Es gibt bestimme Muster in der Entscheidungsfindung von Menschen. Diese Muster bestimmen wesentlich mit, ob man ein Sicherheitstool eingesetzt, man eine Sicherheitsoption eingeschaltet wird, oder ob man einfach den Markennamen des Monitors als Passwort nimmt, den Anhang mit den total süßen Katzenvideo öffnet, die Eingabeparameter per Mass-Assignment an die Datenbank weiterreicht. Der Vortrag gibt einen kurzen Überblick.
Publikum sind Gestalter und Entwickler von IT-Systemen oder internetbasierten Diensten.
Der Vortrag wurde im Februar 2014 auf der Ruby User Group Hamburg gehalten.
2. Risiko, Sicherheit und menschliche
Entscheidungsfindung
Dieser Vortrag basiert auf
dem Artikel von Ryan West:
„The Psychology of Security“
Communications of the ACM,
V51/4 April 2008
4. 4
Beobachtung 1
Risikofehleinschätzungen
Wir glauben, kein Risiko zu tragen
Wir sind klasse Autofahrer
Wir leben länger als der Durchschnitt
Consumerprodukte schaden uns nicht
Die Fesplatte geht nie kaputt
Wer hackt denn eine gemeinnützige Webseite?
5. Beobachtung 2
Wir sind unmotiviert
Wir haben viel zu tun
Schnelle Entscheidungen
Insbesondere bei Managern & Entscheidern
Hinweise werden ignoriert
Konsequenzen werden nicht alle bedacht
6. Beobachtung 3
➔
Sicherheit ist nur abstraktes Konzept
Konkretes Ziel soll erreicht werden
Konkretes haftet besser im Gehirn
Nix passiert bei höherer Sicherheit
7. Beobachtung 4
Lernen durch Rückmeldung klappt nicht mehr
Risiko wird zunächst belohnt
Falsche Entscheidungen wirken sich oft erst nach
Jahren aus
11. Auswertung Experiment
➔
In Experiment 2 wird häufiger gespielt
➔
Wenn man Leuten etwas wegnimmt, verhalten
Sie sich riskanter, um es wieder zu bekommen
13. Sicheres Verhalten belohnen
Falls möglich sofortige Rückmeldung
■ Gutes Beispiel: Anzeige Passwortstärke
Gamification: Punkte und Badges,
z.B. für Upload des Public Key
14. Bewustsein für Risiko erhöhen
➔
Sicherheitsdialoge
sehr deutlich von
anderen
unterscheiden
➔
Abgewehrte Angriffe
auch anzeigen
18. Das war es schon
Website von Karsten Meier:
Bilder:
Gleitschirme von Karsten Meier, Puerto Naos
Cover CACM bei ACM
Elektroinstallation von Karsten Meier, Cadiz
Würfel von openclipart.org
chart und Hand aus LibreOffice Gallery
Passwortbeispiel von wordpress.com
Badgesbeispiel von stackoverflow..com
meier-online.com
meieronline