Kenntnisstand & Kommunikation

Das aufgezeigte Unverständnis resultiert dabei aus mangelnder Kenntniss über die Erfordernis der aufgestellten Regeln. So identifizieren Adams, Sasse und Lunt in ihrer Studie [1] fehlende Kommunikation zwischen Systemadministration und Anwendern als Ursache unsicherer Verhaltensweise. Von den Entwicklern des Systems werden oftmals Bedürfnisse und Anforderungen der Benutzer übersehen oder ungenügend beachtet. Damit müssen sich Anwender ihren eigenen Weg finden, sich mit Authentifizierungsmechanismen auseinanderzusetzen und finden diese oftmals in der Umgehen von Sicherheitsrichtlinien.

Zwar wird den Nutzern üblicherweise die Wahl des eigenen Passwortes zugestanden und ihnen somit Verantwortung für die Sicherheit zugetragen, doch werden ihnen kaum Informationen über die Funktionsweise der Sicherheitsmechanismen vermittelt, was in einem fehlenden Basiswissen resultiert. Anwender absichtlich über die Sicherheitsmaßnahmen in Unkentniss zu lassen, um ihnen möglichst wenig Einblick und Angriffspotential zu gewähren, erzielt jedoch geringere Sicherheit. Die Ursache hierfür sehen Adams, Sasse und Lunt auch in der zentralen Organisation des Usermanagements, die Distanz zwischen Administratoren und Anwendern schafft und somit für geringen Kontakt verantwortlich ist.

Der Grund des Fehlverhaltens liegt damit nicht allein auf der Seite der Anwender [15], sondern basiert auf unzureichender Schulung der Mitarbeiter, die oftmals auf die notwendigsten Sicherheitsmerkmale reduziert wird und hauptsächlich technische Details, kaum aber Ursachen, Konsequenzen und das Umfeld der Maßnahmen erläutert. Damit verfügen Mitarbeiter nicht über grundlegende Kenntnisse und können auch kein Verständnis für die auferlegten Einschränkungen entwickeln.