Sensibilisierung: Es gibt noch viel zu tun

Social Engineering-Angriffe wie Spear Phishing sind eine der größten Gefahren für die Informationssicherheit

Datum
15. Juni 2017
Autor

Jeder weiß, dass er auf keine Links in Nachrichten unbekannter Absender klicken sollte. Und trotzdem tun es mehr, als jedem IT-Sicherheitsverantwortlichen lieb sein darf. Hauptmotivation ist Neugier, wie eine deutsche Studie herausgefunden hat.

Im Januar 2014 haben Forscher der Friedrich-Alexander-Universität Erlangen-Nürnberg und der Universität des Saarlandes ein Experiment mit 1255 Studierenden durchgeführt. Sie haben 975 von ihnen eine E-Mail und 280 von ihnen eine Facebook-Nachricht geschickt. In dieser Nachricht aufgefordert, auf einen Link zu klicken, um sich Bilder von einer Party anzuschauen. Der Absender war genauso erfunden wie die Party. Trotzdem klicken 20 Prozent der E-Mail-Empfänger und sogar 42,5 Prozent der Facebook-Nachricht-Empfänger auf den Link.

Nach dem Experiment befragten Zinaida Benenson, Freya Gassmann und Robert Landwirth die Testpersonen, warum sie auf den Link geklickt hätten. «Neugier war der häufigste Grund für die Empfänger», bringen sie ihre Ergebnisse auf den Punkt, «obwohl sie wussten, dass sie gar nicht auf einem der Bilder sein konnten – sie waren nur neugierig und wollten die privaten oder lustigen Bilder sehen». In ihrem Bericht «Unpacking Spear Phishing Susceptibility» kommen die Forscher zu einem ernüchternden Fazit: «Die Resultate zeigen, wie einfach es ist, mit einem gezielten Angriff menschliche Schwächen auszunützen».

Immerhin gibt es auch positive Ergebnisse. Die, die nicht auf den Link geklickt haben, waren skeptisch, weil ihnen der Absender unbekannt war oder sie den Verdacht hegten, es könnte Phishing sein.

Video (43 Minuten): Im Sommer 2015 hat Zinaida Benenson das Experiment und die Ergebnisse an der Black-Hat-Konferenz in Las Vegas präsentiert.

Einschätzung

Der Mensch ist und bleibt das schwächste Glied in der Kette. Social Engineering-Attacken wie Spear Phishing sind eine große Gefahr für die Informationssicherheit. Darum müssen alle für die Gefahren sensibilisiert werden, auch wenn sie es nicht mehr hören können.

Interessant ist, wie viel höher der Anteil der Facebook-Nachricht-Empfänger ist, die auf den Link geklickt haben. Die Hemmschwelle in der formlosen Kommunikation auf einer Social Media-Plattform scheint deutlich tiefer zu sein. Auch hier müssen die Sicherheitsverantwortlichen informieren und sensibilisieren.

Zielgruppen

  • Management
  • IT- und IS-Verantwortliche
  • Interessierte Kreise