„Es besteht kein `Maßnahmenmangel`, sondern ein `Umsetzungsmangel`“ – so das BSI zur Lage der...
„Es besteht kein `Maßnahmenmangel`, sondern ein `Umsetzungsmangel`“ – so das BSI zur Lage der Cybersicherheit in einem Beitrag auf Linkedin.
Woran aber scheitert die Umsetzung von sicherheitsstiftenden Maßnahmen in deutschen Unternehmen?
Der Vogel-Strauss-Effekt: Wie wir Risiken schönreden und uns selbst täuschen
Nehmen wir beispielsweise die Statistik zu Eheschließungen- und Scheidungen. Obwohl bekannt ist, dass ein Großteil der Ehen in einer Scheidung enden (in Deutschland aktuell ca. 35%) gehen ausnahmslos alle Paare am Tag der Heirat davon aus, dass ihre Liebe für immer halten wird.
Ganz deutlich wird das auch, wenn es um die Einschätzung der eigenen Fähigkeit Auto zu fahren geht. Der Großteil der Autofahrer geht davon aus, deutlich besser fahren zu können als der Großteil der Autofahrer. Man muss kein Matheprofessor sein, um zu verstehen, dass die Rechnung so nicht ganz aufgeht. Solche unrealistisch optimistischen Gedanken sind in allen Menschen angelegt, egal ob es dabei nur um ein übermäßiges Selbstvertrauen geht, oder um eine Situation, bei der tatsächlich etwas auf dem Spiel steht.1
Selbst dann also, wenn uns einschlägige Zahlen zu Risiken bekannt sind, neigen wir dazu anzunehmen, dass wir selbst dennoch verschont bleiben.
Im Rahmen der D21 Digitalindex Studie konnte in Bezug auf die Auswirkungen der Digitalisierung auf Berufe und Tätigkeiten ein ähnliches Verhalten festgestellt werden:
Obwohl 76% der Befragten davon ausgehen, dass es im Zuge der Digitalisierung bis 2035 Tätigkeiten oder ganze Berufsfelder nicht mehr geben wird, gehen nur 23% davon aus, dass der Effekt sie selbst betreffen wird. Die Verfasser der Studie sprechen hier von einem “Vogel-Strauss-Effekt" indem die mögliche Bedrohung sehr wohl wahrgenommen wird, die eigene Betroffenheit aber dennoch unterschätzt wird.
Insgesamt lässt sich festhalten: Nicht sonderlich rational, aber menschlich.
Von Zigarettenpackungen lernen: Wann Furchtappelle versagen und warum
Ein weiterer Forschungsgegenstand der Psychologie sind die Wirkung sogenannter „Furchtappelle“. Es handelt sich hierbei um Botschaften, die beim Empfänger gezielt Angst auslösen und somit eine Verhaltensänderung hervorbringen sollen (ähnlich wie bei der Aufklärung über die Bedrohungslage innerhalb der IT-Sicherheit).2
Diverse Experimente belegen eine Anpassung des Verhaltens der Empfänger von Botschaften dieser Furchtappelle. Diese Verhaltensänderung ist allerdings an zwei Bedingungen geknüpft:
Die Wirkung von Angstappellen wird dann verfehlt, wenn die kommunizierte negative Konsequenz sehr viel Furcht auslöst (intensiver Furchtappell). In diesem Fall reagieren Empfänger häufig eher, indem sie die kommunizierte Bedrohung verharmlosen.
Auch die Einschätzung der eigenen Kompetenz die Bedrohung wirksam abzuwenden hat einen Einfluss darauf, ob der Furchtappell eine tatsächliche Verhaltensänderung bewirkt. Fühlen sich die Empfänger der Botschaft eher nicht in der Lage die Bedrohung wirksam zu bekämpfen, neigen sie ebenfalls dazu, diese zu verharmlosen.3
Sehr gut wird das an den Bildern zur Abschreckung auf Zigarettenschachteln erkennbar: Die Bilder sind wörtlich fürchterlich, die Kompetenz eine Krankheit abzuwehren kaum einschätzbar und so wird munter weiter geraucht unter der Annahme, dass es einen selbst schon nicht treffen wird.
Wird in der Berichterstattung und Aufklärung über Cyberkriminalität also mit sehr intensiven Furchtappellen gearbeitet, ohne gleichzeitig konkrete Handlungsempfehlungen zu geben, könnten diese ihre Wirkung verfehlen und im Extremfall sogar zu unrealistischem Optimismus als Abwehrreaktion führen.
Weiterführende Quellen:
(1) Vgl. Thaler, Richard; Sunstein, Cass (2008): Nudge – Wie man kluge Entscheidungen anstößt. Berlin.
(2) Vgl. Felser, Georg (2015): Werbe- und Konsumentenpsychologie. Berlin Heidelberg.
(3) Ebd.
