Gestern habe ich mich in einem Blogpost mit dem Umstand befasst, dass viele Sicherheitsprobleme in Organisationen und Unternehmen darin begründet liegen, dass Mitarbeiter nicht richtig geschult sind. Daraus ist eine Diskussion auf Google+ entstanden, in deren Verlauf deutlich wurde, dass ein anderes Problem darin besteht, dass IT-Sicherheit oft nur an technischen Lösungen orientiert ist. Die psychologische Seite, das Verhalten der Beteiligten, wird meist komplett ausgeblendet. In diesem Artikel möchte ich daher darlegen, warum ich der Meinung bin, dass IT-Sicherheit nicht primär ein Problem ist, das auf der technischen Ebene zu lösen ist, sondern ein psychologischer Prozess. Zahlreiche psychologische Faktoren beeinflussen diesen Prozess und entscheiden darüber, ob IT-Security erfolgreich implementiert werden kann oder nicht. Weiterlesen

Dieser Tage wird berichtet, dass ein Trojaner, an dessen Entwicklung auch die NSA beteiligt sein soll, im Bundeskanzleramt aufgetaucht sei. Eine Mitarbeiterin der Bundeskanzlerin habe gegen eine Sicherheitsregel verstoßen und einen dienstlichen USB-Stick an einen privaten Rechner angeschlossen, der mit dem Trojaner „Regin“ infiziert war.

Solche Vorfälle sind nicht nur in Regierungskreisen, sondern auch bei Unternehmen recht häufig und stellen ein nicht unerhebliches Sicherheitsrisiko dar. Mitarbeiter handhaben Sicherheitsrichtlinien zu lax oder missachten sie, wie in diesem Fall den Berichten nach geschehen, gar gänzlich.

Die Ursache für ein solches Fehlverhalten ist jedoch nicht Dummheit, wie man als Reaktion auf derartige Vorkommnisse immer wieder lesen kann. Das Problem liegt meist darin begründet, dass Sicherheitsregeln Mitarbeitern nicht ausreichend bekannt sind oder zumindest ihre Dringlichkeit nicht ausreichend bewusst ist. Die Gefahr, die für einen Betrieb oder für eine Behörde relevanten IT-Anlagen droht, wird daher oft als sehr abstrakt wahrgenommen. Das führt zu Nachlässigkeiten bei der Beachtung von Policies. Hinzu kommt, dass sich Sicherheit und Effektivität bei der Arbeit oft ausschließen. Die Beachtung von Sicherheitsmaßnahmen beeinträchtigt die Effektivität. In diesem Fall hätte eine Beachtung der Policies dazu geführt, dass die Mitarbeiterin von zuhause aus an dem Dokument nicht hätte weiterarbeiten können.

Wie kommt es nun dazu, dass Policies trotz Kenntnis nicht beachtet werden? Ein möglicher Erklärungsansatz liegt in dem bekannten psychologischen Konzept der kognitiven Dissonanz. Darunter versteht man einen inneren Konflikt zweier Absichten, der als sehr unangenehm empfunden wird, weil sich die beiden Absichten widersprechen und nicht miteinander vereinbaren lassen. Man weiß um das Risiko und möchte natürlich das System nicht kompromittieren, will aber gleichzeitig die Arbeit schnell und effektiv erledigen. Eine Möglichkeit, diese kognitive Dissonanz aufzulösen, besteht nun fatalerweise darin, die Wahrscheinlichkeit für negative Folgen einer Verletzung der Sicherheitsregeln geringer einzuschätzen, als sie tatsächlich ist. Die Tatsache, dass digitale Bedrohungen oft als sehr abstrakt empfunden werden, fördert diese Einschätzung noch.

Wie kann man einer solchen kognitiven Dissonanz nun vorbeugen? Eine Schlüsselrolle kommen dabei sicherlich Mitarbeiterschulungen zu. Es reicht nicht, Mitarbeitern die Sicherheitsregeln mit dem Arbeitsvertrag vorzulegen und sie auf ihre Beachtung einzuschwören. Und auch eine einmalige Schulung bei Einstellung reicht nicht aus. Policies müssen in Schulungen regelmäßig aufs Neue nahegebracht werden. Darüber hinaus muss der Ernstfall regelmäßig geprobt werden, damit Mitarbeitern die Gefahr nicht zu abstrakt erscheint.

Auf der anderen Seite müssen Vorgesetzte akzeptieren, dass Effektivität nicht zu Lasten der Sicherheit gehen darf. Mitarbeiter, die sich an Sicherheitsvorschriften halten, müssen darin bestärkt werden, anstatt sie unter Druck zu setzen, effektiver zu arbeiten.

Wenn es gelingt, ein betriebliches Umfeld zu schaffen, in dem digitale Bedrohungsszenarien nicht als etwas Abstraktes empfunden werden, sondern stets bewusst sind, und in dem Effektivität nicht über Sicherheit gestellt wird, sodass kognitive Dissonanz erst gar nicht entstehen kann, so kann es gelingen, das Risiko für solche Kompromittierungen erheblich zu reduzieren.

Ich erlebe es immer wieder, daß User beispielsweise in sozialen Netzwerken oder auch per Mail Bekannte und Freunde eifrig vor vermeintlichen Gefahren im Netz warnen. In vielen Fällen verbreiten sich diese Nachrichten in Windeseile. Wenn man diejenigen, die das weiterverbreiten, nach einer unabhängigen Quelle für die Warnung fragt, so können sie meist keine nennen. Nur in seltenen Fällen ist an der Warnung etwas dran. Meistens handelt es sich um einen sogenannten Hoax, eine Falschmeldung.

Bittet man diejenigen, die Hoaxes weiterverbreiten, dies nicht zu tun, erzeugt dies meistens Unverständnis. Schließlich sei es doch nur gut gemeint, und lieber warne man vor etwas, auch wenn es sich dann als Falschmeldung herausstelle.

Doch diese Haltung ist gefährlich! Hoaxes sind oft nicht harmlos! Weiterlesen

Wenn es um psychologische Mechanismen geht, die beim Social Engineering zur Anwendung kommen, wird meiner Wahrnehmung nach ein Mechanismus oft vergessen, nämlich das Opfer zu loben. Dabei kommt dieser Ansatz vor allem – aber nicht nur – dann recht häufig vor, wenn es darum geht, die Verbreitung von Spam zu fördern. Weiterlesen

Als ausgebildeter Psychologe habe ich mich auch eine Zeit lang mit psychologischen Aspekten von Computersicherheit befaßt. Ein häufig anzutreffender Irrtum ist der Glaube, daß die meisten Sicherheitsprobleme durch technische Unzulänglichkeiten wie Sicherheitslücken in Software und Hardware entstehen. Die Mehrzahl der Sicherheitsprobleme in der IT entsteht erst durch den Faktor Mensch. Als sogenanntes Social Engineering bezeichnet man den Versuch, durch psychologische Einflußnahme auf Menschen an Informationen heranzukommen, um in IT-Systeme eindringen oder daraus Daten entwenden zu können. Diese psychologische Form des Angriffes auf Computersysteme, auch Social Hacking genannt, stellt sowohl im privaten wie auch im Business-Bereich eines der Hauptprobleme für die IT-Sicherheit dar. Der weltweite Schaden, der allein durch Computerkriminalität entsteht, wird von Europol auf jährlich 750 Milliarden Euro geschätzt. Diese enorme Summe zeigt eindrücklich, daß die Sicherheit von Computeranlagen insbesondere im geschäftlichen Umfeld von existenzieller Bedeutung ist. Dieses Blog verfolgt daher das Ziel, die Themen Social Engineering und Social Hacking vor allem im geschäftlichen Umfeld mehr in den Fokus der Öffentlichkeit zu rücken. Dabei möchte ich sowohl Tips für Privatanwender wie für Firmen geben, wie sich Schäden durch Social-Engineering-Angriffe vermeiden lassen.

Im ersten Artikel möchte ich die meiner Ansicht nach wesentlichsten psychologischen Mechanismen diskutieren, die bei solchen Angriffen zur Geltung kommen, und aufzeigen, wie man sich vor Social Engineering schützen kann. Die Ratschläge sind für Privatanwender anwendbar, gelten aber auch im geschäftlichen Umfeld. Weiterlesen