A Nudge-Sicherheitsstrategie verwendet sanfte Aufforderungen oder Erinnerungen (sogenannte „Nudges“), um die Benutzer zu ermutigen, Sicherheitsbedenken in ihrem System auszuräumen.
Die Strategie basiert auf der Verhaltenswissenschaft. Sie nutzt psychologische Techniken wie offene Fragen, Vergleiche und Entscheidungsstrukturen, um Menschen zum Nachdenken über ihre Sicherheitsentscheidungen zu bewegen und sie zu besseren Cyber-Gewohnheiten zu führen, ohne strikte Anweisungen oder Befehle zu geben.
Nudges können Folgendes umfassen:
- Benachrichtigungen
- Messages
- Eingabeaufforderungen
Für Aufgaben wie:
| Nachricht | Nudge-Beispiel | Psychologie |
| Melden Sie sich für einen Sicherheitskurs an | „Dieses Sicherheitsmodul kann Ihnen helfen, Ihre Kollegen und Familienmitglieder zu schützen.“ | Emotion: Anstöße können Gefühle wie Mitgefühl, Sorge oder Aufregung hervorrufen und so zum Handeln anregen. |
| Softwareupdate installieren | „Wählen Sie einen Zeitpunkt für die Installation des neuen Updates.“ (Dies ermöglicht es dem Benutzer nicht, die Aufgabe einfach zu verzögern.) | Ausgewählte Architektur: Menschen zum Handeln ermutigen, ohne ihre Entscheidungsfreiheit einzuschränken. |
| Zurücksetzen eines Kennworts | 1. „Ihr Passwort ist schwächer als das von 90 % Ihrer Kollegen.“ 2. Eine Ampelgrafik, die die Stärke der neuen Passwortwahl eines Benutzers anzeigt. | 1. Vergleiche: Soziale Vergleiche können ein Gefühl von Wettbewerb in Aufgaben bringen und Menschen zum Handeln motivieren. 2. Rückmeldung: Menschen handeln eher, wenn sie sofortiges Feedback zu ihren Entscheidungen erhalten. |
| Warnung vor verdächtigen Links | „Vertrauen Sie diesem Link oder Anhang?“ | Risiko: Ermutigt die Menschen, gründlich über potenzielle Risiken nachzudenken, und hilft ihnen, diese in Zukunft besser zu erkennen. |
Warum brauchen wir Nudges?
Der Mensch ist das schwächste Glied in der Cybersicherheit, und die meisten Datenschutzverletzungen sind auf menschliches Versagen zurückzuführen. Ob absichtlich oder unabsichtlich: Schlechtes Sicherheitsverhalten öffnet Schwachstellen – unabhängig davon, wie effektiv das IT-Sicherheitsteam und die Tools eines Unternehmens sind.
Zur Verbesserung der Sicherheitslage eines Unternehmens ist Bewusstsein wichtiger als Tools. Nudges (ein Begriff, der 2008 von den Verhaltensforschern Cass Sunstein und Richard Thaler populär gemacht wurde) sagen den Menschen nicht, was sie tun sollen, sondern sollen sie dazu anleiten, das Richtige zu tun, ohne den üblichen Druck, der mit dem Risikomanagement einhergeht.
Eine Nudge-Sicherheitsstrategie hilft Mitarbeitern dabei, eine Sicherheitsmentalität zu entwickeln und ihnen schlechte Angewohnheiten wie das Verzögern von Updates, die Verwendung schwacher Passwörter und das Ignorieren von Sicherheitswarnungen abzugewöhnen. All diese Angewohnheiten können die Angriffsfläche bei den verschiedenen Cloud- und SaaS-Technologien vergrößern, die Unternehmen heute nutzen.