Was hat IT-Sicherheit mit Psychologie zu tun, fragst Du Dich vielleicht. Viel mehr als man zu Beginn vermutet.
Kriminelle Schadsoftware scheitert immer öfter mit direkten Angriffen auf IT-Systeme. Die Schutzmaßnahmen werden sicherer, Hacker-Attacken prallen ab und verpuffen schadlos. Im Rennen um jede Sicherheitslücke sind die Antiviren-Anbieter schnell dabei und schließen viele Angriffspunkte. Eine Schwachstelle lässt sich allerdings nicht schließen. Nicht heute und nicht morgen.
Diese Schwachstelle ist in Unternehmen oft hundertfach vorhanden und äußerst anfällig für Cyberattacken. Die Rede ist vom Menschen.
Der Mensch ist die größte IT-Schwachstelle
Das wissen auch kriminelle Hacker und nehmen deshalb die Mitarbeiter ins Visier. Die größte Gefahr stellt dabei das „Phishing“ dar. „Phishing“ ist ein englisches Kunstwort und bezeichnet das Sammeln von sensiblen Daten und das Ausführen von Schadsoftware über gefälschte Webseiten oder E-Mails. Dabei wird die Gutgläubigkeit der Mitarbeiter ausgenutzt. Sie fallen schlicht und einfach auf täuschend echt gestaltete Mails rein und lassen sich hinreißen, einen Anhang mit Schadcode zu öffnen. Der afrikanische Prinz, der eine Vorabüberweisung benötigt, um später hohe Geldsummen auszuzahlen, ist ein einfach gestricktes Beispiel aus frühen Tagen. Und trotzdem hatte auch diese Masche Erfolg.
Das größte Einfallstor: Die E-Mail
Die statistischen Zahlen sind erstaunlich. Spam-Mails haben mittlerweile einen Anteil von über 55 Prozent des gesamten Mailverkehrs in Deutschland. Sicherheitsexperten geben an, dass neun von zehn Cyberangriffe mit einer E-Mail starten. Jeder Mitarbeiter müsste sich also jeden Tag mehrfach mit der Frage beschäftigen, ob die eingegangenen E-Mails echt sind oder als Spam zu markieren sind. Diese Frage wird immer schwieriger zu beantworten sein. Die professionellen Täuschungen sind kaum noch von echten Absendern zu unterscheiden. Mal davon abgesehen, dass eine hohe Arbeitsbelastung die Prüfung verdächtiger E-Mails nicht fördert.
Die menschliche Psyche
Welche Schwächen der menschlichen Psyche werden bei diesen Angriffen ausgenutzt?
Da wäre zunächst einmal der Leichtsinn zu nennen. Menschen nehmen Bedrohungen nicht ernst. Es sind immer die anderen, denen so etwas passiert. Aus Unachtsamkeit und Leichtgläubigkeit werden dann E-Mails und Anhänge geöffnet, die den Angreifern Tür und Tor öffnen. Es fehlt ein ausgeprägtes Sicherheitsbewusstsein (Security Awareness). Der Mitarbeiter ist arglos und denkt sich nichts dabei.
Ein weiterer Aspekt ist die Neugier. Eine lesenswerte E-Mail mit interessantem Inhalt verleitet schnell zu einem verhängnisvollen Mausklick. Nach einer arbeitsintensiven Phase ist etwas Ablenkung durchaus nachvollziehbar. Die Freude auf interessante Unterhaltung oder die Angst, etwas zu verpassen, führen zum unachtsamen Anklicken einer gefälschten Webseite.
Es gibt ein Motivationsmodell in der Psychologie, wonach Menschen genau aus zwei Gründen Handlungen ausführen:
- Um einem Druck auszuweichen
- Um einen persönlichen Vorteil zu erlangen
Phishing-E-Mails sind oft mit Handlungsaufforderungen versehen, die genau diese beiden Punkte mit Nachdruck adressieren. Es wird eine Drucksituation aufgebaut, indem sofort mit Konto- oder Kreditkartensperre gedroht wird und eine Aktivität auf einer gefälschten Webseite eingefordert wird.
Oder es werden persönliche Vorteile in Form von Begünstigungen oder Geldwerten versprochen, die ein sofortiges Klicken gefälschter Links erfordern.
Wie erkenne ich Phishing Mails?
Die Verbraucherzentrale hat einige Anzeichen zusammengestellt, die auf Phishing Mails hindeuten:
- Grammatik- und Rechtschreibfehler
- Fehlende persönliche Anrede
- Text in einer fremden Sprache
- Aufforderung zum Öffnen einer Datei
- Aufforderung zum Folgen eines Links
Eine spezielle Form ist das Spear Phishing, welches einen gezielten Angriff auf ausgesuchte Personen darstellt. Das sind oft zusammenhängende Kampagnen, die von potenten kriminellen Organisationen entwickelt werden, um an wertvolle Geschäftsinformationen zu gelangen.
Einen wichtigen Hinweis auf die Identität eines Absenders liefert immer dessen IP-Adresse im Mail-Header. Diese ist fälschungssicher und gibt Aufschluss über den tatsächlichen Absender. Im Zweifelsfall lohnt sich also eine kurze Recherche, wer genau hinter der E-Mail steckt.
Der Mensch ist der beste Virenschutz
Es ist tatsächlich paradox. Der Mensch ist das Problem und gleichzeitig die Lösung der IT-Sicherheit. Dr. Jekyll and Mr. Hyde vereint in der Gestalt des Mitarbeiters.
Wie wird denn aus der größten IT-Schwachstelle der beste Virenschutz? Die Lösung ist ein sicherheitsbewusster Mitarbeiter, der über die Gefahrenlage aufgeklärt ist und dabei sensibilisiert auf Betrugsversuche reagiert.
Das Ziel ist der Mitarbeiter als menschliche Firewall.
Aufklärung und Sensibilisierung lassen sich in internen Schulungen und Info-Veranstaltungen vermitteln.
Wichtig dabei ist, dass es nicht bei einer Einmal-Veranstaltung bleibt. Eine Sensibilisierung hält nicht ewig an, die Bedrohungslage leider schon.
Es empfiehlt sich also regelmäßig, über die Gefahrenlage zu sprechen. Ein guter Aufhänger sind regelmäßige Erfolgsmeldungen über den Nichteintritt von Schadsoftware. Das ist der Return of Investment aller Sicherheitsbemühungen. Bei der immensen täglichen Bedrohung ist das keine Selbstverständlichkeit. So positiv verstärkt, lässt sich eine permanente Security Awareness im Unternehmen herbeiführen.