Dunning-Kruger-Effekt, IT-Sicherheit
Die Bedrohungssituation durch Internetangriffe ist so hoch wie noch nie. Trotz dieser Tatsache sind bloß die wenigsten Unternehmen umfassend gegen äußere und innere Gefahren gewappnet. Ein in der Regel unterschätzter Grund ist, dass etliche Unternehmen die Risiken sowie Konsequenzen von Internetangriffen und Sicherheitslücken verkennen und deshalb keinerlei ausreichenden Beweggrund wahrnehmen, in eine umfassende IT-Sicherheitsstrategie einzuzahlen. Jene kognitive Verzerrung wird in der Psychologie darüber hinaus als Dunning-Kruger-Effekt bezeichnet. Was sich hinter diesem Begriff versteckt, welche Auswirkungen er auf die IT-Sicherheit hat und wie Firmen ihn vermeiden beziehungsweise minimieren können, erfahren Sie im nachfolgenden Beitrag.

Der zunehmende Einsatz digitaler Technologien erzeugt seit Jahren eine gewaltige Veränderung der Businesswelt. Innerhalb kürzester Zeit wurden bis zu diesem Datum bewährte sowie erfolgreiche Geschäftsmodelle und Geschäftsstrategien abgewertet, frische Geschäftsanforderungen formuliert sowie der geschäftliche Erfolg in vielen Bereichen erweitert. Gleichzeitig hat der Umbruch zu einer Entgrenzung der Kriminalitätsrate geleitet. Durch die wachsende Diversität netzfähiger Endpunkte, digitaler Plattformen und neuartiger Technologien öffnen sich bösartigen Akteuren mittlerweile eine Vielzahl neuer Modi Operandi mit enormen Schadenspotenzialen.

Obwohl mittlerweile 84 % der Unternehmen hierzulande von Internetkriminalität betroffen sind, stagnieren an vielen Orten die Ausgaben für eine IT-Sicherheit. Der Grund: Viele Unternehmen haben eine fehlerhafte Perzeption ihres IT-Schutzes. So werden die hausinternen IT-Sicherheitsfähigkeiten des Unternehmens aufgrund schon implementierter IT-Sicherheitsmaßnahmen oft überschätzt und die tatsächlichen Gefahren des individuellen Unternehmens übersehen oder unterschätzt.

In der Psychologie spricht man in diesem Fall auch von einem sogenannten Dunning-Kruger-Effekt.

Was besagt der Dunning-Kruger-Effekt?

Kurz zusammengefasst, dreht es sich beim Dunning-Kruger-Effekt um ein Mysterium, bei dem Menschen eine übermäßige Selbstüberschätzung der eigenen Fähigkeiten aufweisen, vor allem in Bezug auf ihr Know-how sowie ihre Kompetenzen in einem speziellen Gebiet. Das Ergebnis ist, dass sich diese Menschen irrtümlicherweise für qualifizierter halten als sie in der Tat sind und beispielsweise Schwierigkeiten haben, sich objektiv zu beurteilen und Fehler verüben, welche sich suboptimal auf ihre Dienste auswirken können.

Der Dunning-Kruger-Effekt ist auf die Ergebnisse der beiden Psychologen David Dunning sowie Justin Kruger zurückzuführen. Jene führten im Jahre 1999 Studien hinsichtlich der Selbstüberschätzung und Außendarstellung von Personen mit einem hohen Selbstbewusstsein durch. Die beiden Wissenschaftler kamen zu dem Ergebnis, dass Menschen mit geringem Wissen sowie fehlender Kompetenz häufig dazu tendieren, sich selbst zu überschätzen. Diesen mangelt es an ausreichender Selbstreflexion, um ihre Position sachlich einschätzen zu können sowie zu erkennen, dass andere diesen geistig überlegen sind.

Fehleinschätzungen sind die Regel!

Dem Dunning-Kruger-Effekt läuft man nahezu überall über den Weg.
Das vermutlich beeindruckendste Dunning-Kruger-Effekt-Exempel zeigt sich in der Kriminalgeschichte: 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Dabei verzichtete er auf jedwede Art von Vermummung, ungeachtet, dass beide Banken kameraüberwacht waren. Als sich danach die Handschellen schlossen, war seine Verwunderung beachtlich. Offenbar war er der Meinung, dass ihn Zitronensaft für eine Überwachungstechnik der Banken transparent machen würde. Nach dem gleichen Konzept wirkt schließlich auch eine „Zaubertinte“.
Ebenso berühmte Beispiele für den Dunning-Kruger-Effekt sind

  • Fußballfans, welche häufig meinen, mehr taktisches Verständnis und Ahnung vom Spiel zu haben als die professionellen Coaches
  • Das Gros der Autofahrer, die davon überzeugt sind, deutlich besser zu fahren als der Standard.
  • Wähler, welche besser wissen, was für deren Land das Ideale ist und dass sie das Land richtiger leiten könnten als die aktuelle Regierung

Erhöhte IT-Sicherheitsrisiken als Folge!

Eine solche Fehleinschätzung kann hauptsächlich im Feld der IT-Sicherheit eines Unternehmens fatale Folgen haben:

  • Erhöhtes Sicherheitsrisiko: Durch das Überschätzen der eigenen Kompetenzen und Fachkenntnisse in Bezug auf IT-Gefahren können Arbeitnehmer*innen leichter von Phishing-Angriffen reingelegt werden und unsichere Passwörter benützen, was das Risiko von Sicherheitsverletzungen erhöhen kann.
  • Mangelhafte Sicherheitskonfigurationen: Wenn Leute die eigene Fähigkeit, Netzwerke mit Sicherheit zu konfigurieren, zu hoch bewerten, kann das zu mangelhaften Sicherheitskonfigurationen leiten, die das Risiko von Angriffen erhöhen.
  • Unsichere Software-Installationen: Wenn Menschen ihre persönliche Fähigkeit, geschützte Software-Installationen umzusetzen, überschätzen, könnten sie schadende Software einspielen oder Sicherheitsupdates nicht beachten, was das Risiko von Angriffsversuchen erhöhen kann.
  • Unsichere Datenspeicherung: Wenn Leute ihre persönliche Fähigkeit, sichere Datenspeicherungspraktiken zu beachten, überbewerten, können selbige essentielle Daten ungeschützt speichern oder sie auf unsicheren Geräten speichern, was das Risiko von Datenverlust oder auch Datendiebstahl erhöhen kann.
  • Mangelnde Wachsamkeit: Wenn Leute ihre eigene Kenntnis, Bedrohungen in der IT-Sicherheit zu erfassen, zu hoch bewerten, könnten jene Phishing-Angriffe oder sonstige Bedrohungen übersehen, was ein Risiko von Angriffen maximieren kann.
  • Mangelhafte Compliance: Mitarbeiter können sich nicht der Compliance-Regeln bewusst sein oder diese nicht beachten, weil sie meinen, dass sie diese nicht einhalten müssen oder nicht wissen, wie sie diese einhalten sollen. Dies könnte zu schwerwiegenden Konsequenzen führen, wenn das Unternehmen gegen Gesetzmäßigkeiten oder Vorschriften verstößt.

Was kann man gegen den Dunning-Kruger-Effekt tun?

Um den Dunning-Kruger-Effekt in der IT-Sicherheit zu meiden, gibt es etliche Maßnahmen, die genutzt werden können:

  1. Regelmäßige Aufklärung und Sensibilisierung: Es ist wichtig, dass Menschen über den Dunning-Kruger-Effekt sowie seine Auswirkungen aufgeklärt werden, damit sie die persönlichen Fähigkeiten korrekt beurteilen können.
  2. Realistische Einschätzung der eigenen Fähigkeiten: Es ist wichtig, dass Menschen eine reelle Einschätzung der eigenen Kenntnisse haben und keinesfalls probieren, Arbeiten zu erledigen, welche sie nicht bewerkstelligen können.
  3. Einhaltung von Sicherheitsrichtlinien und -verfahren: Es ist essenziell, dass man sich an festgelegte Sicherheitsrichtlinien und -verfahren hält, um die Gefahr von Sicherheitsverletzungen zu reduzieren.
  4. Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist es bedeutend, dass Menschen miteinander kommunizieren und zusammenarbeiten, um Risiken zu verkleinern und die Sicherheit zu maximieren. Dazu zählt ebenso, dass man einander anerkennt sowie unterstützt.
  5. Risikomanagement: Ein wichtiger Teil der IT-Sicherheit ist ein Risikomanagement, bei welchem Gefahren überprüft sowie Mittel ergriffen werden, um diese Risiken zu verringern oder zu eliminieren. Hierzu zählt ebenso, dass man die Kenntnisse sowie Skills der einzelnen Teammitglieder berücksichtigt und adäquate Mittel ergreift.

Fazit: Der Dunning-Kruger-Effekt ist real!

Grundsätzlich kann man sagen, dass der Dunning-Kruger-Effekt im Bereich der IT-Sicherheit ein ernstzunehmendes Thema ist, das es zu umgehen gilt. Durch geregelte IT-Sicherheitsschulungen können Unternehmen das Know-how und die Fähigkeiten ihrer IT-Teams und Arbeitnehmer*innen in Hinsicht auf IT-Sicherheit otimieren und sicherstellen, dass diese auf dem neuesten Stand sind. Auf diese Weise können sie garantieren, dass ihre IT-Teams wie auch Mitarbeiter*innen gut vorbereitet sind, um potenziellen externen sowie internen Gefahren entgegenzuwirken und die Sicherheit der IT-Systeme zu versichern.

Möchten auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen vermeiden? Oder haben Sie noch Anliegen zum Thema? Rufen oder schreiben Sie uns gerne an. Sie erreichen uns unter 02234/68839-0 oder [email protected].