Kontakt

Wir haben Sie beim Masturbieren gefilmt

Nina Richard M. Sc.

Veröffentlicht am 05.11.2021 von Nina Richard M. Sc.

Herr Müller (Name geändert) aus der Buchhaltung erhält eine E-Mail einer unbekannten Adresse. Darin steht, dass er Opfer eines Hackerangriffs geworden sei und er bei Masturbieren gefilmt wurde. Damit das Video nicht veröffentlicht würde, müsse er eine Überweisung über eine hohen Summe tätigen. Der Überweisungsschein wurde bereits beigefügt. Was soll er nur tun? Das Risiko eingehen, die E-Mail melden oder das Geld lieber doch einfach überweisen? 

Was Herrn Müller passiert ist, nennt sich Cyber-Crime und ist bei weitem kein Einzelfall, sondern betrifft nämlich ziemlich viele Menschen. Der Grund, weshalb solche Betrügereien funktionieren, ist so alt wie die Menschheit selbst und tief in unserer Natur verankert. Betrügereien funktionieren nach altbewährten Mustern: Sie nutzen Emotionen. Emotionen, die zu unserer Bedürfnisbefriedigung beitragen. Die Grundbedürfnisse wie schlafen und essen, sind bei den meisten Gesellschaftsschichten in Deutschland gegeben. Sprich: Die Wenigsten von uns haben echte Probleme. Wir leben in einer Wohlstandsgesellschaft, in der wir uns Gedanken über das Restaurant zur Mittagspause, den nächsten Urlaub oder sinnlose Gadgets machen. Nur so bekommen wir die Anerkennung unseres sozialen Gefüges. Das macht uns psychologisch angreifbar.  

Social-Engineers arbeiten unter anderem mit:  

  • Angst
  • Sympathie/Vertrauen  
  • Hilfsbereitschaft  
  • Respekt vor Autoritäten  

Um gegen Social-Engineers und Cyber Crime vorzugehen, erfordert es ein ausgebautes Awareness-, auf deutsch Bewusstseins-Training, um Mitarbeitende zu sensibilisieren und auf solche Cyber Angriffe vorzubereiten. „Unsere IT-Systeme sind heute so komplex, dass es am einfachsten ist, den Menschen zu hacken. Kriminelle nutzen hier angeborene Verhaltensweisen aus, um ihr Ziel zu erlangen“, sagt Sascha Czech, Bereichsleiter IT-Sicherheit der Sana Kliniken AG. 

Es geht für Menschen nicht darum, plötzlich allem und jedem zu misstrauen. Awareness soll nicht das Verhältnis zwischen Menschen zerstören – ganz im Gegenteil. Es soll jeden einzelnen Handlungssicherheit geben, wenn wir – und das macht uns menschlich – Fehler machen.   

Das strukturierte Erfolgsrezept: 

  1. Anfälligkeits-Analyse:  
    Der erste Schritt ist der Risiko-Workshop, in dem allgemeine Risiken für das Unternehmen identifiziert, bewertet und priorisiert werden.  
  1. Awareness-Kampagne 1:  
    Darauf folgt der zweite Schritt, eine erste Awareness-Kampagne zur Identifikation des Ist-Standes. Dazu sollten folgende Thematiken geprüft werden: Fake-Phishing-Mail, CEO-Fraud o.Ä., persönlicher Zugang zu kritischen Unternehmensbereichen, Abgriff von Daten bzw. Installation von Schadsoftware.  
  1. Die Mitarbeiterbefragung:  
    Hierbei handelt es sich um eine sehr gute Möglichkeit, um die Selbst- und Fremdwahrnehmung einer Unternehmung (und deren Menschen) sowie die Darstellung in der Benchmark zu ermöglichen.  
  1. Schulungskonzept:  
    Anhand der Ergebnisse aus Schritt 1-3 wird ein Schulungskonzept und Training entwickelt. Diese setzen genau dort an, wo Handlungsbedarf besteht. Hier wird den Mitarbeitern nicht nur die Arbeitsweise von Social Engineers nähergebracht. Sondern auch an den eigenen Schwächen gearbeitet und eine gemeinsame Fehlerkultur erarbeitet. Ergebnis: Den Mitarbeitern werden Ängste genommen, das Selbstvertrauen sich den Herausforderungen zu stellen, steigt signifikant. 
  1. Awareness-Kampagne 2:  
    In Anlehnung an die erste Awareness-Kampagne erfolgt ein erneuter Durchgang von „Angriffsszenarien“. Gemäß der ersten Angriffsphase erfolgt eine Wiederholung ähnlicher Angriffe, um die Erfolge der Trainings zu ermitteln. Eine 100%ige Sicherheit existiert nicht. Weder in IT-Systemen und schon gar nicht da, wo Menschen agieren. Muss es aber auch gar nicht. Wichtig ist, dass wir uns trauen, Dinge zu Hinterfragen und zu überprüfen. Darüber hinaus muss Mitarbeitern die Angst vor dem Thema Informationssicherheit genommen werden. Dieser Aufruf darf sich jedoch nicht nur an die Mitarbeitenden richten, sondern muss zum anderen von der Geschäftsführung mit der nötigen Management Attention betrachtet werden.  

Zuerst erschienen in ExperSite – Das Magazin für Datenschutz und Informationssicherheit 04/2019