Was ist die Zielsetzung eures Projekts CySec4Psych?
Die grobe Idee des Projekts ist, das Feld der Cybersecurity für Psycholog:innen interessanter zu machen, auch als möglicher Karriereweg. Es ging uns darum, nicht nur Möglichkeiten aufzuzeigen, sondern auch Werbung dafür zu machen, dass es in diesem Bereich eben auch Stellen für Psycholog:innen gibt.
Wir seid ihr auf die Idee für das Projekt gekommen?
Gestartet wurde das Projekt an der Universität des Saarlandes, in der Arbeits- und Organisationspsychologie. Dort ist es schon lange ein Thema, dass Technik einen immer größeren Einfluss nimmt auf den Arbeitsalltag und die Arbeitsgestaltung. Man sieht auch, dass Informatiker:innen ganz gerne psychologische Themen besetzen. Dass sie zum Beispiel versuchen, mit Künstlicher Intelligenz in Assessment Centern das Rating von bestimmten Personen vorherzusagen. In diesen Dingen sind sie wirklich sehr fit. Aber man merkt, dass ihnen das methodische oder theoretische Hintergrundwissen an mancher Stelle fehlt. Da wäre es hilfreich, wenn es einen größeren Austausch zwischen den Disziplinen gäbe. Das war der Grundgedanke unseres Projekts. Aus diesem Antrieb heraus hat Dr. Nida Bajwa am Lehrstuhl von Prof. Dr. Cornelius König den Antrag gestellt, der dann auch von der EU angenommen wurde.
Welche Herangehensweise habt ihr in eurem Projekt gewählt?
Wir haben uns zum einen angeschaut, wie viele Psycholog:innen es in der Cybersecurity-Forschung gibt und welche psychologischen Themen dort vorhanden sind. Zum anderen haben wir Schulungsmaterialien erstellt, die Lehrende an Universitäten verwenden können, um das Feld der Cybersecurity in der Psychologie vorzustellen und zu etablieren. Es gab außerdem zwei Summer Schools, die zur Vernetzung gedient haben. Daran haben hauptsächlich Studierende teilgenommen, gemischt aus der Informatik und der Psychologie.
Gibt es eine Publikation, in der eure Ergebnisse festgehalten werden?
In unserem Projekt wurden zwei Publikationen erstellt. Zum einen haben wir eine szientometrische Analyse durchgeführt. Dort wurde untersucht, wie stark psychologische Themen bzw. Psycholog:innen in der Cybersecurity vertreten sind. Szientometrische Analyse bedeutet, dass man sich die wissenschaftlichen Artikel zu einem bestimmten Feld auf einer quantitativen Ebene anschaut – welche Autor:innen unter den Publikationen sind und wer davon einen Hintergrund in der Psychologie hat. Unsere zweite Publikation war ein Review, also eine qualitative Arbeit. Dort haben wir genauer geschaut, mit welchen psychologischen Theorien in der Cybersecurity häufiger gearbeitet wird.
Gibt es denn psychologische Theorien in der Cybersicherheit?
Ja, eine ganze Reihe. Passwortsicherheit zum Beispiel oder Social Engineering sind zwei Forschungsfelder, in denen die Psychologie natürlich prominenter vertreten ist, als etwa bei Netzwerksicherheit. Da gibt es einige Theorien, die Anwendung finden. Ein Beispiel wäre die Theory of Planned Behavior. Das ist ein Klassiker in der Psychologie, der versucht zu erklären, welche Vorgaben oder welche Vorbedingungen es braucht, damit Leute ein bestimmtes Verhalten oder eine bestimmte Handlung ausführen. Diese Theorie wird auch in der Cybersecurity eingesetzt.
Würde man sich anhand dieser Theorie etwa überlegen, wie man Menschen dazu bewegen kann, sichere Passwörter zu vergeben?
Genau. Bei Passwörtern ist ja die Herausforderung, dass sie schwierig zu merken sind. Das heißt entweder ich schreibe sie mir auf einen Zettel, oder ich vergesse sie eben wieder. Am besten verwendet man natürlich einen Passwortmanager. Da stellt sich die Frage, wie bekommt man die Leute dazu, dass sie den Passwortmanager verwenden. Da muss man Grundlagen schaffen: dass es gewisse Vorteile hat, weil man die Passwörter sich nicht mehr merken muss; dass die Eingabefelder automatisch ausgefüllt werden; dass die Usability attraktiver ist als ständig ein neues Passwort zu vergeben, weil man das alte vergessen hat. Aber natürlich muss ich erst einmal dieses neue System kennenlernen und Hürden überwinden. In diesem Fall würde man versuchen, die Vorbedingungen in der Studie besonders positiv zu gestalten und hätte dann die Hoffnung, dass die Leute den Passwortmanager auch über die Studie hinaus verwenden und sich das Wissen weiterträgt.
Gab es Projektergebnisse, die dich besonders überrascht haben?
Was tatsächlich überraschend war, dass wir in unserer szientometrischen Analyse nur vier Personen mit einer psychologischen Ausbildung gefunden haben, die auch Artikel in der Cybersecurity veröffentlicht haben. Ich dachte mir schon, dass es wenige sein würden, aber dass es so wenige waren, hat mich dann doch überrascht. Was auch interessant war, war dass es ja immer heißt: „Der Faktor Mensch ist wichtig bei der Sicherheit“, aber das spiegelt sich gar nicht so sehr in der Anzahl der Artikel wider. Der Bereich der Human Security nimmt einen relativ kleinen Anteil der Artikel ein – es sind nur so um die 5 Prozent. Im Umkehrschluss handelt es sich also eher um psychologisch interessierte Informatiker:innen, die sich mit diesem Themen auseinandersetzen.
Bei CISPA arbeitest du im Empirical Research Support. Ist eure Abteilung ein Alleinstellungsmerkmal in der Cybersicherheitsforschung?
Das Ziel unserer Abteilung ist primär, die Forschenden am CISPA zu beraten und nicht selbst zu forschen. Mit unserem Hintergrund ist das schon ein Alleinstellungsmerkmal, denke ich. Die Idee ist, dass wir vor allem bei den Studien unterstützen, in denen Menschen eine Rolle spielen, oder die mit Menschen durchgeführt werden. Als Psycholog:innen ist das unsere Expertise.
Bei welchen Forschungsfragen könnt ihr die Forschenden unterstützen?
Die Projekte, in die wir eingebunden sind, sind ganz unterschiedlich. Teilweise sind wir von Anfang an dabei, teilweise kommen wir erst bei der Versuchsplanung, dem Studiendesign oder der Datenauswertung dazu. Es ist aber immer so, dass die Forschenden mit der Fragestellung auf uns zukommen und wir dann überlegen, ob man vielleicht noch etwas Kleines ändern oder griffiger machen muss. Manchmal haben wir auch Hinweise, was es noch an unterstützender Literatur gibt.
Wird eure Expertise von den Forschenden gut angenommen?
Ja, wir haben alle ganz gut zu tun. Die Forschenden kommen ja auf uns zu, da ist also eine grundlegende Offenheit da. Ich finde das ist eigentlich das Schöne bei der Arbeit, dass von den Forschenden von Beginn eine Bereitschaft und ein Austausch da sind. Das ist eine schöne Zusammenarbeit.
