Denken in Fallen – Wie kognitive Verzerrungen Sicherheitsentscheidungen sabotieren - Prof. Dr. Norbert Pohlmann

Prof. Norbert Pohlmann (Institut für Internet-Sicherheit), M. Wilczek:
„Denken in Fallen – Wie kognitive Verzerrungen Sicherheitsentscheidungen sabotieren“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz,
DATAKONTEXT-Fachverlag, 6/2025

Denken in Fallen – Wie kognitive Verzerrungen Sicherheitsentscheidungen sabotieren
Trotz steigender Budgets für Cybersicherheit treffen selbst erfahrene IT-Experten systematische Fehlentscheidungen – nicht aus Unwissenheit, sondern wegen kognitiver Verzerrungen. Denn Ankereffekte, Gruppendenken oder die Kontrollillusion beeinflussen die Risikowahrnehmung, die Budgetplanung und strategische Weichenstellungen erheblich. Wer langfristig resilient bleiben will, muss diese „Denkfallen“ gezielt adressieren: durch strukturierte Entscheidungsprozesse, heterogene Teams und eine Sicherheitskultur, die Widerspruch zulässt.

Die globalen Ausgaben für Cyber-Sicherheit sollen laut IDC bis 2028 auf fast 400 Milliarden US-Doller steigen, in Deutschland werden laut Branchenverband BITKOM bereits über zehn Milliarden Euro investiert.^[2,7] Dennoch oder gerade deswegen professionalisieren sich Cyberkriminelle immer weiter: Sie agieren arbeitsteilig, hochspezialisiert und nutzen im Cybercrime-asa-Service und künstlicher Intelligenz (KI) zunehmend industrielle Strukturen.^[5,6] Das FBI schätzt, dass rund 90 Prozent aller cyberbezogenen Delikte nicht gemeldet werden.^[9] Dieses Dunkelfeld verzerrt die Risikowahrnehmung erheblich und erschwert eine realistische Einschätzung der Bedrohungslage.

Während sich viele Investitionen auf technologische Aspekte konzentrieren, rückt der menschliche Faktor häufig in den Hintergrund – obwohl er eine zentrale Angriffsfläche darstellt. Die Wirksamkeit von Cybersicherheitsmaßnahmen hängt maßgeblich vom Verhalten der Menschen ab. Doch viele unterschätzen ihre eigene Verwundbarkeit und wiegen sich fälschlicherweise in Sicherheit. ^[1,10] Selbst sogenannte „Digital Natives“ weisen oft hohe Defizite im Bewusstsein für Cyberrisiken auf. Es ist ein weitverbreiteter Irrglaube, dass ihre Technikaffinität auch mit höherer Sicherheitskompetenz einhergeht. Trotz erheblicher Investitionen in Schulungen zeigen viele Beschäftigte ein übersteigertes Vertrauen in die Fähigkeiten ihrer Organisation und ihre eigene Kompetenz zur Erkennung und Abwehr von Cyberangriffen.

Dabei beeinflussen systematische Denk- und Wahrnehmungsfehler die Entscheidungsfindung in hohem Maße. Die Wissenschaft hat inzwischen über 150 solcher Verzerrungen identifiziert, die Wahrnehmung, Informationsverarbeitung und Urteilsbildung erheblich beeinträchtigen können.^[4] Selbst erfahrene IT- und Sicherheitsexperten sind anfällig für kognitive Verzerrungen, was zu materiellen Fehlentscheidungen führen kann. Im Folgenden werden einige dieser typischen Denkfallen näher vorgestellt.

Wenn Awareness-Kampagnen an ihre Grenzen stoßen
Als Reaktion auf die zunehmende Bedrohungslage setzen viele Organisationen auf Awareness-Kampagnen, um Mitarbeiter für Cyberrisiken zu sensibilisieren. In Schulungen, E-Learnings oder simulierten Phishing-Tests sollen sie lernen, Bedrohungen frühzeitig zu erkennen und entsprechend zu handeln. Ziel ist es, eine „menschliche Firewall“ zu etablieren – ein kollektives Risikobewusstsein, das technische Schutzmechanismen ergänzt.

Das ist zunächst auch sinnvoll. Inder Praxis bleiben sie Erfolge jedoch leider oft hinter den Erwartungen zurück. Trotz regelmäßiger Trainings klicken Mitarbeiter weiterhin auf verdächtige Links, verwenden schwache Passwörter oder umgehen Sicherheitsrichtlinien.^[3,13] Häufig wird dies als mangelnde Disziplin oder fehlendes Interesse ausgelegt – eine Sichtweise, die die tieferliegenden Ursachen verkennt.

Menschliches Verhalten folgt nicht ausschließlich rationalen Regeln. Entgegen dem normativen Idealbild der Volkswirtschaftslehre, das den Menschen als homo oeconomicus charakterisiert – also als ein rational handelndes Wesen, das immer darauf abzielt, seinen Nutzen zu maximieren – weiß die Forschung schon lange, dass Menschen keine rationalen Rechenmaschinen sind. Selbst gut informierte Personen handeln in kritischen Situationen häufig nicht so, wie es die Theorie erwarten lässt.

Diese Diskrepanz liegt nicht nur an fehlendem Wissen oder mangelnder Aufmerksamkeit, sondern auch an psychologischen Denkfehlern, sogenannten kognitiven Verzerrungen. Sie wirken unbewusst, sind stabil und lassen sich nur schwer durch klassische Aufklärung beseitigen. Selbst wenn Menschen sich ihrer eigenen Schwächen bewusst sind, ändern sie deshalb nicht notwendigerweise ihr Verhalten. Oft bleibt man in gewohnten Mustern gefangen, auch wenn man deren Auswirkungen erkennt.

…

Weitere Informationen zum Thema “Denken in Fallen Wie kognitive Verzerrungen Sicherheitsentscheidungen sabotieren”

„Vertrauen ist gut Reputationssysteme sind besser – Kollektive Intelligenz für die Bewertung von IT-Sicherheitslösungen“

„To trust or not to trust Was Vertrauen schafft: Anforderungen an KI-Anbieter und -Lösungen“

„Cybersicherheit, IT-Sicherheit und Informationssicherheit – Definition und Abgrenzung“

„Warum Vertrauenswürdigkeit der Grundstein für die Digitalisierung ist“

„Modern Endpoint Security – Mehr Schutz vor Angriffen“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Trusted Computing – Ein Weg zu neuen IT-Sicherheitsarchitekturen“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„KI und IT-Sicherheit – Mehr Sicherheit, mehr Gefährdungen“

„Cybernation – Motivation/Definition/Vorgehensweise“

„Von der Perimeter Sicherheit zu Zero Trust“

„IT-Sicherheit und Künstliche Intelligenz“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„Marktplatz IT-Sicherheit: IT-Notfall“

„Marktplatz IT-Sicherheit: IT-Sicherheitstools“

„Marktplatz IT-Sicherheit: Selbstlernangebot“

„Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“

„Vertrauenswürdigkeits-Plattform“

„Interviewreihe „Köpfe der IT-Sicherheit““

„Marktplatz IT-Sicherheit – Gemeinsam für mehr IT-Sicherheit“

„IT Technologies Need to Become Significantly More Robust for the Digital Future“

„IT-Sicherheitslage in Deutschland: Unternehmen sollten ihre Cyber-Sicherheitsmaßnahmen jetzt überprüfen“

„eco-Studie: Security und digitale Identitäten“

„Gaia-X-sichere und vertrauenswürdige Ökosysteme mit souveränen Identitäten“

„Cyber-Sicherheit braucht mehr Fokus“

„IT-Sicherheitsstrategie für Deutschland“

„IT-Sicherheit für NRW 4.0 – Gemeinsam ins digitale Zeitalter. Aber sicher.“

„Human-Centered Systems Security – IT Security by People for People“

„Cyber-Sicherheit“

„Cyber-Sicherheitsstrategien“

„Cyber-Sicherheitsrisiko“

„Vertrauen“

„Vertrauenswürdigkeit“

„Angriffsfläche“

„Sicherheitsrichtlinien“

„künstlicher Intelligenz“