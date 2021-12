Astrophysikvorlesung. „Entschuldigung, sagten Sie gerade, dass unsere Erde in 5 Millionen Jahren in der Sonne verglühen wird??!“ „In 5 Milliarden Jahren.“ Seufzer der Erleichterung: „Gott sei Dank, ich dachte schon …“

Kolumne: Patch me if you can Er hat eine Schwachstelle für Risiken und über Cyber schreiben: Im Hauptberuf Sicherheitsforscher bei der HiSolutions AG, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Vorfälle und allgemeingültige Wahrheiten der Informationssicherheit aus. Neben neuen erscheinen hier auch bereits in der iX abgedruckte Artikel – stets mit einem augenzwinkernden Update zur aktuellen Lage der Security.

Der Umgang mit Risiken ist uns in die Wiege gelegt worden. Und zwar bereits in die evolutionäre. Wenn Risiko die Tatsache meint, dass in einer unvorhersagbaren Umwelt Misserfolg, Verlust und Tod möglich sind, beschreibt dies das einzige konstante Element unserer Entwicklung auf diesem Planeten.

In der Ursuppe musste ganz schön oft gewürfelt werden, bis stabile, sich selbst reproduzierende Aminosäuren aka Leben entstanden, so wie heute Coronaviren täglich billiardenfach Roulette spielen – und uns dabei manchmal versehentlich böse in die Quere kommen.

Es scheint daher an ein Wunder zu grenzen, dass wir noch nicht ausgestorben sind. Wobei: Sind wir wohl, schon hunderttausendfach! Denn das, was wir heute sind, sind die wenigen Mutantenlinien, die es nicht hinweggerafft hat über die Äonen – spärlichste Blätter an einem Evolutionsbaum, der zu 99,99 % längst abgestorben ist. Müssten wir nicht folglich sehr gut mit Risiken umgehen können? Sollten wir nicht die Risikomanagementprofis der Galaxis sein? Ja und nein.

Das System „Versuch und Irrtum“

Die Evolution lehrt nämlich nichts, sie lernt maximal, durch Trial und Error, und das auch nur auf Systemebene. Wir persönlich lernen nicht(s) in diesem merkwürdigsten Schulsystem des Universums. Wir probieren nur aus, was in uns fuzzy einprogrammiert wurde, und werden nach Erfolg abgeurteilt. Das mächtigste Framework der Geschichte des Lebens auf der Erde ist nicht „Teile und herrsche“, sondern „Fuck around and find out“ – beziehungsweise „Fuck around and die out“.

Das funktioniert für bestimmte Anpassungsschritte sehr gut: Immerhin konnten wir bereits das Wasser verlassen, von den Bäumen steigen, uns mit Stöcken verhauen und Autos ins All schießen. Was wir allerdings nicht gelernt haben, nicht lernen konnten, ist das Vermeiden großer Katastrophen.

Was uns in der Welt antreibt, ist eine unstillbare FOMO (Fear of Missing Out). Ressourcen ergreifen war evolutionär meist sinnvoll. Die FODO (Fear of Dying Out) hingegen, also die Angst, als Art auszusterben, kennen wir natürlicherweise nicht, da ein derartiges Ereignis offensichtlich noch nicht vorkam.

Erfolgsmodell abgeschafft

Dabei hat uns die Biologie eigentlich ein konservatives Risikoverhalten mitgegeben: Wir sparen Energie, folgen Schutzinstinkten und stellen uns zur Not tot. Überraschenderweise wurde dieses Erfolgsmodell nicht fortgeführt, als wir auf die hirnrissige Idee kamen, mit dem Denken anzufangen. Unsere Superkraft, uns (manchmal) über durch Jahrtausende bewährte Reflexe hinwegzusetzen, ist alles andere als rational.

So hat die psycho-ökonomische Forschung unter dem Stichwort „Prospect Theory“ seit Ende der 70er-Jahre gezeigt, dass wir, gerade wenn es ums Überleben geht, gerne spielen. Gibt es etwas zu gewinnen, gehen wir lieber auf Nummer sicher und kein Risiko ein. Von wegen YOLO (You Only Live Once)! Wenn es uns hingegen an den Kragen gehen könnte, versuchen wir gerne, dem Schicksal ein Schnippchen zu schlagen.

Evolutionär macht(e) das sogar Sinn: Wenn es hart auf hart kommt, ist es besser für die Art, wenn einige wenige glücklich durchkommen, als wenn alle gemeinsam mittelmäßig den Bach runtergehen. Zum Problem wird es nur, seit wir auf die Idee kamen, dass einige wenige für viele oder gar alle entscheiden sollen. YODA (You Only Die Alone) gilt nicht mehr in den Zeiten repräsentativer Demokratie und Pandemie; ein einziger großer Entscheidungsfehler kann die ganze Menschheit an oder sogar in den Abgrund führen, ob in der Nuklearpolitik oder beim Klimawandel.

Falsche Gewichtung

Regelrecht dumm wird es allerdings dort, wo wir das Gegenmittel und seinen Nutzen schon kennen. Zwei aktuelle Beispiele: Mehr-Faktor-Authentifizierung bedeutet einen gewissen kalkulierbaren Aufwand und ein gewisses kalkulierbares Maß an Verfügbarkeitsproblemen. Die Attraktivität der Chance, dass es auch ohne 2FA gut gehen könnte, wird jedoch irrational viel zu hoch bewertet. Ähnliches ließe sich über viele weitere Sicherheitsmaßnahmen sagen, deren Nutzen ingenieurswissenschaftlich bewiesen ist („Evidenz“).

Noch extremer ist es beim Thema Impfen: Die relativ häufig auftretenden, meist unbedeutenden Impfreaktionen werden ungleich schwerer gewichtet als der mit niedriger, aber signifikanter Wahrscheinlichkeit auftretende schwere Verlauf.

Was helfen könnte, ist ein Reframing der Situation: Stelle ich 2FA nicht als Versuch dar, einen Schaden abzuwehren, sondern als Versuch, das Sicherheitsniveau anzuheben, sollte sich laut Prospect Theory die relative Bewertung gegenüber dem Nichtstun verbessern. Genauso sollte sich eine Impfung, die als verlässliche Verbesserung meiner Immunabwehr gegen ein Virus angepriesen wird, besser an den Mann und die Frau bringen lassen, als eine, die das Schlimmste abwehren könnte.

Das alles hat für uns eine interessante Konsequenz: Wenn wir etwas erreichen wollen, sollten wir beides nicht mehr über Angst zu „verkaufen“ versuchen, Corona- wie Securitymaßnahmen. Und das erfordert Mut.

Diese Kolumne ist in iX 01/2022 erschienen.

(ur)