Im Internet gilt erst recht, was der Volksmund sagt: Das Böse ist immer und überall. Durch sicheres Verhalten können wir es Cyberkriminellen jedoch schwerer machen, Daten zu erbeuten oder anderen Schaden anzurichten. Aber was ist sicheres Verhalten? Was muss man tun, um sich vor Datendiebstahl und Co. zu schützen? „Darüber herrscht viel Unsicherheit, und zwar bei Menschen in aller Welt“, hat Franziska Herbert herausgefunden. Die studierte Psychologin fertigt zurzeit ihre Dissertation im Exzellenzcluster CASA an. Gemeinsam mit Prof. Dr. Markus Dürmuth, Prof. Dr. Angela Sasse und anderen Kolleg*innen hat sie eine große Umfrage durchgeführt, die den menschlichen Faktor in der IT-Sicherheit ausleuchtet.
Über 12.000 Menschen in zwölf Ländern haben an der Online-Umfrage teilgenommen, in der es darum ging, welches Verständnis Menschen von sicherem Verhalten im Cyberspace haben, welche Einstellung sie dazu haben und welchen Missverständnissen sie möglicherweise aufsitzen. Die Teilnehmenden stammten aus China, Deutschland, Großbritannien, Indien, Israel, Italien, Mexiko, Polen, Saudi-Arabien, Schweden, den USA und Südafrika. Sie repräsentieren 42 Prozent der Weltbevölkerung. Die Fragen drehten sich zum Beispiel um Ende-zu-Ende-Verschlüsselung, Surfen im WiFi, den https-Standard, Virtual Private Networks, kurz VPN, und Passwörter.
Manche Risiken sind Menschen weltweit bewusst
„Es hat sich gezeigt, dass einige Risiken durchaus allen Teilnehmenden in aller Welt gleichermaßen bekannt sind“, berichtet Franziska Herbert, die den Fragebogen selbst mit dem Team designt hat. Dazu gehört etwa das Phänomen des Shouldersurfing, bei dem Unbeteiligte private Daten durch den Blick über die Schulter eines Nutzers oder einer Nutzerin ausspähen.
Aber auch einige Missverständnisse sind offenbar weltweit verbreitet. „Es glauben zum Beispiel in allen Ländern, die wir in der Umfrage abdecken konnten, 80 Prozent der Menschen, dass es für die Sicherheit notwendig sei, sein Passwort regelmäßig zu ändern“, so Franziska Herbert. Diesen Rat haben IT-Sicherheitsspezialisten lange Zeit auch wirklich gegeben, bis sich erwiesen hat, dass dieses Vorgehen nichts Gutes bewirkt. „Die Passwörter werden dadurch nur immer unsicherer, weil man sie sich sonst nicht mehr merken kann. Besser ist es, wirklich starke Passwörter zu wählen, die nicht leicht zu knacken sind – dazu ist ein Passwort-Manager sehr hilfreich“, sagt Franziska Herbert. „Dabei kann man dann aber auch bleiben, solange die Passwörter nicht in falsche Hände geraten.“
Teilnehmende aller Länder stimmten auch der Aussage zu, dass ihr PC von Malware infiziert werden könne, wenn sie auf einen Link klicken. „Das trifft nur in wenigen Ausnahmefällen zu“, so die Forschenden, „meistens braucht es dafür noch weitere Aktionen wie die Eingabe von Daten in die über den Link aufgerufene Webseite.“
Es herrscht generelle Unsicherheit
Was die Forschenden ebenfalls weltweit feststellen konnten, war eine generelle Unsicherheit in Bezug auf IT-Sicherheitsfragen. „Das zeigt sich darin, dass die Leute bei vielen Fragen auf einer Skala von absoluter Zustimmung bis zu kompletter Ablehnung genau die Mitte gewählt haben“, so die Forscherin.
Abseits aller Gemeinsamkeiten konnten die Forschenden jedoch auch Unterschiede zwischen Teilnehmenden aus verschiedenen Ländern feststellen, vor allem in der Größenordnung der Einschätzungen. „Die größten Unterschiede haben wir hier zwischen westlichen und nicht-westlichen Ländern gefunden“, so Herbert. Zu letzteren zählen die Forschenden China, Indien, Mexiko, Saudi-Arabien und Südafrika. „Im Vergleich zu den Deutschen hatten die Teilnehmenden in allen anderen Ländern eher falsche Vorstellungen in Bezug auf Malware, Gerätesicherheit und Passwörter“, so Franziska Herbert. Die deutschen Befragten stimmen falschen Aussagen am wenigsten zu – wenn auch immer noch in mittlerem Ausmaß der Skala zwischen voller Zustimmung und kompletter Ablehnung. Die größte Zustimmung zu missverständlichen Aussagen gab es von Teilnehmenden aus China und Indien.
Zwei Beispiele aus dem Fragebogen:
„Es ist wahrscheinlicher, dass ich mir beim Besuch einer Pornowebseite Schadsoftware einfange, als wenn ich eine Webseite zum Thema Sport besuche.“ Diesem Missverständnis-Item stimmten in Deutschland etwa 49 Prozent der Befragten zu, während 75 Prozent aus Saudi-Arabien und 86 Prozent aus China dem Item zustimmten.
Der richtigen Aussage „Links in E-Mails können mich auf gefälschte Webseiten führen, um so meine Login-Daten abzufangen“ stimmten 87 Prozent der deutschen Teilnehmenden zu, und 78 Prozent der chinesischen Teilnehmenden.
Familie und Freunde können auch Widersacher sein
Alle befragten Gruppen hatten gemeinsam, dass sie in Familie und Freunden eher kein IT-Sicherheitsrisiko sehen. „Das sehen wir anders“, sagt Markus Dürmuth. Gerade wenn man sich einen Computer teile oder Passwörter weitergebe, gebe es durchaus Risiken. Im Zusammenhang mit häuslicher Gewalt oder Stalking seien es oft gerade Menschen aus dem nahen persönlichen Umfeld, die ein Risiko darstellen. „Im Freundeskreis gibt es auch Scherze im weiteren Sinne, die für das Opfer gar nicht lustig sind“, so der Forscher.
Originalveröffentlichung
Franziska Herbert, Steffen Becker, Leonie Schaewitz, Jonas Hielscher, Marvin Kowalewski, M. Angela Sasse, Yasemin Acar, Markus Dürmuth: A world full of privacy and security (mis)conceptions? Findings of a representative survey in 12 countries, vorgestellt auf der CHI-Konferenz 2023, DOI: 10.48550/arXiv.2212.10382
---
Der Artikel erscheint im Rahmen der Sonderausgabe IT-Sicherheit des Wissenschaftsmagazins Rubin 2022/23.
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.