Nächste Seite: Verbesserung der Anwenderfreundlichkeit Vorherige Seite: Kenntnisstand & Kommunikation Inhalt
Die Wahrnehmung der User über den Einsatz und ihr Mitwirken an der Sicherheit des Systems ist damit ein
weiterer wichtiger und zu untersuchender Aspekt im Umfeld der Systemsicherheit. Viele Anwender fühlen sich
von der Problematik nicht betroffen, da sie keine direkten Erfahrungen mit Bedrohungen und Schwachstellen in der Sicherheit des Systems gemacht haben. Ohne das Feedback der Systemverwaltung über eingetretene Vorfälle und der Auswirkung von Schwachstellen auf das System, bezeifeln viele Nutzer die Wichtigkeit der Maßnahmen und erstellen ihr eigenes Bild im Umgang mit Sicherheit. Der Gund liegt in der Tatsache, dass die Benutzer in der Regel nicht über versuchte oder sogar erfolgte Angriffe informiert werden und keine Kenntnisse über sicherheitsrelevante Vorgänge erhalten. Ohne eine solche klare Rückmeldungen und Mitteilungen gehen Nutzer von der bestehenden Sicherheit des Systems aus und fühlen sich nicht motiviert, ihr Verhalten zu ändern und halten die Verwendung unsicherer Passwörter weiterhin
für ausreichend. Die Information über das Stattfinden von Angriffen und die Bedrohung
durch bestehende Schwachstellen wirkt sich damit direkt auf das Verhalten der Benutzer aus.
Ebenso spielt die Bedeutung des zu schützenden Systems sowie die Wichtigkeit und Vertrauenswürdigkeit der Daten eine entscheidende Rolle in der Verhaltensweise der Anwender. So messen einige Benutzer dem System mindere Wichtigkeit zu
und stufen die ergriffenen Sicherheitsanforderungen als übertriebene Maßnahme ein. Die zu schützenden
Daten werden als unbedeutend betrachtet oder sind es den Benutzern oftmals nicht wert, die mit der
Steigerung der Sicherheit verbundenen Bemühungen und Einschränkungen im täglichen Arbeiitsablauf dafür
einzugehen [1] (Information sensitivity). Da sie die vom System verarbeiteten Informationen als unwichtig
ansehen, verstehen sie nicht den Aufwand und die Sorge um die Absicherung dieser Daten.
Verstärkt wird dieses Verhalten wenn das zu grundeliegende Datenverarbeitungssystem nur über einen geringeren
Sicherheitsgrad verfügt. Strauss und Corbin fanden in Studien 1990 heraus, dass Nutzer im geringen
Sicherheitsstand des Systems geringe Vertrauenswürdigkeit der Daten interpretieren und sich daher
nicht veranlasst sehen, ihr persönliches Passwort geheim zu halten. Das Verhalten der Administratoren
kann dafür ebenso massgeblich sein, indem Benutzer bei der Hilfestellung durch Systemtechniker nach
Passwörtern gefragt werden oder diese sogar nur mit deren Kenntnis erstellt und geändert werden können.
Dadurch entsteht der Eindruck, vertrauenswürdigen oder verantwortungstragenden Mitarbeiter dass Passwort
mitteilen zu dürfen und trägt zu einem unbedachteren Umgang mit Passwörtern bei. Teilweise betrachten die Anwender
ihr Verhalten selbst als unsicher und folgern somit auf die Unsicherheit des gesamten Systems, was sie
widerum demotiviert, ihr Passwort sicher zu gestalten [1].
Sind die Sicherheitsstandards in der subjektiven Perspektive der Anwender widerum zu hoch, führt dies ebenfalls zu fahrlässigem Umgang mit Sicherheitsmechanismen. Angesichts strikter Vorkehrungen halten die Nutzer den unbedachten Umgang mit Passwörtern zu Gunsten komfortablerer und effizienterer Arbeiten am System für vertretbar, da die greifenden Sicherheitsanstrengungen wohl schon für die Absicherung des Systems sorgten. Sasse, Brostoff & Weirich erforschten weiterhin [13], dass manche Benutzergruppen sich zu wichtig für die Verwendung von Passwörtern oder anderer Formen kontextloser Authentifizierungsmechanismen halten. Geschäftsführende Personen oder leitende Angestellte verlangen häufig von Systemtechniker die automatische Abwicklung dieses Prozesses, delegieren diese Verfahren an ihr Sekretariat oder verzichten vollständig auf die Benutzung dieser als unwichtig betrachteten, zeitintensiven Vorgänge.