Auth0 hatte das große Vergnügen mit Dr. Catarina Katzer über digitales Verhalten im Bezug auf Passwörter und andere Authentifizierungsmethoden zu sprechen. Dr. Catarina Katzer gehört zu den führenden Experten auf dem Gebiet Cyberpsychologie-Verhalten, Emotionen und Denken im digitalen Zeitalter. Sie entwickelt Konzepte eines digitalen Präventionsmanagements, ist u.a. Mitglied im Kuratorium der Telekom Stiftung und arbeitet als Expertin für Kommissionen des Europarates, des Deutschen Bundestages sowie für Regierungsinstitutionen im In- und Ausland.
Was macht denn der digitale Konsum überhaupt mit unserer Psyche?
Generell unterliegt unser Verhalten immer stärker einer Art Cyber-Automatismus. Das bedeutet, wir nehmen zunehmend die Schnelligkeit und den Rhythmus des Internets auf. Er wird damit Teil unseres Bio-Rhythmus. Dadurch, dass wir ständig mit der digitalen Welt verbunden sind, fällt es uns immer schwerer, uns davon abzukoppeln. Man kann sagen, wir werden darauf geradezu konditioniert, uns ständig mit digitalen Dingen zu beschäftigen. Tun wir das nicht, drängt sich uns schneller der Eindruck auf, etwas zu verpassen. Dieser kommunikative Druck wird ständig größer. Das hat auch psychologische Auswirkungen. Denn unser Verhalten und unsere Einstellungen basieren häufig nur noch auf flüchtigen digitalen Erlebnissen. Aber wir können diesen Information Overload kognitiv gar nicht mehr fassen. Das führt dazu, dass wir Echtes nicht mehr von „Fake“ unterscheiden können. Viele sprechen hier schon vom Twitter-Gehirn.
Das klingt erschreckend. Welche Fähigkeiten verlernen wir damit?
Wir verlernen immer stärker, verschiedene Sichtweisen einzukalkulieren. Das heißt konkret, diese auch miteinander in Beziehung zu setzen. Damit geben wir automatisch wichtige Teile unserer Intuition ab. Diesen Verlust erkennt man beispielsweise daran, wenn man sich bei Entscheidungen nur noch online rückversichern möchte. Dieses Verhalten ist ein sicheres Zeichen dafür, dass wir unserem eigenen Wissen immer weniger vertrauen. Denn das Netz hat ja immer eine Antwort parat. Damit verlieren wir auch die wichtige Eigenschaft der Problemlösungskompetenz. Denn online ist ja alles nur noch einen Klick entfernt. Durch diese sehr hohe Technikgläubigkeit laufen wir langfristig Gefahr, Fehleinschätzungen zu unterliegen.
Laut der Auth0-Erhebung sind viele der befragten Online-Nutzer frustriert, wenn bei neuen Logins ständig neue Passwörter und IDs von ihnen verlangt werden. Dabei wissen sie doch längst, was auf dem Spiel steht. Wie erklären Sie diese Widersprüchlichkeit?
Das Gros der Online-Nutzer ist sich heute durchaus bewusst, dass es Sicherheitsprobleme gibt, wenn bei Neuregistrierungen stets dieselbe Passwort-Nutzer-Kombination genommen wird. Aber wir versuchen das psychologisch im Gehirn auszuschalten. Je umfangreicher uns ein Registrierungsprozess erscheint, desto weniger gerne machen wir das. Hier spielen Bequemlichkeit und Einfachheit sowie die internalisierte Schnelligkeit eine große Rolle. Denn das führt dazu, dass das Sicherheitsdenken zur Seite gedrängt wird. Der andere Punkt ist: ein Passwort befindet sich im virtuellen Raum. Ich habe nichts Haptisches, wie beispielsweise einen Schlüssel. Das heißt, im virtuellen Raum sehe ich nicht, ob die Tür abgeschlossen ist. Beispielsweise betrachte ich beim Online-Shopping nur meine Bluse und mich, nicht aber die Gefahren bei der Anmeldung. Wir Psychologen sprechen hier davon, dass Risiken diskontiert werden.
Wie erklären Sie sich aber dann die Tatsache, dass die Mehrheit der befragten Online-Nutzer beim Login auf die Multifaktor-Authentifizierung zurückgreift, während Social Logins nur auf Platz drei rangiert?
Reputation ist ein wichtiger Aspekt. Hat ein bestimmtes Registrierverfahren einen sicheren Ruf, und ist es zudem die einzige Option, um einen Online-Service in Anspruch zu nehmen, wird der Verbraucher diesen Weg nutzen, auch wenn er länger dauert. Eine Anmeldung über einen Zugang aus sozialen Netzwerken ist ebenfalls reputations-gesteuert. Nimmt der Nutzer hier eine stärkere Unsicherheit in Bezug auf die Datensicherheit wahr, wird er diesen Weg nicht präferieren.
Diese Nutzungs-Reihenfolge würde aber auch bedeuten, dass der Schutz ihrer Social Media Accounts für den Verbraucher wichtiger ist, als der Schutz ihrer biometrischen Merkmale.
Ja genau, diese Konsequenz existiert wiederum auch nicht in den Köpfen, denn das Gesicht oder der Daumen sind ja Teil von einer Person. Viele denken nicht daran, dass die digitale Form durchaus gehackt werden kann. Sobald sich etwas im virtuellen Raum abspielt, den wir nicht physisch betreten können, sehen wir die Gefahr nicht oder aber wir wollen sie nicht sehen. Mit anderen Worten, wir reden uns ein, dass das was wir online tun, schon gut gehen wird und nichts passiert. Diese Unsichtbarkeit der Gefahren macht uns leichtsinnig.
Glauben Sie, dass die Firmen, die diese Authentifizierungs-Technologien anbieten oder einsetzen, noch mehr aufklären müssen?
Ja, denn die Frage ist doch: wie kann es aus Sicht der User gelingen, über einen leichten und bequemen Weg einfach Passwörter zu generieren, die sicher sind. Zudem haben viele Menschen nicht vor Augen, was genau passieren könnte, wenn ihre Daten in falsche Hände geraten. Psychologisch blenden sie die digitalen Risiken automatisch aus. Wir brauchen im Grunde ein neues digitales Bewusstsein, um mit den persönlichen Informationen, die täglich über Portale preisgeben werden, besser umzugehen. Bisher läuft es doch häufig so, dass man sich auf vielen Portalen schnell registriert, ohne daran zu denken, was mit den Daten passiert. Hier ist auch die digitale Industrie in der Pflicht, noch stärker aufzuklären, und das nicht nur textbasiert sondern auch visuell.
Beobachten Sie einen Alterseffekt?
Ja durchaus, ältere Menschen bewegen sich im Netz generell viel vorsichtiger, insbesondere wenn es um den Online-Kauf geht. Sie haben gerade hier starke Sicherheitsbedenken. Damit sind sie auch viel weniger offen dafür, ihre Daten preiszugeben. Ältere Nutzer benötigen in jedem Fall mehr Anleitung von der Industrie, auch eine stärkere Standardisierung von Anmeldeprozessen wäre klasse. Anstatt der ganzen Textwüsten, sollte man hier besser Sprach-Avatare einsetzen, die den nächsten Schritt erklären.
Junge Menschen hingegen sind generell sehr viel offener im Umgang mit den privaten Informationen, die sie von sich preisgeben. Sie gehen sehr viel unbekümmerter mit Daten, beispielsweise für Authentifizierungsprozesse um, da sie stärker von der Schnelligkeit des Internets geprägt sind. Ihr Motto wäre eher: Wenn der Service mir einen sofortigen Mehrwert bringt, gehe ich gerne ein Risiko ein. Zwar sind sich junge Menschen eher darüber im Klaren, dass das Digitale mehr Risiken birgt, sie nehmen diese aber eher als „digitale Normalität“ in Kauf als Ältere.
Was glauben Sie, konzentriert sich die Unternehmens-IT und die Sicherheitsindustrie vielleicht zu stark auf das technisch Machbare, anstatt das am stärksten akzeptierte beim Kunden?
Nun ja, das ist ein zweischneidiges Schwert. Zum einen müssen diese Unternehmen Innovationen herausbringen, und wir brauchen aufgrund der vielen Datenhacks möglichst sichere Systeme. Aber das technische darf am Ende nicht so komplex werden, dass niemand mehr durchblickt, Verbraucher nur noch überfordert sind und die Anmeldeprozesse reihenweise abbrechen. Aber genau das passiert gerade. Viele Verbraucher sind aktuell digital ohnehin schon überfordert, mit Home-Office und Home-Schooling. Diese grundsätzliche Überforderung kann dazu führen, dass Anwender avers gegenüber neuen Nutzungsszenarien werden. Also wenn Formulare zu lang und kompliziert werden, wird der Nutzer ärgerlich und verlässt die Seite. Zeitintensität in Kombination mit Komplexität führt zum Abbruch. Unternehmen sollten sich darauf konzentrieren, auch der Bequemlichkeit des Nutzers Genüge zu tun. Dabei muss es nicht immer um die neueste Technologie gehen.
Gibt es dafür eine psychologische Entsprechung?
Ja, wir nennen das Attribution. Der Nutzer gibt nicht der eigenen Unfähigkeit die Schuld für den Abbruch, sondern dem Betreiber der Plattform. Das hat auch etwas mit Dissonanz-Reaktion zu tun. Ich möchte in meinem Kopf mein Handeln immer mit den Ergebnissen stimmig machen. Ist diese Balance nicht da und ist etwas unstimmig, bringe ich das Fehlerhafte nicht mit mir selbst in Verbindung, sondern suche mir einen anderen Schuldigen.
Geht es um Login-Prozesse sind Frauen etwas ungeduldiger als Männer, wenn es um die Verifizierung ihres Passwortes geht. Was sagt die Psychologie dazu?
Hier zeigt sich ein deutlicher Gendereffekt. Geht es um die eigene Sicherheit, sind Frauen generell risiko-averser. Allerdings ist das Interesse an technischem oder digitalem Wissen deutlich geringer ist als bei Männern. Das Befassen mit technischen Tools ist ihnen eher lästig. Deshalb brauchen sie einen Anmeldeprozess, der klar kurz und übersichtlich ist. Männer sind technikaffiner und legen auch mehr Experimentierfreude in Bezug auf neue Technologien an den Tag.
Wodurch wird denn am häufigsten Misstrauen geschürt, wenn Sie an einen Login denken?
Gestalten sich Webseiten oder Online-Portale bereits auf den ersten Blick sehr unübersichtlich, schürt das Misstrauen seitens des Nutzers. Er fragt sich, wo leiten die mich jetzt hin und warum? Diese Frage darf gar nicht erst entstehen. Hingegen, je übersichtlicher es ist, umso mehr Vertrauen schenke ich auch diesem System. Online-Nutzer brauchen eine Art digitalen Spiegel, also eine Reflektion dessen was sie dort gerade tun.
Gilt das nicht ganz besonders für den Ausnahmezustand, in dem wir uns befinden?
Ja, die Coronakrise fördert generell Konfliktpotenzial, untereinander aber auch mit uns selbst. Jeder von uns ist aktuell deutlich mehr digital unterwegs, als vor der Corona Pandemie. Wir fühlen uns dadurch stärker und schneller digital gestresst und überfordert. Wenn dann noch ein Registrierungsprozess hinzukommt, der noch nicht einmal funktioniert, und komplex dazu ist, ist das für unseren Kopf das absolute No Go.
Sollte uns die Tech-Industrie überhaupt Entscheidungen, die noch dazu mit digitaler Identität zusammenhängen abnehmen dürfen?
Wichtig ist meiner Ansicht nach, sich damit auseinanderzusetzen, was uns online vorgeschlagen wird und daraus ableiten zu können, wohin uns das führt. Denn viele unsere Entscheidungen basieren heute nur noch darauf, was uns online vorgeschlagen wird. Der Buch-Tipp, der Standort oder die Auswahl der Bluse. Aber anstatt nur noch auf einen Algorithmus zu hören, sollten wir wieder lernen, unserer Intuition zu vertrauen. Verkümmert diese Fähigkeit, geben wir viel von unserer Handlungsfähigkeit ab. Der Teil im Gehirn, der für Orientierungsfähigkeit verantwortlich ist, schrumpft zusehends, denn wir verlassen uns auf das, was wir vorgegeben bekommen. Anstatt uns zu bevormunden, sollte die Tech-Industrie versuchen, uns zu unterstützen. Damit müssen wir uns auch gesamtgesellschaftlich viel stärker befassen.
Wie steht es denn mit Ihrem eigenen Passwort-Verhalten?
Ich selbst habe ähnliche Passwort-Fauxpas gemacht, wie alle anderen Menschen auch. Ich folge dem Rat von Forschern aus den USA, die sagen, reiht doch einfach verschiedene Worte aneinander, wobei mit jedem Wort etwas verbunden werden sollte. Das ist easy und relativ sicher, das ist mein Passwort-Verhalten.
Was war Ihr dümmstes Passwort?
Geburtsdatum meiner Eltern und damit kombiniert den dritten Vornamen. Und ich gebe zu, das war leichtsinnig.
Was sollten Online-Nutzer nie von sich preisgeben?
Man sollte sich selbst gegenüber stets reflektieren, welches Online-Verhalten man gerade an den Tag legt. Ich glaube jeder von uns sollte mit einem digitalen Bewusstsein surfen. Dabei müssen wir unsere Reaktionen und Entscheidungen stärker in Frage stellen. Den Internetrhythmus gezielt unterbrechen, abwarten und überlegen, sozusagen ein digitales Stopp-Schild im Kopf einführen. Und sich dann die Frage stellen: Brauche ich das jetzt wirklich? Oder ist das jetzt sinnvoll? In Bezug auf die Datensicherheit sollte man sich fragen, welche Konsequenzen das kurzfristige Online-Shoppen hat, also wohin wandern denn meine Daten, und will ich das überhaupt. Oder überwiegt der kurzfristige Nutzen gegenüber möglichen Risiken?
