Wieso wir uns gern selbst belügen.

Menschen machen sich gerne etwas vor. Sie wissen, dass es gefährlich ist, für mehrere Accounts das gleiche Passwort zu nutzen. Sie machen es aber trotzdem. Das unangenehme Gefühl, was dabei entsteht, nennt man kognitive Dissonanz. Sicherheitsbewusstes Denken spiegelt sich oft nicht im Handeln wider und erhöht somit auch das Risiko von Cyberangriffen. Erfahre in diesem Beitrag, wie kognitive Dissonanz entsteht und wie man Mitarbeiter trotzdem zu sicheren Passwortverhalten anhalten kann.

Wir schreiben das Jahr 2021 und das Passwort-Verhalten der User ist unverändert schlecht. Eine im März durchgeführte Studie zeigt, dass die Mehrheit der Deutschen die wichtigsten Passwortregeln nicht beachtet*: Ganze 60 % der Internet-User nutzen bei mehreren oder allen Accounts die gleichen Passwort-Kombinationen. Im Vergleich zum Vorjahr hat sich diese Zahl sogar um ein Prozent erhöht. Was außerdem ansteigt, ist die Anzahl der Konten: 41 % der Befragten haben mehr als 15 passwortgeschützte Accounts, was vermutlich auch mit der Corona Pandemie zusammenhängt. 2020 mussten viele Unternehmen ihren Mitarbeitern das Homeoffice ermöglichen, was auch die Digitalisierung des Berufsfeldes beschleunigte.

Mehr Anwendungen = weniger Passwörter? 

Mehr Accounts bedeuten natürlich mehr Anmeldekombinationen, die man lernen muss. Dass sich Internetnutzer aber nicht 15 unterschiedliche E-Mail-Passwort-Kombinationen merken können und wollen, liegt auf der Hand. Für sie ist es viel einfacher, sich ein Standardpasswort für alle Anwendungen auszudenken. Studien zeigen, das ganze 76 % der Mitarbeiter das gleiche Passwort für verschiedene Anwendungen nutzen. Aber das lässt das Sicherheitsrisiko um ein Vielfaches steigen. Wenn ein Hacker nämlich das Passwort für eine Anwendung hackt, hat er auch direkt Zugang zu allen anderen Accounts. Er hat quasi den Generalschlüssel zu einem Hochhaus, welcher neben der Eingangstür auch alle Wohnungstüren öffnet.

Kognitive Dissonanz: Der Mensch ist ein unverständliches Wesen

Wissen die Nutzer gar nicht, wie unsicher ihre Passwörter sind? Doch! Laut des Vereins sicher im Netz wissen die meisten User durchaus, wie gefährlich es ist, bei mehreren Accounts das gleiche Passwort zu nutzen, machen es aber trotzdem.

Wenn Handeln und Wissen im Einklang sind, fühlen sich Menschen gut. Kognitive Dissonanz entsteht, wenn Kognitionen miteinander im Widerspruch stehen und Spannungsgefühle hervorrufen. Ein Beispiel dafür ist Rauchen: “Ich rauche” vs. “Rauchen ist ungesund”. Wenn Menschen wiederholt rauchen, obwohl sie wissen, wie ungesund es ist, empfinden sie negative Spannungsgefühle. Um diese nicht zu erleben, verdrängen oder ignorieren sie negative Aspekte wie gesundheitliche Folgen ganz einfach.

Kognitive Dissonanz beim Passwortverhalten

Auch beim Passwortverhalten zeigt sich ein Hang zur kognitiven Dissonanz, ein Ungleichgewicht zwischen Wissen und Handeln. Internetnutzer wissen, wie gefährlich es ist, das gleiche Passwort bei unterschiedlichen Anwendungen zu nutzen, tun es aber trotzdem. Die negativen Gefühle neutralisieren sie, indem sie bewusst Informationen verdrängen. Beispielsweise glauben sie, gegenüber Cyberangriffen unverwundbar zu sein. Das steht im deutlichen Kontrast dazu, dass 40 % der Deutschen schon Opfer eine Cyberattacke geworden sind. Im Unternehmenskontext erschreckt eine noch sehr viel höhere Zahl: 96 % aller deutschen Unternehmen haben schon einmal einen geschäftsschädigenden Cyberangriff erlitten.

Langfristige Linderung der kognitiven Dissonanz: Verhaltensänderung!

Um kognitive Dissonanz langfristig zu überwinden, gibt es nur ein wirksames Mittel: Verhaltensänderungen. Sowohl im privaten als auch beruflichen Kontext. Und dafür braucht es eine klare Zielsetzung. Im Unternehmen kann eine strategisch ausgerichtete Kommunikation die Verhaltensänderung anstoßen. Dabei ist es sehr wichtig, dass diese Kommunikation auf Augenhöhe zwischen Mitarbeiter und IT-Abteilung stattfindet. Autoritäres Verhalten aus der IT, wie Druck und Anordnungen, sorgen oftmals nur für kurzzeitige Änderungen bei den Mitarbeitern, anschließend fallen sie jedoch wieder in ihr gefährliches Passwortverhalten zurück. Für langfristige Verhaltensänderung braucht es zudem die Einsicht, dass das eigene Handeln Schwächen beinhaltet. Dauerhafte Verhaltensänderungen können nämlich nur erreicht werden, wenn der Wunsch nach Veränderung aus den Mitarbeitern selbst entspringt. Mitarbeiter müssen verstehen, was für Auswirkungen die Nutzung gleicher Passwörter haben kann, und einsehen, dass ihr Passwortverhalten ein hohes Risiko für Unternehmen birgt. Regelmäßige Security-Awareness-Trainings machen den Mitarbeitern deutlich, wie wichtig komplexe Passwörter sind.

Mit Freude zu sicheren Passwörtern

Ein weiterer wichtiger Schritt auf dem Weg zu dauerhaften Verhaltensänderungen ist die Verknüpfung des neuen Verhaltens mit positiven Gefühlen. Mitarbeiter sollten bei ihrem neuen Passwortverhalten Freude empfinden. Das kann durch die Einführung einer Password-Management-Software erreicht werden, welche Passwörter eigenständig generiert und sicher ablegt. Komplexe Passwörter werde ohne Stress und Aufwand automatisch erstellt und gespeichert, sodass sich Mitarbeiter nur noch ein Master-Passwort merken müssen. Zudem passiert der Login in Sekundenschnelle, was die Arbeitsweise deutlich effektiver macht. Durch eine benutzerfreundliche Oberfläche und eine einfache Bedienung lernen Mitarbeiter schnell, dass die Verwendung sicherer und unterschiedlicher Passwörter mit einer Password-Management-Software leicht, effizient und entspannt sein kann.

66 Tage gedulden

Verhaltensänderungen kommen nicht von heute auf morgen. Laut einer Studie dauert es im Schnitt 66 Tage, bevor ein neues Verhalten automatisch wird. Mitarbeiter sollten in dieser Übergangszeit nicht überfordert werden. Zusätzlich sollten alle Ebenen eines Unternehmens während dieser Übergangszeit Verständnis für die Mitarbeiter zeigen und ihre Unterstützung anbieten. Ein kleiner Trick aus der Psychologie kann Mitarbeiter in dieser Zeit zusätzlich unterstützen: Belohnungen. Wenn Mitarbeiter nach durchschnittlich zwei bis drei Monaten ein besseres Passwortverhalten gelernt haben, was sich auch auf ihr Privatleben auswirken sollte, kann eine Belohnung Wertschätzung für ihre erbrachte Leistung symbolisieren. Die Belohnung muss dabei nicht finanzieller Natur sein, sondern kann auch ein Obstkorb für das Büro oder ein Kaltgetränk nach Feierabend sein. Wichtig ist nur, die Mitarbeiter für ihre Leistung zu belobigen.

Positive Fehlermentalität in Unternehmen

Ebenso elementar wie die richtige Kommunikation ist eine positive Fehlerkultur in Unternehmen. Jeder, der schon einmal eine Diät gemacht oder mit dem Rauchen aufgehört hat, weiß, wie schnell man in alte und schädliche Verhaltensweise zurückfällt. Deshalb sollte die IT-Abteilung nie mit Strafen drohen, wenn Mitarbeiter trotzdem noch unsichere Passwörter vergeben. Im Gegenteil: Um den Mitarbeitern eine Anlaufstelle für ihre Fragen und Sorgen zu geben, sollten CISO und IT jederzeit ansprechbar sein und Mitarbeiter aktiv dazu auffordern, auf sie zuzugehen.

Mit Geduld, der richtigen Kommunikation und der Einführung einer Password-Management-Software können Mitarbeiter zu besserem Passwortverhalten bewegt werden – auch die mit besonders hoher kognitiver Dissonanz.

Um noch mehr über Passwort-Richtlinien zu erfahren, lade dir unser Whitepaper kostenlos herunter:

* Bilendi, das Marktforschungsunternehmen, hat im Februar 2020 1050 deutsche Internet-Nutzer befragt