risiko, sicherheit und menschliche entscheidungsfindungen

1

Risiko,Risiko, Sicherheit Sicherheit

& Entscheidungen& Entscheidungen

Karsten MeierKarsten Meiermeier-online.commeier-online.com

Risiko, Sicherheit und menschliche Entscheidungsfindung

Dieser Vortrag basiert auf dem Artikel von Ryan West: „The Psychology of Security“Communications of the ACM, V51/4 April 2008

3

5 Beobachtungen5 Beobachtungen

4

Beobachtung 1

Risikofehleinschätzungen

Wir glauben, kein Risiko zu tragen

Wir sind klasse Autofahrer

Wir leben länger als der Durchschnitt

Consumerprodukte schaden uns nicht

Die Fesplatte geht nie kaputt

Wer hackt denn eine gemeinnützige Webseite?

Beobachtung 2

Wir sind unmotiviert

Wir haben viel zu tun

Schnelle Entscheidungen

Insbesondere bei Managern & Entscheidern

Hinweise werden ignoriert

Konsequenzen werden nicht alle bedacht

Beobachtung 3

➔ Sicherheit ist nur abstraktes Konzept

Konkretes Ziel soll erreicht werden

Konkretes haftet besser im Gehirn

Nix passiert bei höherer Sicherheit

Beobachtung 4

Lernen durch Rückmeldung klappt nicht mehr

Risiko wird zunächst belohnt

Falsche Entscheidungen wirken sich oft erst nach Jahren aus

Risikobewustsein ist asymetrisch

Beobachtung 5

Experiment 1

➔ Probanden erhalten 5 Euro

➔ Probanden dürfen spielen:

➔ Gewinnwahrscheinlichkeit:50% 10 Euro

50% 0 Euro

Experiment 2

➔ Probanden verlieren 5 Euro

➔ Probanden dürfen spielen:

➔ Gewinnwahrscheinlichkeit:50% -10 Euro

50% 0 Euro

Auswertung Experiment

➔ In Experiment 2 wird häufiger gespielt

➔ Wenn man Leuten etwas wegnimmt, verhalten Sie sich riskanter, um es wieder zu bekommen

Und nun?

This slide is intentional left blank

Sicheres Verhalten belohnen

Falls möglich sofortige Rückmeldung

■ Gutes Beispiel: Anzeige Passwortstärke

Gamification: Punkte und Badges,z.B. für Upload des Public Key

Bewustsein für Risiko erhöhen

➔ Sicherheitsdialoge sehr deutlich von anderen unterscheiden

➔ Abgewehrte Angriffe auch anzeigen

Riskantes Verhalten ächten

➔ Minuspunkte für "Passwort vergessen"

➔ Meldung bei Zugriff auf verbotene Resourcen

Kosten für Sicherheit reduzieren

➔ Unsere Aufgaben als Entwickler

Sicherheit möglichst einfach machen

Sichere Alternativen für unsichere Dienste

Soziale Komponente nutzen

➔ Menschen achten auf andere Menschen

Führung durch Vorbild

Kreativ sein

Das war es schon

Website von Karsten Meier:

Bilder: Gleitschirme von Karsten Meier, Puerto NaosCover CACM bei ACMElektroinstallation von Karsten Meier, CadizWürfel von openclipart.orgchart und Hand aus LibreOffice GalleryPasswortbeispiel von wordpress.comBadgesbeispiel von stackoverflow..com

meier-online.com

meieronline