Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Psychologie der Sicherheit

Psychologie der Sicherheit

Es gibt bestimmte Muster in der Entscheidungsfindung von Menschen. Diese Muster bestimmen wesentlich mit, ob man ein Sicherheitstool eingesetzt, man eine Sicherheitsoption eingeschaltet wird, oder ob man einfach den Markennamen des Monitors als Passwort nimmt, den Anhang mit den total süßen Katzenvideo öffnet, die Eingabeparameter per Mass-Assignment an die Datenbank weiterreicht. Der Vortrag gibt einen kurzen Überblick.

Zielgruppe: Konzeption und Entwickler von Onlinediensten, Web, Apps oder IOT.

Karsten Meier

February 12, 2012
Tweet

More Decks by Karsten Meier

Other Decks in Programming

Transcript

  1. 1
    Risiko,
    Risiko,
    Sicherheit
    Sicherheit
    & Entscheidungen
    & Entscheidungen
    Karsten Meier
    Karsten Meier
    meier-online.com
    meier-online.com

    View full-size slide

  2. Risiko, Sicherheit und menschliche
    Entscheidungsfindung
    Dieser Vortrag basiert auf
    dem Artikel von Ryan West:
    „The Psychology of Security“
    Communications of the ACM,
    V51/4 April 2008

    View full-size slide

  3. 3
    5 Beobachtungen
    5 Beobachtungen

    View full-size slide

  4. 4
    Beobachtung 1
    Risikofehleinschätzungen

    Wir glauben, kein Risiko zu tragen

    Wir sind klasse Autofahrer

    Wir leben länger als der Durchschnitt

    Consumerprodukte schaden uns nicht

    Die Fesplatte geht nie kaputt

    Wer hackt denn eine gemeinnützige Webseite?

    View full-size slide

  5. Beobachtung 2
    Wir sind unmotiviert

    Wir haben viel zu tun

    Schnelle Entscheidungen

    Insbesondere bei Managern & Entscheidern

    Hinweise werden ignoriert

    Konsequenzen werden nicht alle bedacht

    View full-size slide

  6. Beobachtung 3

    Sicherheit ist nur abstraktes Konzept

    Konkretes Ziel soll erreicht werden

    Konkretes haftet besser im Gehirn

    Nix passiert bei höherer Sicherheit

    View full-size slide

  7. Beobachtung 4
    Lernen durch Rückmeldung klappt nicht mehr

    Risiko wird zunächst belohnt

    Falsche Entscheidungen wirken sich oft erst nach
    Jahren aus

    View full-size slide

  8. Risikobewustsein ist asymetrisch
    Beobachtung 5

    View full-size slide

  9. Experiment 1

    Probanden erhalten 5 Euro

    Probanden dürfen spielen:

    Gewinnwahrscheinlichkeit:
    50% 10 Euro
    50% 0 Euro

    View full-size slide

  10. Experiment 2

    Probanden verlieren 5 Euro

    Probanden dürfen spielen:

    Gewinnwahrscheinlichkeit:
    50% -10 Euro
    50% 0 Euro

    View full-size slide

  11. Auswertung Experiment

    In Experiment 2 wird häufiger gespielt

    Wenn man Leuten etwas wegnimmt, verhalten
    Sie sich risanter, um es wieder zu bekommen

    View full-size slide

  12. Und nun?
    This slide is intentional left blank

    View full-size slide

  13. Sicheres Verhalten belohnen
    Falls möglich sofortige Rückmeldung

    Gutes Beispiel: Anzeige Passwortstärke

    Gamification: Punkte und Badges,
    z.B. für Upload des Public Key

    View full-size slide

  14. Bewustsein für Risiko erhöhen

    Sicherheitsdialoge
    sehr deutlich von
    anderen
    unterscheiden

    Abgewehrte Angriffe
    auch anzeigen

    View full-size slide

  15. Riskantes Verhalten ächten

    Minuspunkte für
    "Passwort vergessen"

    Meldung bei Zugriff
    auf verbotene
    Resourcen

    View full-size slide

  16. Kosten für Sicherheit reduzieren

    Unsere Aufgaben als Entwickler

    Sicherheit möglichst einfach machen

    Sichere Alternativen für unsichere Dienste

    View full-size slide

  17. Soziale Komponente nutzen

    Menschen achten auf andere Menschen

    Führung durch Vorbild

    Kreativ sein

    View full-size slide

  18. Das war es schon
    Website von Karsten Meier:
    Bilder:
    Gleitschirme von Karsten Meier, Puerto Naos
    Cover CACM bei ACM
    Elektroinstallation von Karsten Meier, Cadiz
    Würfel von openclipart.org
    chart und Hand aus LibreOffice Gallery
    Passwortbeispiel von wordpress.com
    Badgesbeispiel von stackoverflow..com
    meier-online.com
    meieronline

    View full-size slide