Kontakt

Schwachstelle Mensch – das Spiel mit den Emotionen

Nina Kill M. Sc.

Veröffentlicht am 02.02.2021 von Nina Kill M. Sc.

Herr Müller (Name geändert) aus der Finanzabteilung erhält eine E-Mail des Vorstands. Er sitze gerade in einer wichtigen Sitzung und müsse dringend eine Überweisung tätigen. Den Überweisungsschein mit seiner Unterschrift hat der Vorstand bereits beigefügt. Herr Müller hat ein paar Rückfragen zu der Überweisung und mailt ein paar Mal mit ihm hin und her. Nachdem alle offenen Punkte geklärt sind überweist Herr Müller den Betrag. Was er nicht weiß: Er ist gerade Opfer einer Social-Engineering-Attacke geworden. 

Was Herrn Müller passiert ist, nennt sich CEO-Fraud und ist bei weitem kein Einzelfall, sondern betrifft ziemlich viele Unternehmen. Tendenz steigend. Nach einer Umfrage der Unternehmensberatung pwc gaben 40 % der Unternehmen an, bereits einen Versuch von CEO-Fraud festgestellt zu haben (https://www.pwc.de/de/risk/pwc-wikri-2018.pdf). 5% davon waren erfolgreich. Grundsätzlich klingen 5% Erfolgsrate aus unternehmerischen Gesichtspunkten ziemlich gut. Problematisch ist allerdings, dass der wirtschaftliche Schaden erheblich für Unternehmen sein kann. 

Der Grund, weshalb solche Betrügereien funktionieren ist so alt wie die Menschheit und tief in unserer Natur verankert. Betrügereien funktionieren nach alt bewährten Mustern: Sie nutzen Emotionen. Emotionen, die zu unserer Bedürfnisbefriedigung beitragen. Die Grundbedürfnisse, wie schlafen, essen, sind bei den meisten Gesellschaftsschichten in Deutschland gegeben. Sprich: Die wenigsten von uns haben echte Probleme. Wir leben in einer Wohlstandsgesellschaft, in der wir uns Gedanken über das Restaurant zur Mittagspause, den nächsten Urlaub oder sinnlose Gadgets machen. Nur so bekommen wir die Anerkennung unseres sozialen Gefüges. Das macht uns psychologisch angreifbar. 

Social-Engineers arbeiten mit: 

  • Angst 
  • Sympathie/Vertrauen 
  • Hilfsbereitschaft 
  • Respekt vor Autoritäten 

Viele Aspekte des Social Engineerings sind klassische Aspekte der Wirtschaftsspionage. Ein Social Engineer tarnt sich als übernervöser Bewerber und erzeugt Mitleid. Eine Person am Empfang zu bitten ein Dokument des mitgebrachten und infizierten USB-Stick auszudrucken ist in dieser Situation durchaus erfolgversprechend. Der falsche Techniker ist dagegen ein beliebtes Kostüm um sich unerlaubt Zugang zum IT-Herzen, dem Serverraum zu verschaffen. Das Vorgehen bleibt in Variationen dabei immer gleich. Allerdings hat sich das Toolkit, mit dem Betrüger heute unterwegs sind geändert: Denn Werkzeuge wie Software und Kommunikationstools verfügen über eine enorm hohe Komplexität, die kaum ein Nutzer noch durchschaut. Und dann ist da noch die Masse an Informationen, die auf uns einströmt. Diese zu filtern und zu bewerten bedarf Konzentration, Aufwand und Zeit. Alles Dinge, die wir in unserer schneller, höher, weiter-Instagram-Welt, in der wir auf den reinen Medienkonsum getrimmt sind, nicht mehr haben. 

Sensibel werden – von wegen 

„Unsere IT-Systeme sind heute so komplex, dass es am einfachsten ist, den Menschen zu hacken. Kriminelle nutzen hier angeborene Verhaltensweisen aus, um ihr Ziel zu erlangen“, sagt Sascha Czech, Bereichsleiter IT-Sicherheit der Sana Kliniken AG. Aber das ist kein Grund in Panik zu verfallen. Das von Experten empfohlene Zauberwort lautet: Awareness – auf deutsch Bewusstsein! „Awareness, das ist die Sensibilität für ein gewisses Problematiken in Bezug auf die Informationssicherheit“, sagt Max Wölk, Experte Informationssicherheit DATATREE AG. 

Es geht für Menschen nicht darum, plötzlich allem und jedem zu misstrauen. Awareness soll nicht das Verhältnis zwischen Menschen zerstören – ganz im Gegenteil. Es soll jedem einzelnen Handlungssicherheit geben, wenn wir – und das macht uns menschlich – Fehler machen.  

Ein entwickeltes und im Unternehmen gelebtes Awareness-Konzept kann hier den Betroffenen Handlungssicherheit geben und für Unternehmen, im wahrsten Sinne des Wortes, Gold wert sein. 

Das strukturierte Erfolgsrezept: 

  1. Anfälligkeits-Analyse: 
    Der erste Schritt ist der Risiko-Workshop, in dem allgemeine Risiken für das Unternehmen identifiziert, bewertet und priorisiert werden. 
  2. Awareness-Kampagne 1:
    Darauf folgt der zweite Schritt, eine erste Awareness-Kampagne zur Identifikation des Ist-Standes. Dazu sollten folgende Thematiken geprüft werden: Fake-Phishing-Mail, CEO-Fraud o.Ä., persönlicher Zugang zu kritischen Unternehmensbereichen, Abgriff von Daten bzw. Installation von Schadsoftware.
  3. die Mitarbeiterbefragung: 
    Hierbei handelt es sich um eine sehr gute Möglichkeit, um die Selbst- und Fremdwahrnehmung einer Unternehmung (und deren Menschen) sowie die Darstellung in der Benchmark zu ermöglichen. 
  4. Schulungskonzept:
    Anhand der Ergebnisse aus Schritt 1-3 wird ein Schulungskonzept und Training entwickelt. Diese setzen genau dort an, wo Handlungsbedarf besteht. Hier wird den Mitarbeitern nicht nur die Arbeitsweise von Social Engineers nähergebracht. Sondern auch an den eigenen Schwächen gearbeitet und eine gemeinsame Fehlerkultur erarbeitet. Ergebnis: Den Mitarbeitern werden Ängste genommen, das Selbstvertrauen sich den Herausforderungen zu stellen, steigt signifikant.  
  5. Awarenesskampagne 2:
    In Anlehnung an die erste Awarenesskampagne erfolgt ein erneuter Durchgang von „Angriffsszenarien“. Gemäß der 1. Angriffsphase erfolgt eine Wiederholung ähnlicher Angriffe, um die Erfolgsquote der Trainings zu ermitteln. Eine 100%ige Sicherheit existiert nicht. Weder in IT-Systemen und schon gar nicht da, wo Menschen agieren. Muss es aber auch gar nicht. Wichtig ist, dass wir uns trauen, Dinge zu Hinterfragen und zu überprüfen. Darüber hinaus muss Mitarbeitern die Angst vor dem Thema Informationssicherheit genommen werden. Dieser Aufruf darf sich jedoch nicht nur an die Mitarbeiter richten, sondern muss zum anderen von der Geschäftsführung mit der nötigen Management Attention betrachtet werden. 

Zuerst erschienen in ExperSite – Das Magazin für Datenschutz und Informationssicherheit 04/2019