Wer Anwender zu mehr Sicherheit auf ihren Computern erziehen möchte, sollte sie weder mit Schauermärchen eindecken, noch sie von vornherein für dumm erklären. Doch beides wird von zynischen Technik-Experten, die durch ihre tägliche Arbeit mit den Schattenseiten im Netz konfroniert sind, gerne gemacht. Das führt bei den Nutzern allerdings zu Verunsicherung. Die britische Sozialwissenschaftlerin Jessica Barker teilte auf der Cybersicherheitskonferenz DeepSec in Wien mit rund 140 IT-Spezialisten ihr Wissen. futurezone traf die Expertin zum Gespräch.
futurezone: Von IT-Experten wird gerne von den „dummen Anwendern“ gesprochen, die im Internet alles falsch machen. Warum ist das nicht hilfreich?
Jessica Barker: Dieser Spruch verstärkt Stereotype und man setzt damit Menschen künstlich unter Druck. Wer von sich selbst glaubt, sowieso alles falsch zu machen, wird nicht dazu motiviert, es besser zu machen, sondern sagt sich: „Ich bin sowieso zu dumm, um das zu verstehen.“
Was hilft stattdessen?
Wenn man Personen das Vertrauen vermittelt, dass sie es schaffen können, wenden sie sicheres Verhalten im Netz an. Sie machen mehr Backups und Updates und installieren Anti-Viren-Software. Man muss sie dazu aktiv ermutigen und ihnen das Gefühl geben, dass sie sich gegen die Kriminalität im Netz durchsetzen können.
Gibt es weitere Beispiele für Stereotype im Technik-Bereich, die aus Ihrer Sicht einen solchen Effekt haben?
Es gibt etwa das Stereotyp, dass Frauen weniger technische Fähigkeiten hätten als Männer. In einer Studie hat man untersucht, was dieses Vorurteil mit Menschen im Bereich der Mathematik macht. Die Frauen, die mit diesem „Gender-Nachteil“ konfrontiert worden sind, schnitten tatsächlich schlechter ab als ihre männlichen Kollegen. Die Frauen, denen man eingeredet hatte, sie hätten die gleichen Chancen, waren gleich gut.
Wie schwierig ist es, dagegen anzukämpfen?
Das ist sehr schwierig. Man muss Mädchen immer wieder sagen, dass sie genauso fähig sind wie Buben – und zwar bereits in einem sehr jungen Alter. Stereotype und Vorurteile schwingen leider immer unterbewusst mit. Man kann das Gehirn auch nicht mit einem Computer vergleichen.
Menschen sind also viel einfacher zu beeinflussen als Computer?
Man hat rausgefunden, dass Menschen das Verhalten von anderen gerne nachahmen. Wenn in einem Hotelzimmer etwa ein Schild hängt, dass drei Viertel aller Gäste die Handtücher mehrfach verwenden, wird der Anteil jener, die es nur einmal verwenden schwinden. Das ist auch auf unser Online-Verhalten übertragbar und erklärt, warum Portale wie TripAdvisor oder AirBnB, die Rezensionen von Kunden anzeigen, so gut funktionieren.
Was können Techniker von Sozialwissenschaftlern sonst noch lernen?
Vor ein paar Jahren gab man in Großbritannien Online-Nutzern noch den Rat, möglichst oft seine Passwörter zu ändern. Das hat dazu geführt, dass Menschen unsichere Passwörter wählen und diese immer nur so leicht verändern, dass man sie leicht erraten kann, in dem sie etwa immer nur eine 1, einen Buchstaben oder ein ! dranhängen. Jetzt wird vom britischen National Cyber Security Center seit ein paar Jahren dazu geraten, starke Passwörter zu wählen und diese etwas länger zu behalten. Außerdem werden Nutzern die Gefahren von Passwort-Diebstahl nähergebracht. Diese Entscheidung berücksichtigt menschliches Verhalten und wurde auf Twitter von einigen Technikern anfänglich stark kritisiert.
Sie agieren selbst als Cybersecurity-Beraterin für Unternehmen. Was ist der Ratschlag, den Sie am häufigsten erteilen?
Man kann Mitarbeiter nicht durch Angst und Schrecken dazu bringen, ihr Verhalten zu ändern. Stattdessen müssen wir das Bewusstsein für Gefahren erhöhen und Menschen die Tools in die Hand geben, die sie dazu ermächtigen, sich zu helfen. Die Schock-Bilder auf Zigaretten-Packungen halten schließlich auch niemanden davon ab, zu rauchen. Man darf Unternehmen auch nie damit kommen, dass „eh alles gehackt werden kann“. Das führt dazu, dass sie gar nichts tun.
Wie erreichen Unternehmen bei ihren Mitarbeitern mehr Bewusstsein für Cyber-Sicherheit?
Sie sollten sich im Zuge einer Strategie überlegen, was für Verhaltensweisen sie erreichen wollen und ihnen dann die Tools dafür geben. Beim Ziel, die Passwort-Sicherheit zu erhöhen, sollten sie ihnen Passwort-Manager zur Verfügung stellen. Wer will, dass seine Mitarbeiter weniger häufig auf Phishing-Mails klicken, sollte ihnen die Möglichkeit geben, diese mit einem eigenen Knopf zu melden. Statt die eigenen Mitarbeiter zu verängstigen, sollten Unternehmen ihnen die Werkzeuge geben, die sie brauchen, um sich von selbst zu engagieren. Damit erhöhen sie automatisch das Bewusstsein für derartige Themen.
Über die DeepSec
Das Motto der DeepSec-Konferenz, die noch bis einschließlich Freitag, 17.11., stattfindet, lautet: „Science First“. Wissenschaftler präsentieren ihre Erkenntnisse aus dem Bereich Cybersicherheit im Imperial Riding School Renaissance Vienna Hotel. Der Eröffnungsvortrag von Jessica Barker schlug eine Brücke zwischen der Technik und dem Wesen des Menschen. Weitere Themenbereiche beleuchten die Sicherheit von Desktops, Infrastruktur, Verschlüsselung und mobilen Endgeräten. Es gibt noch Tagestickets.
Dieser Artikel erschien ursprünglich auf futurezone.at.