Schwachstelle Mensch – Diese psychologischen Faktoren spielen beim Hacken eine Rolle

(Bielefeld, 27,  Mai 2024) „Eigentlich wissen wir alle, dass wir beim Klicken auf per Mail zugesendete Links vorsichtig sein müssen, aber dennoch tun wir es manchmal trotzdem“, skizziert MC-Präsidentin Sabine Schoner die Problemstellung: Wie werden Unternehmen immer wieder gehackt? Zu Gast bei der gut besuchten Veranstaltung des Marketing Clubs Ostwestfalen-Lippe in den gemütlichen Räumlichkeiten von NATIVES ist der Wirtschaftspsychologe Nicholas Peters.

Der geschäftsführende Gesellschafter der HXNWRK GmbH (ausgesprochen „Hexenwerk“) ist IT-Security Auditor und beschäftigt sich täglich mit der „Schwachstelle Mensch“. Denn die technischen Sicherheitssysteme von Unternehmen sind zumeist so gut, dass es für kriminelle Hacker viel zu aufwendig wäre, an die Daten zu kommen. „Wie bei einem realen Einbruch spielt der Faktor Zeit eine Rolle“, so Nicholas Peters. „Dauert es zu lange, hineinzukommen, sind die Kriminellen weg.“ In den allermeisten Fällen (90 bis 99 Prozent) sind es Mitarbeitende, die den Kriminellen Tür und Tor öffnen.

In den vergangenen Jahren hat die Zahl der Cyber-Attacken sprunghaft zugenommen. Wurde 2018 dadurch ein Schaden von 100 Milliarden Euro verursacht, verdoppelte sich diese Summe bereits 4 Jahre später. Mit Hacker-Angriffen hatten jüngst beispielsweise die Funke-Mediengruppe, Südwestfalen-IT, Dienstleister für 72 Kommunen, oder auch Krankenhäuser in der Region zu kämpfen.

Professionelle Organisationen

Schon längst sind Hacker nicht mehr die Nerds, die allein im Keller sitzen, sondern hochprofessionelle Zusammenschlüsse von Cyber-Kriminellen mit eigener Unternehmensstruktur,  teils mit Organigramm und Customer Support Team, das eine Datei entschlüsselt, um zu zeigen, dass sich die Daten tatsächlich in deren Händen befinden. „Amateure hacken Systeme; Profis hacken Menschen“, bringt Nicholas Peters die Vorgehensweise auf den Punkt. Sie bedienen sich dabei einer Strategie, die Social Engineering genannt wird. Dabei werden Menschen so geschickt manipuliert, dass sie Dinge tun, die sie selbst nicht für möglich gehalten hätten, nämlich Daten preisgeben, vertrauliche Informationen teilen oder Geldsummen bewegen. Die Hacker zielen auf menschliche Eigenschaften, wie Hilfsbereitschaft, Angst, Vertrauen oder auch Neugierde.

Immer noch machen Phishing-Mails (Password + Fishing), in denen beispielsweise mit der Sperrung des E-Mail-Accounts gedroht wird, das Gros der Angriffe aus. Unter Vishing (Voice + Fishing) fällt z. B. der Enkeltrick per Telefon, während bei Smishing (SMS + Fishing) zum Beispiel eine gefälschte Sendungsverfolgung von DHL per SMS versendet wird. Beispiele, die alle Anwesenden kennen und auf die wahrscheinlich die wenigsten hereinfallen.

Manipulation von Menschen 4.0

Die Hacker gehen immer perfider vor. „Wenn Herr Meier aus der Buchhaltung am Montagmorgen einen Anruf von der unternehmenseigenen IT erhält und gefragt wird, ob er eine Rechnung, die als Anhang gesendet wurde, geöffnet hat, ist die Wahrscheinlichkeit sehr hoch, dass das der Fall ist. Denn das ist schließlich der Job von Herrn Meier“, berichtet der Wirtschaftspsychologe von einem Fall aus der Praxis. Anschließend wird Panik verbreitet, dass durch diesen Anhang ein Cyber-Angriff auf das Unternehmen stattfindet, der mit schnellem Handeln noch abgewendet werden könnte, dazu bräuchte der vermeintliche IT-Verantwortliche gerade mal rasch das Passwort von Herrn Meier. Glaubwürdig wird diese Geschichte noch dadurch, dass die Telefonnummer, die der Buchhalter auf seinem Display sieht, mit der Nummer des IT-Verantwortlichen der Firma übereinstimmt. VoIP macht es Hackern sehr einfach, Rufnummern zu imitieren.

Manchmal wird auch mit Deep Fakes gearbeitet, bei denen die Stimmen und Fotos von Vorgesetzten verwendet werden, um bei einer Videokonferenz Angestellte nach ihren Passwörtern zu fragen oder höhere Überweisungen zu „legitimieren“. Weil die KI immer besser wird, wird es auch immer schwieriger, solche Deep Fakes zu erkennen. Bei Teams-Sitzung kann ganz Old School die Nennung eines Passworts vereinbart werden, um sicherzugehen, dass sich hinter den Kacheln tatsächlich die richtigen Menschen verbergen.

Faktor Bequemlichkeit

Im Zweifel sollte man bei einem Telefonanruf auflegen und noch mal anrufen, um sicherzugehen, dass es sich – wie bei dem Beispiel – tatsächlich um dem IT-Verantwortlichen des Unternehmens handelt. „Oft ist es Bequemlichkeit, die uns davon abhält, noch mal genauer hinzusehen oder nachzufragen“, sagt der Wirtschaftspsychologe. Auch der Faktor Zeit im Hinblick auf die Arbeitsbelastung spielt eine Rolle. Weil unser Gehirn es gern einfach mag, verrichten wir mehr als die Hälfte unserer alltäglichen Handlungen automatisch, also ohne nachzudenken – auch bei der Arbeit.

Aber warum lassen wir uns überhaupt verführen? Warum klicken wir auf potenziell gefährliche Links? Die Ausschüttung von Hormonen beeinflusst unsere Denkprozesse bzw. unsere Entscheidungsfindung, insbesondere Adrenalin, Cortisol, Dopamin und Oxytocin. Angst und Wut entstehen in der Amygdala, das ist die Schaltzentrale für die Hormonausschüttung im Gehirn. Wer beispielsweise eine Mail des Vorgesetzten mit haltlosen Vorwürfen und der Aufforderung, sofort einem Teams-Meeting beizutreten, bekommt, wird wahrscheinlich nicht lange überlegen und auf den Link klicken. Auch das Kuschelhormon Oxytocin oder das Glückshormon Dopamin können eine Rolle spielen und den Denkprozess vorübergehend lahmlegen. „Wenn uns unser Gegenüber suggeriert, dass es uns vertraut, verursacht das ein gutes Gefühl und wir sind geneigt, dieser Person Vertrauen zu schenken“, Nicholas Peters. Wenn dann auch noch der Kontext und das Thema passen, ist die Wahrscheinlichkeit sehr hoch, dass man auf einen Betrugsversuch hereinfällt. Wenn man gerade tatsächliche eine Sendung von DHL erwartet, sich auf das Paket freut, ist die Wahrscheinlichkeit gegeben, dass man auf den Link „Sendung verfolgen“ klickt.

Die menschliche Firewall stärken

Emotionale Erregung lähmt das logische Denken. Deshalb rät der Wirtschaftspsychologe dazu, Ad-hoc-Reaktionen zu vermeiden, zum Beispiel auf eine E-Mail, auf die wir sofort reagieren sollen. „Einfach erst mal aufstehen und sich einen Kaffee holen. Mit ein paar Minuten Abstand trifft man sicherlich bessere Entscheidungen“, so der Cyber-Security-Experte. Außerdem empfiehlt er Unternehmen ein angemessenes und realistisches Training für alle Mitarbeitenden und die Geschäftsführung sowie Awareness-Kampagnen, nachhaltiges Rüstzeug und stimmige technische Parameter. Problematisch ist aus Sicht des IT-Security Auditors, dass momentan in Deutschland lediglich drei Prozent der Schadenssumme in IT-Sicherheitsschulungen investiert wird.  Außerdem ist es wichtig, dass Unternehmen ihre Mitarbeitenden einbinden und positiv bestärken. Woran ist ein Angriff erkennbar und an wen sollen sich die Angestellten wenden?

Fazit des Abends: Cyber Security ist kein technisches Problem, sondern betrifft alle Unternehmen. Entsprechend lebhaft ging die Diskussion beim sich anschließenden Get-together weiter.

Text: Eike Birck

Fotos: Sarah Jonek