Reales Ransomware-Risiko vs. falsches Gefühl von Cybersicherheit

Eine neue Umfrage hat ergeben, dass drei Viertel der Sicherheitsexperten glauben, dass ihr Unternehmen sehr oder äußerst gut auf einen Ransomware-Angriff vorbereitet ist. Noch mehr geben an, dass sie sich mit einiger oder sehr großer Wahrscheinlichkeit innerhalb von ein oder zwei Tagen erholen werden, ohne für Ransomware zu bezahlen. Aber ihre eigene Erfolgsbilanz widerspricht diesen Antworten.

Tatsächlich geben acht von zehn der Befragten an, dass sie bereits erfolgreich von Ransomware angegriffen wurden; fast vier von zehn haben das Lösegeld gezahlt, und etwa die gleiche Anzahl musste erhebliche Ausfallzeiten hinnehmen. Darüber hinaus geben sich die Befragten bei einer Reihe von bewährten Sicherheitspraktiken, die den Erfolg künftiger Angriffe verhindern könnten, schlechte Noten. So gibt beispielsweise weniger als die Hälfte der Befragten an, dass sie über einen Notfallwiederherstellungsplan verfügen.

Die Zahlen stammen aus dem neuen Bericht State of Ransomware Readiness 2021 von Mimecast, der von Hanover Research durchgeführt wurde, und sie werfen eine beunruhigende Frage auf: Gibt es eine Diskrepanz zwischen der Art und Weise, wie Sicherheitsexperten sich selbst wahrnehmen, und ihrer tatsächlichen Fähigkeit, ihr Unternehmen zu schützen?

Sicherheit ist ein Bereich, der nicht von übermäßigem Optimismus profitiert. Deshalb ist es wichtig zu wissen, warum die Menschen ihre eigenen Risiken so häufig unterschätzen. Drei kognitive Voreingenommenheiten helfen bei der Erklärung: die Rückschau, die Optimismus-Voreingenommenheit und der Dunning-Kruger-Effekt.

Die Rückschau lässt uns glauben, dass wir bessere Entscheidungen treffen würden

Wenn wir das Ergebnis bereits kennen, haben wir in der Regel einen erheblichen Nachteil, wenn wir eine Fallstudie lesen oder einen Vorfall analysieren, nachdem er sich ereignet hat. In einer Tendenz, die als "hindsight bias" bekannt ist,[1] neigen wir dazu, die Handlungen und Lösungen der Beteiligten im Hinblick auf das bekannte Ergebnis zu beurteilen.

Außerdem schätzen wir dieses Ergebnis als wahrscheinlicher ein, als es sich zum Zeitpunkt des Vorfalls tatsächlich darstellte. Damit geben wir uns ein falsches Sicherheitsgefühl, halten uns für fähiger, als wir tatsächlich sind, und schließen daraus, dass wir nicht die gleichen Fehler machen würden wie "sie".

Wir unterschätzen das Risiko für uns selbst

Eine weitere Voreingenommenheit, die uns daran hindern kann, Risiken realistisch einzuschätzen, ist die so genannte Optimismus-Voreingenommenheit.[2] bezieht sich auf unsere Tendenz, die Wahrscheinlichkeit negativer Ereignisse zu unterschätzen und die Wahrscheinlichkeit positiver Ereignisse zu überschätzen. Daher machen sich Menschen, die rauchen, möglicherweise keine Gedanken darüber, dass sie selbst Lungenkrebs bekommen könnten.

Es ist vielleicht eine dunkle Ironie, dass Menschen, die an einer leichten Depression leiden, ihre gegenwärtige Situation und ihre Zukunftsaussichten realistischer einschätzen.[3] Dies deutet darauf hin, dass eine optimistische Weltsicht zwar sicherlich Wettbewerbsvorteile für Unternehmen mit sich bringt, dass diese aber auch mit dem versteckten Preis einer unzureichenden Vorbereitung auf Katastrophen einhergehen können.

Der Dunning-Kruger-Effekt: Wir glauben, dass wir mehr können, als wir sind

An jedem Erntedankfest sieht meine Familie gerne zu, wie mein untrainierter Onkel die Fußballspieler im Fernsehen anschreit, über ihre Fehler schimpft und sagt, dass er es besser hätte machen können. Die Ironie an der Leistung von Experten ist, dass sie so einfach aussieht, dass sie jeder machen könnte, aber nichts könnte weiter von der Wahrheit entfernt sein. Diese Fehleinschätzung führt zu einem psychologischen Phänomen, das als Dunning-Kruger-Effekt bekannt ist.[4]

Dunning-Kruger kann uns auch dazu verleiten, zu glauben, dass wir Bedrohungen wie Ransomware besser gewachsen sind, als wir es tatsächlich sind. Dieser Effekt wird jedoch schnell verschwinden, wenn wir tatsächlich mit einem Ransomware-Angriff konfrontiert werden.

Eine realistische Sichtweise gewinnen

Wie kann man die menschliche Natur bekämpfen? Im Folgenden finden Sie eine Aufschlüsselung der einzelnen Vorurteile und wie Sie deren Auswirkungen auf Ihre Leistung zähmen können:

• Einsichtsverzerrung: Die beste Möglichkeit, diese Auswirkungen auf unsere Risikobeurteilung abzuschwächen, besteht darin, jemanden aufzusuchen, der Vorfälle wie Ransomware persönlich erlebt hat. Sprechen Sie über ihre Erfahrungen. Versuchen Sie zu verstehen, wie die Ereignisse abgelaufen sind und wie sie die Situation gemeistert haben - ohne den Ausgang der Situation vorher zu kennen. Mit anderen Worten: Widerstehen Sie dem Drang, sich auf das Ergebnis zu konzentrieren, und konzentrieren Sie sich stattdessen auf den Prozess. Auf diese Weise können Sie verhindern, dass Ihre Urteile durch rückblickende Betrachtungen beeinflusst werden.
• Optimismus: Berechnen Sie die Wahrscheinlichkeit, dass Sie in diesem Jahr von Ransomware betroffen sein werden, und machen Sie sich klar, dass dies Ihre Basiswahrscheinlichkeit ist. Werfen Sie noch einmal einen Blick auf die oberste Statistik aus dem oben zitierten Bericht State of Ransomware Readiness 2021 : Acht von zehn Umfrageteilnehmern gaben an, erfolgreich von Ransomware angegriffen worden zu sein. Betrachten Sie dies als Ihre Basiswahrscheinlichkeit, innerhalb des nächsten Jahres angegriffen zu werden, und passen Sie Ihre Sicherheitsvorkehrungen entsprechend dieser Wahrscheinlichkeit an.
• Dunning-Kruger-Effekt: Machen Sie sich klar, dass Sie möglicherweise nicht besser abschneiden als andere, die bereits mit einem Ransomware-Angriff konfrontiert waren. Lernen Sie aus ihren Fehlern, aber versuchen Sie auch zu verstehen, warum sie diese Fehler gemacht haben und wie Sie sie vermeiden können.

Berechnetes Risiko

Wir sollten nicht nur verstehen, wie unsere kognitiven Voreingenommenheiten manchmal gegen uns arbeiten können, sondern auch darüber nachdenken, wie wir über Risiken denken. Das Risiko wird häufig nach der Formel Wahrscheinlichkeit X Auswirkung = Risiko berechnet. Bei der Risikobetrachtung wird die Wahrscheinlichkeitsvariable oft überbewertet und die Auswirkungsvariable unterbewertet. Dies kann dazu führen, dass wir das Potenzial für existenzielle Risiken ignorieren.[5]

Kann Ihr Unternehmen einen Ransomware-Angriff im Wert von mehreren Millionen Dollar wirklich überleben, und zwar genau jetzt, heute? Wenn nicht, dann stellt Ransomware ein existenzielles Risiko dar, das vermieden oder gemildert werden muss, auch wenn die Wahrscheinlichkeit gering ist.

Die Quintessenz

Sicherheitsexperten können von einer gesunden Dosis Pessimismus profitieren. Wenn Sie sich jetzt vor kognitiven Verzerrungen hüten, können Sie dabei helfen, Ransomware und ihre späteren Auswirkungen zu vermeiden.

[1] "Hindsight Bias," Perspektiven der psychologischen Wissenschaft

[2] "The optimism bias," Current Biology

[3] "Depressive Symptome sind mit unrealistischen negativen Vorhersagen zukünftiger Lebensereignisse verbunden," Verhaltensforschung und -therapie

[4] "Ungeschickt und unbewusst: Wie Schwierigkeiten beim Erkennen der eigenen Inkompetenz zu überhöhten Selbsteinschätzungen führen", Journal of Personality and Social Psychology

[5] "Eine Philosophie des Entwurfs einer Sicherheitsarchitektur," Wireless Personal Communications