IT-Sicherheit Freitags wird geschludert
Gegen Ende der Arbeitswoche verstoßen Beschäftigte häufiger gegen IT-Sicherheitsregeln als etwa am Montag. Warum ist das so?
Hoppla, nicht aufgepasst: Je weiter die Arbeitswoche fortschreitet, desto nachlässiger werden Büroarbeiter
Foto:Paket / iStockphoto / Getty Images
Die Neutralisierungstheorie, eine kriminologische Lerntheorie, geht davon aus, dass nur straffällig wird, wer seine Taten vor sich selbst rechtfertigen kann. Etwa indem er oder sie die eigene Verantwortung leugnet („Ich kann nichts dafür“) oder das Unrecht an sich („Es ist unerlaubt, aber nicht unmoralisch“). Diese sogenannten Neutralisierungstechniken kommen nicht nur bei Kriminellen vor, sondern auch im Arbeitsalltag. Etwa wenn Angestellte die Cybersecurity-Richtlinien ihres Unternehmens nicht befolgen und ihr Verhalten verteidigen, indem sie behaupten, dass das dem Unternehmen keinen Schaden zufüge.
Bisherige Untersuchungen legen nahe, dass Menschen, die auf diese Legitimierungen zurückgreifen, im Schnitt tatsächlich nachlässiger in puncto IT-Sicherheit sind. Ein Forschungsteam der TU Darmstadt und der University of Waterloo sah jedoch Anhaltspunkte dafür, dass Neutralisierung kein stabiles Konstrukt ist, sondern von äußeren Einflüssen verändert werden kann. Anders gesagt: Ein Mensch ist nicht immer gleich anfällig dafür, sich Regeln zu widersetzen.
Um ihre These zu überprüfen, baten die Forschenden 210 Menschen, vier Wochen lang jeweils drei Onlineumfragen pro Woche auszufüllen – jeweils am Montag, Mittwoch und Freitag. Das Team lobte eine Belohnung für Probanden aus, die jede Umfrage am dafür vorgesehenen Tag beantworteten. Das schafften am Ende 108 von ihnen. Dabei zeigte sich: Je weiter die Arbeitswoche fortschritt, desto nachlässiger wurden die Teilnehmenden bei der Beantwortung und desto besser konnten sie das vor sich selbst rechtfertigen.
Die drei Autoren der Studie vermuten, dass dies mit der sogenannten Ego-Depletion zusammenhängt – eine Annahme aus der Sozialpsychologie, wonach Menschen über endliche Ressourcen zur Selbstregulierung verfügen. Sind diese erschöpft, mangelt es an Selbstkontrolle und Willensstärke. Die Forschenden empfehlen Unternehmen daher, die Erkenntnisse aus ihrer Studie in Sicherheitsschulungen einzubeziehen. © HBm 2024
Quelle: Alexander Benlian et al.: „Time will tell: The case for an idiographic approach to behavioral cybersecurity research“, MIS Quarterly, März 2024
Wie du meinst
Besser Verhandeln lernen
