Risiko, Sicherheit und menschliche Entscheidungsfindungen.

Warum ist der Mensch oft das schwächste Glied beim Absichern von IT? Der Forscher Ryan West hat einen Artikel veröffentlicht, in dem Muster in der menschlichen Entscheidungsfindung untersucht werden. Diese Muster führen oft dazu, das Menschen sich entweder unbewusst oder sogar gegen besseres Wissen für unsichere Lösungen entscheiden. Seine Erkenntnisse habe ich zu einem Vortrag verdichtet, den ich am 12.2.2014 bei der Hamburger Ruby Usergroup gehalten habe.

Der Originalartikel ist unter dem Titel „The Psychology of Security“ in den Communications of the ACM erschienen.Zunächst werden fünf psychologische Beobachtungen der menschlichen Entscheidungsfindung vorgestellt:

  1. Nutzer glauben persönlich kein Risiko zu tragen.
  2. Nutzer sind nicht dumm, sondern oft nur unmotiviert
  3. Sicherheit ist nur abstrakt. Konkretes haftet besser im Gehirn.
  4. Lernen funktioniert gut mit Rückkopplung.
  5. Risikobewusstsein ist asymmetrisch. Wenn Menschen etwas weggenommen wird, nehmen Sie oft ein höheres Risiko in Kauf, um es wieder zu bekommen.

Folgende Prinzipien können helfen, um Menschen zum sicheren Umgang mit IT-Systemen zu bewegen:

  1.  Unmittelbare Rückmeldungen und sicheres Verhalten belohnen.
  2.  Bewusstsein für Risiko erhöhen.
  3.  Riskantes Verhalten ächten
  4.  Kosten für sicheres Verhalten reduzieren.
  5.  Sozial Komponente nutzen.