IT-Sicherheit: Mit Gamification zu Human Centered ­Security

Cyberkriminelle nutzen jede Schwäche in der IT-Sicherheit, um in Unternehmensnetzwerke einzudringen. Ihr Ziel: Daten abgreifen oder Daten verschlüsseln, um Firmen zu erpressen. Mit Phishing-Mails und vorgelagertem Social Engineering umgehen Cyberkriminelle technische Schutzmassnahmen und nehmen Angestellte direkt ins Visier. Die Erfolgschancen personalisierter Angriffe sind höher als der Versand von Massen-Phishing-Mails. Die Erklärung: Menschliches Verhalten lässt sich auf unterschiedliche externe Trigger zurückführen. Diese lösen verschiedene Reaktionen aus, die Menschen im Laufe der Zeit gelernt haben. Die Kriminellen setzen dabei beispielsweise auf Gier, Neugier, Angst, Druck, Pflichtbewusstsein, Hilfsbereitschaft und Gewohnheit. Ein typisches Beispiel: Gier. Wer hatte nicht schon eine E-Mail in seinem Postfach, die einen Geldgewinn oder eine Erbschaft in Millionenhöhe versprach? Druck erzeugen Angreifer, indem sie ihre Opfer auffordern, innerhalb eines knappen Zeitfensters einen Link anzuklicken, um die Zugangsdaten für den Online-Banking-Account zu bestätigen. Der Link führt zu einer gefälschten Seite. Wie gross das Problem ist, zeigt ein Bericht des FBI. Dort ist die Zahl der gemeldeten Straftaten im Zusammenhang mit Phishing innerhalb von fünf Jahren um mehr als 1560 Prozent gestiegen. Wie täuschend echt Kampagnen zurzeit aussehen, zeigen zwei aktuelle Beispiele, die auch Profis nicht auf den ersten Blick erkennen.

Das potenzielle Opfer erhält eine Nachricht mit Anhang im PDF-Format über eine Paypal-Abbuchung. Interessanterweise enthält die Mail auch eine Kontaktmöglichkeit: eine Telefonnummer in den USA. Wer diese Nummer anruft, erreicht einen freundlichen Service-Mitarbeiter, der sogar deutsch spricht. Er erklärt, dass der Anrufer oder die Anruferin zunächst die eigenen Paypal-Daten inklusive Passwort angeben muss, damit die Zahlung zurückgebucht wird.