risiko, sicherheit und menschliche entscheidungsfindungen
DESCRIPTION
Es gibt bestimme Muster in der Entscheidungsfindung von Menschen. Diese Muster bestimmen wesentlich mit, ob man ein Sicherheitstool eingesetzt, man eine Sicherheitsoption eingeschaltet wird, oder ob man einfach den Markennamen des Monitors als Passwort nimmt, den Anhang mit den total süßen Katzenvideo öffnet, die Eingabeparameter per Mass-Assignment an die Datenbank weiterreicht. Der Vortrag gibt einen kurzen Überblick. Publikum sind Gestalter und Entwickler von IT-Systemen oder internetbasierten Diensten. Der Vortrag wurde im Februar 2014 auf der Ruby User Group Hamburg gehalten.TRANSCRIPT
1
Risiko,Risiko, Sicherheit Sicherheit
& Entscheidungen& Entscheidungen
Karsten MeierKarsten Meiermeier-online.commeier-online.com
Risiko, Sicherheit und menschliche Entscheidungsfindung
Dieser Vortrag basiert auf dem Artikel von Ryan West: „The Psychology of Security“Communications of the ACM, V51/4 April 2008
3
5 Beobachtungen5 Beobachtungen
4
Beobachtung 1
Risikofehleinschätzungen
Wir glauben, kein Risiko zu tragen
Wir sind klasse Autofahrer
Wir leben länger als der Durchschnitt
Consumerprodukte schaden uns nicht
Die Fesplatte geht nie kaputt
Wer hackt denn eine gemeinnützige Webseite?
Beobachtung 2
Wir sind unmotiviert
Wir haben viel zu tun
Schnelle Entscheidungen
Insbesondere bei Managern & Entscheidern
Hinweise werden ignoriert
Konsequenzen werden nicht alle bedacht
Beobachtung 3
➔ Sicherheit ist nur abstraktes Konzept
Konkretes Ziel soll erreicht werden
Konkretes haftet besser im Gehirn
Nix passiert bei höherer Sicherheit
Beobachtung 4
Lernen durch Rückmeldung klappt nicht mehr
Risiko wird zunächst belohnt
Falsche Entscheidungen wirken sich oft erst nach Jahren aus
Risikobewustsein ist asymetrisch
Beobachtung 5
Experiment 1
➔ Probanden erhalten 5 Euro
➔ Probanden dürfen spielen:
➔ Gewinnwahrscheinlichkeit:50% 10 Euro
50% 0 Euro
Experiment 2
➔ Probanden verlieren 5 Euro
➔ Probanden dürfen spielen:
➔ Gewinnwahrscheinlichkeit:50% -10 Euro
50% 0 Euro
Auswertung Experiment
➔ In Experiment 2 wird häufiger gespielt
➔ Wenn man Leuten etwas wegnimmt, verhalten Sie sich riskanter, um es wieder zu bekommen
Und nun?
This slide is intentional left blank
Sicheres Verhalten belohnen
Falls möglich sofortige Rückmeldung
■ Gutes Beispiel: Anzeige Passwortstärke
Gamification: Punkte und Badges,z.B. für Upload des Public Key
Bewustsein für Risiko erhöhen
➔ Sicherheitsdialoge sehr deutlich von anderen unterscheiden
➔ Abgewehrte Angriffe auch anzeigen
Riskantes Verhalten ächten
➔ Minuspunkte für "Passwort vergessen"
➔ Meldung bei Zugriff auf verbotene Resourcen
Kosten für Sicherheit reduzieren
➔ Unsere Aufgaben als Entwickler
Sicherheit möglichst einfach machen
Sichere Alternativen für unsichere Dienste
Soziale Komponente nutzen
➔ Menschen achten auf andere Menschen
Führung durch Vorbild
Kreativ sein
Das war es schon
Website von Karsten Meier:
Bilder: Gleitschirme von Karsten Meier, Puerto NaosCover CACM bei ACMElektroinstallation von Karsten Meier, CadizWürfel von openclipart.orgchart und Hand aus LibreOffice GalleryPasswortbeispiel von wordpress.comBadgesbeispiel von stackoverflow..com
meier-online.com
meieronline