Warum das Bauchgefühl bei Cyberrisiken trügt

Wir alle kennen Risiken – täglich sind wir diesen ausgesetzt – beim Sport, im Frühverkehr, beim Umgang mit dem Küchenmesser. 

Seit Anbeginn haben wir Menschen Strategien zum Umgang mit Risiken: Geht es am Rand eines Weges steil bergab, ist es selbstverständlich, langsamer und vorsichtiger zu gehen – oder gar einen alternativen Weg zu wählen. Wir sind großartige Risk Manager im Alltag – meist ohne groß darüber nachzudenken treffen wir täglich Entscheidungen „aus dem Bauch heraus“. Gerade bei Cyberrisiken kann das Bauchgefühl aber trügen – dieser Beitrag soll sich in diesem Zusammenhang mit den Grenzen der Intuition befassen.

Unsere Intuition ist eine erstaunliche Fähigkeit, die uns oft dabei hilft, schnell und effektiv Entscheidungen zu treffen. Sie beruht auf unseren Erfahrungen und unserem Wissen und ist ein wichtiger Teil unser kognitiven Fähigkeiten. Allerdings hat die Intuition auch ihre Grenzen – insbesondere bei komplexen technischen Themen wie es Cyberrisiken sind, ist unser Bauchgefühl nicht in der Lage, die richtigen Antworten zu liefern. 

Im Unterschied zu den „Alltags“risiken sind Cyberrisiken mit unseren menschlichen Sinnen schwierig zu erkennen. Während wir vielleicht noch schlampig gemachte Phishing-Attacken mit Rechtschreibfehlern und merkwürdigen Absendern entlarven (und selbst hier tappen wir zeitweise in die Falle), wird es bei Sicherheitslücken schon schwieriger. Eine Sicherheitslücke kann man weder sehen, noch hören, noch riechen – das Bauchgefühl ist daher ein schlechter Ratgeber wenn es um die Einschätzung des Risikos zu einer Sicherheitslücke geht. Gerade bei komplexen Themen wie es die Cyberrisiken sind, müssen wir uns auf technische Warnsignale verlassen, um Risiken adäquat einschätzen zu können.

Kriterien zur Risikoentscheidungen in Unternehmen

Entscheidungen, die das Risiko betreffen, haben oft weitreichende Auswirkungen auf den Erfolg eines Unternehmens. Es gilt, Chancen und Risiken  abzuwägen und Entscheidungen so zu treffen, dass die bestmögliche Balance dazwischen gehalten wird. Es gibt dabei verschiedene Faktoren, die Einfluss auf die Risikoentscheidungen haben:

1. Individuelle Risikobereitschaft der Führungskräfte

Menschen sind unterschiedlich hinsichtlich ihrer Risikobereitschaft. Bedingt durch Erfahrungen oder Persönlichkeitsmerkmale gibt es Führungskräfte, die risikofreudig sind und dazu neigen, größere Risiken einzugehen, während andere Risiken tendenziell eher vermeiden. Eine wichtige Rolle können dabei persönliche Erfahrungen spielen – erfolgreiche oder fehlgeschlagene Entscheidungen aus der Vergangenheit werden in die Überlegungen einbezogen. 

Ausgewogene Risikobereitschaft kann durch die Verteilung von Risikoentscheidungen auf ein divers besetztes Team erreicht werden.

2. Risikokultur des Unternehmens

Die Einstellung des Unternehmens spielt eine entscheidende Rolle hinsichtlich Risikoentscheidungen. Eine positive Risikokultur ermutigt Mitarbeiter, innovative Ideen zu entwickeln und neue Wege zu gehen, um Wachstum und Wettbewerbsvorteile zu erzielen. Durch den Umgang mit Risiken als Chance zur Verbesserung statt als Bedrohung entsteht ein Umfeld, in dem Lernen aus Fehlern und kontrolliertes Risikomanagement gefördert werden. Ist die Unternehmenskultur hingegen von Werten wie Stabilität und Risikovermeidung geprägt, kann dies zu einer vorsichtigen Herangehensweise an Entscheidungen führen, und es werden tendenziell eher etablierte und bewährte Maßnahmen weiter verfolgt. Während Stabilität wichtige Vorteile bietet, wie die Gewährleistung eines stabilen Geschäftsbetriebs und die Vermeidung potenzieller Risiken, kann eine zu starke Risikovermeidung Innovationen behindern und sogar den Schutz vor neu auftretenden Cyberbedrohungen beeinträchtigen. Die Dynamik und Komplexität der Cyberlandschaft erfordert oft eine proaktive Herangehensweise an die Cybersicherheit. 

Eine ausgewogene Kombination aus Stabilität und Risikobereitschaft kann dazu beitragen, die Widerstandsfähigkeit eines Unternehmens gegenüber Cyberangriffen zu stärken und gleichzeitig innovative Lösungen zu fördern.

3. Komplexität der Entscheidungen und psychologische Einflussfaktoren

Um so größer die erwarteten Auswirkungen von Entscheidungen und umso komplexer die Themenfelder, umso eher bemühen sich Menschen um rationale Entscheidungen und möchten sich auf Informationen und Fakten stützen. In komplexen Entscheidungen müssen viele verschiedene Variablen berücksichtigt werden und eine Prognose der Auswirkungen von Risiken wird schwieriger. Gerade bei diesen Entscheidungen ist die Gefahr von Fehleinschätzungen groß, die unter anderem durch psychologische Einflussfaktoren entstehen: Menschen verlassen sich auf ihre Erfahrung in (scheinbar) ähnlichen Situationen, ohne das neue Problemfeld konkret analysiert zu haben, was dazu führen kann, dass Informationen übersehen oder falsch interpretiert werden.

Der Begriff „Verfügbarkeitsheuristik“ beschreibt das Phänomen, dass Menschen Entscheidungen anhand der ihnen mit Leichtigkeit zur Verfügung stehenden Informationen treffen. Das heißt, dass Menschen vor allem in komplexen Situationen dazu neigen, sich auf leicht zugängliche Informationen zu stützen, ohne die Gesamtheit der Fakten oder die tatsächliche Relevanz zu berücksichtigen – sind die einfach zugänglichen Informationen lückenhaft, kann dies zu Fehleinschätzungen führen.

Ein weiterer Einflussfaktor ist der Bestätigungsfehler („confirmation bias“). Menschen haben die Tendenz, Informationen zu suchen und zu interpretieren, die ihre vorhandenen Überzeugungen und Annahmen bestätigen. Dies kann dazu führen, dass sie selektiv nur nach Beweisen suchen, die ihre Meinungen unterstützen, und Informationen ignorieren, die dem widersprechen. In komplexen Entscheidungen kann der Bestätigungsfehler dazu führen, dass relevante Informationen übersehen oder falsch interpretiert werden.

Stehen komplexe Entscheidungen an, können einfach verständliche und schnell zugängliche Informationen Fehleinschätzungen durch einige dieser psychologische Einflussfaktoren verringern.

4. Qualität der verfügbaren Informationen

Wenn Informationen unvollständig, unzuverlässig oder veraltet sind, werden Entscheidungen auf unsicherer Grundlage getroffen. Da in der Praxis Informationsbeschaffung mit Kosten und Personalressourcen verbunden sind, kommt es dazu, dass der Informationsbedarf nicht immer vollständlig abgedeckt werden kann.

Anschließend an den vorigen Punkt (psychologische Einflussfaktoren) ist erwiesen,  dass gerade bei komplexen Themenstellungen Informationen nur soweit in die Entscheidungen von Führungskräften einbezogen werden, als sie noch „analytisch verwertbar“ sind (vgl. Biermeier 2018, Risikomanagment). Das zeigt, dass nicht die Menge der vorhandenen Information entscheidend sein muss, sondern vor allem die Aufbereitung und die Qualität der Daten eine wichtige Rolle spielt.

Fazit: Intuitiv getroffene Entscheidungen sind in Alltagssituationen sehr brauchbar, da wir auf unserer Erfahrung und unserem Wissen beruhend schnell entscheiden können. Geht es um komplexe Themen wie Cyberrisiken, braucht es Wissen und Erfahrungswerte, die mit technischer Unterstützung gesammelt werden, um Risiken richtig einschätzen zu können.

Die Rolle von Cyber Risk Management in Unternehmen

Insbesondere für Unternehmen und Organisationen ist es wichtig, einen systematischen Umgang mit Cyberrisiken zu schaffen um Entscheidungen auf einer fundierten Datenbasis treffen zu können: Diese Aufgabe übernimmt das Cyber Risk Management.

Im Cyber Risk Management werden Risiken (Bedrohungen, Schwachstellen) identifiziert und bewertet, dementsprechend können zielgerichtete Sicherheitsmaßnahmen erfolgen und auf ihre Wirksamkeit überprüft werden. Dieses datenbasierte „Risikobild“ ist eine wertvolle Entscheidungshilfe für das Management und liefert die technischen Informationen zum Cyberrisiko. Gemeinsam mit weiteren Faktoren (Unternehmensziele, finanzielle Rahmenbedingungen) kann das Management Maßnahmen festlegen, die sich nicht alleine auf das Bauchgefühl verlassen, sondern auf objektiv gemessenen Daten und Auswertungen basieren.

Ein aktuelles und umfassendes Risikobild hat den Vorteil, dass

• automatisch identifizierte Risiken kontinuierlich als aktuelle Datenbasis zur Verfügung stehen
• objektive Kennzahlen die einfache Kommunikation zwischen CEO, CIO, CISO und IT-Manager unterstützen
• punktgenaue Maßnahmen vom Management gesetzt werden können und
• die Wirksamkeit von Maßnahmen sofort sichtbar ist.

Mit gut umgesetztem Risk Management können Unternehmen ihre Resilienz gegenüber Cyberangriffen erhöhen und ihre Assets, wie Geschäfts- und Kundendaten, schützen. Mehr noch: Wer sich auf die neuen Herausforderungen einstellt und proaktiv handelt, hat die Chance, sich entscheidende Wettbewerbsvorteile zu sichern und das Vertrauen von Kunden und Stakeholdern zu stärken.