IT-Sicherheit: Mit Gamification zu Human Centered Security
IT-Sicherheit: Mit Gamification zu Human Centered Security
4. Februar 2023 -
ine ganzheitliche Sicherheitsstrategie bezieht auch Mitarbeitende mit ein, die helfen, Angriffsversuche frühzeitig abzuwehren. Um das Bewusstsein für IT-Gefahren zu verbessern, eignen sich Security Awareness Trainings, die auf Gamification und Storytelling bauen.
Artikel erschienen in IT Magazine 2023/01
Cyberkriminelle nutzen jede Schwäche in der IT-Sicherheit, um in Unternehmensnetzwerke einzudringen. Ihr Ziel: Daten abgreifen oder Daten verschlüsseln, um Firmen zu erpressen. Mit Phishing-Mails und vorgelagertem Social Engineering umgehen Cyberkriminelle technische Schutzmassnahmen und nehmen Angestellte direkt ins Visier. Die Erfolgschancen personalisierter Angriffe sind höher als der Versand von Massen-Phishing-Mails. Die Erklärung: Menschliches Verhalten lässt sich auf unterschiedliche externe Trigger zurückführen. Diese lösen verschiedene Reaktionen aus, die Menschen im Laufe der Zeit gelernt haben. Die Kriminellen setzen dabei beispielsweise auf Gier, Neugier, Angst, Druck, Pflichtbewusstsein, Hilfsbereitschaft und Gewohnheit. Ein typisches Beispiel: Gier. Wer hatte nicht schon eine E-Mail in seinem Postfach, die einen Geldgewinn oder eine Erbschaft in Millionenhöhe versprach? Druck erzeugen Angreifer, indem sie ihre Opfer auffordern, innerhalb eines knappen Zeitfensters einen Link anzuklicken, um die Zugangsdaten für den Online-Banking-Account zu bestätigen. Der Link führt zu einer gefälschten Seite. Wie gross das Problem ist, zeigt ein Bericht des FBI. Dort ist die Zahl der gemeldeten Straftaten im Zusammenhang mit Phishing innerhalb von fünf Jahren um mehr als 1560 Prozent gestiegen. Wie täuschend echt Kampagnen zurzeit aussehen, zeigen zwei aktuelle Beispiele, die auch Profis nicht auf den ersten Blick erkennen.
1. Phishing mal anders
Das potenzielle Opfer erhält eine Nachricht mit Anhang im PDF-Format über eine Paypal-Abbuchung. Interessanterweise enthält die Mail auch eine Kontaktmöglichkeit: eine Telefonnummer in den USA. Wer diese Nummer anruft, erreicht einen freundlichen Service-Mitarbeiter, der sogar deutsch spricht. Er erklärt, dass der Anrufer oder die Anruferin zunächst die eigenen Paypal-Daten inklusive Passwort angeben muss, damit die Zahlung zurückgebucht wird.