Sicherheit
28.04.2021
Cyberpsychologie
1. Teil: „Sicherheitsvorfälle sind Charakterfrage“

Sicherheitsvorfälle sind Charakterfrage

Autor:
CyberpsychologieCyberpsychologieCyberpsychologie
Eset
Welcher Charaktertyp läuft eher Gefahr, Opfer eines bestimmten Cyberangriffes zu werden? Dieser Fragestellung ist der IT-Security-Spezialist Eset zusammen mit den Geschäftspsychologieexperten von Myers-Briggs nachgegangen.
Viele Sicherheitsexperten sind sich einig, dass der Mensch als eines der größten Sicherheitsrisikos in einem Unternehmen gilt. Aber warum klicken manche Mitarbeiter auf Links, laden Daten herunter oder nutzen privates Equipment, obwohl Compliance und Schulungen genau dies verbieten? Diesen und weiteren Fragen sind der IT-Security-Hersteller Eset und das Unternehmen für Geschäftspsychologie, Myers-Briggs, aus verhaltenspsychologischer Sicht nachgegangen. Für die Analyse wurden über 100 IT-Sicherheitsverantwortliche befragt und deren Einstellungen und Erfahrungswerte ausgewertet.
Und die Ergebnisse überraschten: Offensichtlich spielt der Charakter des Angestellten eine entscheidende Rolle, ob es zu einem Security-Vorfall kommen wird oder nicht.

Acht Charaktere

So stellen die Experten fest, dass Alltagsstress für die IT-Security eine große Rolle spielt. In der Studie kristallisierten sich acht Charaktere (der Aktive, Entdecker, Anführer, Emotionale, Bewahrer, Visionär, Analyst und Gewissenhafte) heraus, die unterschiedlich mit Stress umgehen und in der Folge ein spezielles Verhalten in Securityfragen zeigten.
Beispielsweise ist "Der Aktive" analytisch, kontaktfreudig, logisch denkend und einfallsreich. Ihn stressen theoretisch abstrakte Aufgaben ohne aktuelle, praktische Anwendungen. Dies führt laut der Analyse später zu einem übermütigen, gefährlichen Verhalten und einer Selbstüberschätzung.
Im Gegensatz dazu ist "Der Gewissenhafte" meistens kooperativ, bescheiden und anpassungsfähig sowie sanft und loyal. Er gerät unter Stress, wenn er mit unflexiblen und unreflektierten Menschen zusammenarbeiten soll. Unter Druck ignoriert laut Studie der Gewissenhafte dann Fakten und Regeln, die nicht in das selbst entworfene Bild passen und arbeitet zwanghaft an der für ihn optimalen Lösung - im schlimmsten Fall auf Kosten der Sicherheit.
2. Teil: „Malware contra Charakter“

Malware contra Charakter

Die überwiegende Zahl von Cyberangriffen ist nicht nur wegen der Fähigkeiten der Hacker erfolgreich, sondern auch aufgrund menschlicher Fehler oder Versehen. Laut der Studie könnten Persönlichkeitstypen, denen Entscheidungsfreudigkeit, Realitätsnähe und Klarheit zugeschrieben werden, anfälliger für bösartige Downloads sein.
Gleiches gilt für Menschen mit ausgeprägtem Organisationstalent und auch diejenigen, die mit eigenwilligen oder fantasievollen Arbeitsweisen auffallen. Während diese Mitarbeiter gewöhnlich das Sicherheitsprotokoll Schritt für Schritt abarbeiten, könnten Zeitdruck und Stress dazu führen, dass sie der Effizienz zuliebe eine schnelle und potenziell gefährliche Entscheidung fällen.

Phishing zielt auf selbstbewusste, positive Menschen ab

Phishing-Mails zählen zu den gefährlichsten Angriffsvektoren - und zu den erfolgreichsten. Inzwischen sind die fingierten Nachrichten so täuschend echt gestaltet, dass selbst Experten mehrfach hinschauen müssen, um sie zu entlarven. Für den Betrug per Phishing scheinen laut Studie insbesondere die Persönlichkeitstypen empfänglich zu sein, die selbstbewusst, positiv denkend und mutig durch das Leben gehen.
Auch enthusiastische und kreative Menschen, denen eine hohe Begeisterungsfähigkeit zugeschrieben wird, müssen besonders vorsichtig sein, so die Untersuchung. Diese Charaktere sollten sich in puncto IT-Sicherheit ausreichend Zeit nehmen, um die Vertrauenswürdigkeit von eingehenden Nachrichten zu überprüfen, bevor sie sie öffnen, Anhänge herunterladen oder beantworten. Besondere Vorsicht sollten sie bei E-Mails mit interessantem Inhalt oder emotionaler Aufmachung walten lassen.

Hinweise für die IT-Sicherheitsstrategie

Das Fazit der Studie lautet, dass unterschiedliche Charaktere verschieden auf Cyberbedrohungen reagieren können. Dieses Verständnis kann daher eine Schlüsselrolle in der IT-Sicherheitsstrategie von Unternehmen spielen. So könnten Firmen künftig effektivere Schulungskonzepte entwickeln, die auf die unterschiedlichen Verhaltenstypen angepasst sind.
Die Studie mit dem Titel "Cyberpsychologie: Der Faktor Mensch in puncto IT-Sicherheit" steht zum kostenlosen Download bereit.

mehr zum Thema