Zeitalter funktionieren kann, erklärt Marcel Russ von Exxeta im Beitrag. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/c1/73c18fce286de13bff07a3e0f3cf8490/0115520005.jpeg "„Rise with SAP“ bietet als All-in-One-Service viele Vorteile, lässt aber die Anwender mit vielen Arbeitsschritten alleine; Managed Service Provider leisten Hilfestellung für überforderte IT-Abteilungen. (Bild: Me studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/2f/882fac0560e86914e4cb4d400bf81296/0115521215.jpeg "Das Release 2023.11.1 von grommunio führt einen Open-Source-Rewrite der Exchange Web Services ein. (Bild: grommunio)")
:quality(80)/p7i.vogel.de/wcms/44/3c/443c56033096d4c46b82ee981747129a/0115443750.jpeg "Ein „künstlich intelligentes“ Ballett gehörte zu den Showeinlagen der Workday Rising EMEA-Konferenz. (Bild: Müller)")
:quality(80)/p7i.vogel.de/wcms/2f/d2/2fd2661061c70a86bd3aacdf35db555d/0115412159.jpeg "Softwarepiraterie ist wieder ein Problem. Doch der Ärger bei den Herstellern schlägt noch größere Wellen. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/30/88/30888c59780c6e7421fe8e54d3f6b832/0115444329.jpeg "Canonical hat eine „Micro Cloud“ vorgestellt, eine Open-Source-Lösung, die einfach, weitgehend automatisiert und sicher betrieben werden könne. (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ca/b9/cab94fe31214a2a6adb0bf734ed78eda/0115377499.jpeg "Die Delos Cloud GmbH wurde erst im vergangenen Jahr gegründet. Sie soll eine souveräne Cloud-Plattform für den öffentlichen Dienst entwickeln – basierend auf Azure von Microsoft. (Bild: frei lizenziert, Coernl / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2d/b4/2db4fe8d4c7794c86d036465a2badd80/0115242134.jpeg "Vom 6. bis zum 9. November 2023 hat in Barcelona die Veranstaltung „VMware Explore 2023“ stattgefunden. Vielleicht war es die letzte Konferenz dieser Art, haben viele Besucher mehr oder weniger laut überlegt. (Bild: VMware )")
:quality(80)/p7i.vogel.de/wcms/12/6a/126a5160cdf5d91408c07621988fc04d/0115491197.jpeg "Die Cloud sorgt für positive ROIs, wie ein aktueller Report von MIT Technology Review und Infosys Cobalt zeigt. (Bild: Michaela)")
:quality(80)/p7i.vogel.de/wcms/33/f3/33f3ba2d02a3ce977158ca59bb74f7c2/0115032740.jpeg "VMware-Kunden fühlen sich von den Lizenzvorgaben ihres Software-Liferenten bedoht und manche flüchten .... zur Konkurrenz. (Bild: GraffiTimi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/ea/e5ea917b3c394033e9a33f64a862648d/0115393557.jpeg "Cyberangriffe mit Ransomware sind nach Einschätzung des BSI nach wie vor die größte Bedrohung für Wirtschaft und Verwaltung. Sie verursachen einen Großteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen. (©MH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/d9/65d9fcb5f8f83f264671e8f62c4ff615/0115174800.jpeg "(Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/c4/e1/c4e1280ea1e8075ce49f0d40091ee55e/0115209201.jpeg "Nicht immer sind sich Unternehmen und ihre Mitarbeiter drohender Risiken bewusst. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/4b/9c/4b9c0bd0d9be24bf0878ccc3fa6b2624/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/54/1a/541a51ee78f099d577ebef88748c98de/0115421247.jpeg "Die ausufernde technische Infrastruktur erfordert eine neue Kategorie von Integrationsplattformen, die den Anforderungen der Nutzer gerecht wird und Datensilos auflöst. (Bild: Software AG)")
:quality(80)/p7i.vogel.de/wcms/59/96/599648de637a03f0c1b5482c762fbd96/0115418433.jpeg "Aus der Nutzung von SAP ADM ergeben sich nicht nur technische, sondern vor allem wirtschaftliche Vorteile: Die Produktivität von IT-Abteilungen und der Projektteams wird höher. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/72/56721511461fd1c95e13fdbda06976b1/0115201012.jpeg "Die Impossible Cloud verspricht, die Cloud „neu zu denken“. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/10/11/10113dd28b98cf89cc37c0a32e43748b/0115171270.jpeg "Oracle und Microsoft sind eine mehrjährige Vereinbarung für das Inferencing von KI-Modellen eingegangen. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/48/fd/48fdd5e4afaa56c7804df43af083898a/0115513692.jpeg "91 Prozent der befragten Unternehmen kämpfen mit steigenden Preisen, während geplante Investitionen für KI und Machine Learning deutlich zunehmen. (Bild: tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/95/bb956c47724c3baa54af89189bb36747/0115598503.jpeg "Aus der verstärkten Kooperation zwischen SpaceNet und Softiq geht das Joint Venture Softiq Deutschland hervor. (Bild: Tumisu)")
:quality(80)/p7i.vogel.de/wcms/a8/62/a862d5cd1d593e259b53205f46c234e9/0115654474.jpeg "Bei der Umstellung von „Perpetual“-Lizenz auf ein „Subscription“-Modell gibt es wichtige Punkte zu beachten. Welche das sind, erfahren Sie in dieser neuen Podcast-Folge. (Bild: comdivision / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/f1/50/f1501494a783487718263fc201b5a219/0115023358.jpeg "Die SAP hielt ihre TechEd 2023 in Bangalore, Indien, sowie virtuell ab. (Bild: SAP)")
:quality(80)/p7i.vogel.de/wcms/c7/36/c736f7a78dfe236e4a6a34b6536de317/0114891083.jpeg "Immer wieder heißt es, ChatGPT könne den Arbeitsalltag erleichtern. Wie kann das aussehen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/71/997164de5cda0e0179f12f1e92c65ae7/0114997140.jpeg "Low-Code-Entwicklungsplattformen reduzieren die Komplexität cloud-nativer Entwicklung und erlauben beispielsweise die Automatisierung zeitaufwändiger (Programmier-)Prozesse. (Bild: Ivelin Radkov - stock.adobe.com)")
Kognitive Verzerrungen gefährden die IT-Sicherheit – Teil 2 Zusammen sind wir sicherer, oder?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/5a/645a1018bd625/profilbild.jpeg "profilbild (i-doit pro)")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Kognitive Verzerrungen hat jeder Mensch, denn unser Gehirn ist darauf ausgelegt, effizient zu denken und Entscheidungen zu treffen. Im ersten Teil wurden diverse Biases vorgestellt und auf die Wirkung auf den einzelnen Menschen eingegangen. Im zweiten Teil stehen die Zusammenarbeit und die Implementierung von Software im Fokus.
Um Sicherheitsvorfälle zu vermeiden, können verschiedene Maßnahmen ergriffen werden. Doch wer trägt die Verantwortung in der Implementierung und im Betrieb? Ist es ein Teammitglied oder eine IT-Sicherheitsfachkraft?
Im schlimmsten Fall fühlt sich niemand für das Thema verantwortlich. Ein Grund dafür könnte sein, dass die IT-Sicherheit nicht explizit in die Anforderungen oder ins Budget aufgenommen wurde. Falls früher oder später das Thema doch aufkommt, ducken sich Teammitglieder weg und stecken den Kopf in den Sand (Ostrich-Effekt). Mit gefährlichem Halbwissen möchte kaum jemand die Verantwortung übernehmen und die Konsequenzen dafür tragen müssen. Dabei unterschätzen sich viele Mitarbeitende. Wenn die Situation kein Budget für Security(-Fachkräfte) vorsieht, kann jede/r einzelne mit seinem Halbwissen mehr zu einem sichereren Ergebnis beitragen, als nichts zu tun.
Gleichzeitig gibt es Menschen, die sich mit Security-Themen halbwegs auseinandergesetzt haben und sich eventuell selbst über- und andere unterschätzen (Dunning-Kruger-Effekt). Während sich jemand mit dem Thema hervorheben möchte, wagen es andere Personen gegebenenfalls gar nicht mehr, Einwände oder andere Vorschläge zu äußern. Wenn vermeintliche Profis nicht weiter hinterfragt und deren Vorschläge vertraut werden, kann dies dazu führen, dass eine Firewall oder ein Antivirenprogramm installiert wird, jedoch ohne Konfiguration. Damit kann ein falsches Gefühl von Sicherheit, als auch ein schlechtes Teamklima erzeugt werden.
Andererseits gibt es auch den Fall, dass man nicht sich überschätzt, sondern andere. Sprüche wie „Das ist doch Standard, das sollte doch wirklich jede/r wissen“ könnte Teammitglieder dazu bringen, nicht noch mal nachzufragen, um sich nicht als „unwissend“ outen zu müssen. Dies kann zur Folge haben, dass nach Lösungen im Internet gesucht wird, die vielleicht gar nicht passend sind wie zum Beispiel beim Passwort-Hashing. Die möglichen Suchanfrage wären endlos und am Ende könnte das Passwort Base64 „codiert“ gespeichert werden.
Um der Wichtigkeit von IT-Sicherheit Betonung zu verleihen, wird oft auch ein negatives Framing eingesetzt, um die negativen Folgen herauszustellen. Dies kann den positiven Effekt haben, sich mehr mit der IT-Sicherheitsinfrastruktur auseinandersetzen und sie zu hinterfragen. Insbesondere wenn es um die Frage geht: Welche Vorfälle hatten wir bereits? Die Verfügbarkeitsverzerrung könnte glauben lassen, man wäre gut aufgestellt, wenn bisher keine Sicherheitsvorfälle passiert sind, weil dann wird in Zukunft mit Sicherheit auch nichts passieren. Das kann sein, muss aber nicht, wenn neue Angriffstechniken ausprobiert werden und ein Unternehmen plötzlich doch zur Zielscheibe wird. Verschiedene Produktentwickler nutzen dieses negatives Framing, um ihre Security-Produkte zu vermarkten.
Intervention
Unabhängig davon, ob zu wenig Präventionsarbeit geleistet wurde, Software nicht richtig gewartet wurde oder neue Angriffstechniken hinzugekommen sind: Intervention wird immer Teil der Sicherheitsarbeit bleiben. Genauso wichtig wie bei der Prävention ist das Motto: Nicht den Kopf in den Sand stecken, wenn ein Sicherheitsvorfall auftritt. Zu hoffen, dass beispielsweise bei einer Attacke schon nichts passiert ist und sie sich hoffentlich nicht wiederholt, kann die IT-Sicherheit massiv gefährden.
Biases können auch die Suche nach Sicherheitslücken und deren Behebung erschweren oder verlängern. Der Ankereffekt gefährdet die Sicherheit, wenn sich zum Beispiel Analysten zu Beginn an einer Theorie festhalten und auch dann nicht von dem „Anker“ abweichen, wenn die Lösung des Problems ganz woanders liegt. Wird die Aufmerksamkeit nur auf eine (Anker-)-Information gelenkt, kann es passieren, dass andere wichtige Merkmale übersehen werden. Insbesondere, wenn sich jemand unsicher fühlt und einen Rat oder eine (Anker-)-Empfehlung einholt.
Empfehlungen basieren oft auf Erfahrungen, damit können Verfügbarkeitsverzerrungen die Person ebenfalls beeinflussen. Unter anderem können diese auf der Grundlage der aktuellen Trends oder Informationen getroffen werden, die dem Empfehlenden zuerst in den Sinn gekommen sind. Oder sie denken häufig an Ursachen oder Probleme, die mit ihren eigenen Theorien oder Erkenntnissen übereinstimmen. Diese selektive Wahrnehmung des Confirmation Bias kann von den tatsächlichen Bedrohungen ablenken.
Wenn Nutzende in einen Sicherheitsvorfall involviert sind, können wieder Biases auftreten. Der Attributionsfehler kann einen Sicherheitsvorfall herunterspielen, der vielleicht doch mehr Analyse bedarf. Sicherheitsanalysten und Software-Entwickelnde scherzen oftmals über PEBKAC (Problem Exists Between Keyboard and Chair) und „id10t“-Nutzenden, die Risiken verursachen oder Probleme mit der Technologie haben. Oft werden unerfahrene Nutzende charakterisiert als weniger fähig, weniger intelligent und dazu neigend aus Bequemlichkeit Fehler zu machen. Durch diese Hypothesen können Fehler übersehen werden.
Aber in der Implementierung, oder?
Gehört es zur Datensicherheit, dass die Daten der Endnutzenden nicht gegen sie verwendet werden? Wenn ja, gilt es auch den psychologischen Schutz und nicht nur die CIA-Schutzziele zu sichern. Wenn User aufgrund ihrer angegebenen Daten diskriminiert werden, gefährdet dies auch die IT-Sicherheit. Beim Identitätsdiebstahl scheint die Situation klar: Wenn Kreditkartendaten abgegriffen und verwendet werden, entsteht ein Schaden. Es entsteht ebenfalls ein Schaden, wenn eine Person aufgrund ihrer (Charakter-)Eigenschaften einen Kredit nicht erhält, wie im Fall von Apple. Es wurde bekannt, dass die KI-Lösung Frauen weniger Kredit gewährt hat als Männern. Falls Verzerrungen in Software eingebaut werden, betrifft dies auch die Sicherheit, da nicht nur dem Kunden ein (finanzieller) Schaden zugefügt wird, sondern auch dem Unternehmen. Hinzu kommt der Imageschaden, wenn solche Fehler bekannt werden.
Es wird nicht nur die Seite „Es sollte nichts Schadhaftes in das System eindringen, sodass kein Schaden für das Unternehmen oder den Kunden entsteht“ betrachtet, sondern auch die Seite „Das System soll keinen Schaden nach außen geben, sodass kein Schaden für Unternehmen oder den Kunden entsteht“.
Was können wir dagegen tun?
Zum einem können wir uns unseren unbewussten Verzerrungen bewusstwerden und dem Bias Blind Spot entkommen. Dies ermöglicht es uns, uns selbst zu hinterfragen. Das Bewusstsein zu schaffen und zu behalten, erfordert kontinuierliches Training. Eine Phishing Kampagne beispielsweise muss regelmäßig wiederholt werden, da der Effekt und das Bewusstsein für Phishing E-Mails sehr schnell nachlässt (Verfügbarkeitsheuristik).
Zum anderen spielt auch Diversität eine große Rolle, denn Menschen mit unterschiedlich ausgeprägten kognitiven Verzerrungen können diese wiederum aufwiegen beziehungsweise aufheben, wenn sie optimal zusammenarbeiten. Unterschiedliche Blickwinkel in offener Kommunikation beleuchten verschiedene Charaktereigenschaften, verschiedene Verzerrungen und sind in Summe weniger diskriminierend, robuster, aufmerksamer gegenüber verschiedenen Dingen und erhöhen somit auch die IT-Sicherheit. Dabei ist es wichtig, sich und auch andere genauso wenig zu überschätzen wie zu unterschätzen, sondern besser zu wertschätzen. Eine offene Fehlerkultur, in der gute und schlechte Erfahrungen geteilt werden, kann die IT-Sicherheit nur stärken.
* Der Autor Vivien Schiller ist als Senior Software Engineer bei Adesso tätig. Sie unterstützt Projektteams in der Sicherheit von Webanwendungen und hält Schulungen im Bereich Kryptographie und Security Awareness. Für den Menschen nutzbare IT-Sicherheitslösungen stehen für sie im Fokus, dafür braucht es innovative und kreative Ideen, daher setzt sie sich für mehr Diversität in der Softwareentwicklung ein.
(ID:47850987)
:quality(80)/p7i.vogel.de/wcms/eb/74/eb74be6dfcb712387d07fcdd75ddbd4f/0113990203.jpeg "KI spiegelt Vorurteile und fehlerhafte oder unvoollständige Trainingsdaten wider und sollte deshalb stetig getestet werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/d8/07/d8070790f2552fe09618cb32ce14949f/0114526064.jpeg "Der Schutz von Identitäten gehört heute als essenzieller Bestandteil in jedes Security-Konzept. (Bild: spyarm - stock.adobe.com)")