R
wirtschaft + weiterbildung
07/08_2017
45
ist anfälliger für soziale Manipulationen.“
Ein Mitarbeiter müsse sich die Zeit neh-
men können, eine Anfrage erst einmal
intern abzuklären. Und er müsse dafür
Rückendeckung vom Chef haben. „Si-
cherheit hat auch viel mit der Unterneh-
menskultur zu tun“, sagt die Psychologin.
Wer seinen Mitarbeitern vermittelt, dass
jeder einzelne Verantwortung für die Si-
cherheit habe und es daher auf ihn an-
komme, erreiche auch ein höheres Sicher-
heitsbewusstsein. Dabei sollten Mitarbei-
ter auch darin bestärkt werden, auf ihr
Bauchgefühl zu achten, wenn ihnen zum
Beispiel eine E-Mail komisch vorkommt,
und sie an die IT-Abteilung weitergeben
können. Und dort sollte der Verdacht
ernst genommen werden, auch wenn er
sich vielleicht als Fehlalarm entpuppt.
Dabei erweist sich neben dem Zeitdruck
nicht selten auch das große Vertrauen der
Mitarbeiter in die IT als verhängnisvoll
und so mancher glaubt: „Wir haben ja
eine gute IT-Abteilung, da ist alles sicher.“
Tests mit dem „Bluff-o-Meter“
Um herauszufinden, für welche Art von
sozialen Angriffen man selbst besonders
empfindlich ist, hat die Awareness-Agen-
tur „Known Sense“ das Bluff-o-Meter
entwickelt, eine Art „Brigitte-Test“, bei
dem jeder herausfinden kann, wo seine
Schwachstellen liegen. Denn nur wer sich
selbst kennt, weiß auch, wo er leicht an-
greifbar ist. So ist der eine eben leicht-
gläubig, der andere vor allem neugierig.
Auch hier spielt die Unternehmenskultur
eine wichtige Rolle. In Firmen, in denen
Wertschätzung gelebt wird, werden die
Mitarbeiter auch weniger empfänglich für
einen Angreifer sein, der sie mit Schmei-
cheleien umgarnt. „Ganz schön blöd,
wenn der „Social Engineer“ der netteste
Mensch am Arbeitsplatz meiner Mitarbei-
ter ist“, brachte es einer der Interviewten
in der Studie auf den Punkt.
Doch nicht nur das Bedürfnis nach An-
erkennung macht es Hackern leicht,
auch unsere „mentalen Shortcuts“ helfen
ihnen, an Informationen zu kommen.
„Wir können nicht jede einzelne unserer
Handlungen genau durchdenken“, sagt
die Psychologin Matas. „Das dauert zu
lange und ist zu energieraubend.“ Also
nütze man Denkabkürzungen. Das sei
wie beim Autofahren, wo man die ein-
zelnen Schritte auch vergisst und auto-
matisch handelt. Einer dieser Shortcuts
ist die Regel: Gleichheit schafft Vertrauen.
„Wenn jemand aus demselben Ort
kommt, dieselben Hobbys oder an der-
selben Uni studiert hat, schafft das sofort
Vertrauen und wir sprechen dem anderen
positive Eigenschaften zu“, so Matas. Das
sei zwar naiv und nicht immer zutref-
fend, weil jemand mit demselben Hobby
nicht automatisch vertrauenswürdig sei.
Aber es funktioniere nun mal und nur
wer sich dessen bewusst sei, könne da-
gegen steuern. Das Perfide ist, dass es
oftmals nicht einmal streng vertrauliche
Informationen sind, die dem „Social En-
gineer“ den Weg zu vertraulichen Daten
bahnen. Denn jede Kleinigkeit kann ein
wichtiger Baustein für einen Angriff sein.
Das reicht vom Sportverein bis zum Lieb-
lingsessen. Wer das kennt, kann schnell
ein Vertrautheitsgefühl aufbauen und
damit Zugang zu den wichtigen Daten be-
kommen. „Jeder muss sich stets darüber
klar sein, welche digitalen Fußabdrücke
er hinterlässt und wie diese nutzbar sein
könnten“, mahnt Matas.
Nonverbale Signale fehlen
Ein wichtiges Ergebnis der Interview-
Studie war auch, dass Jüngere keinen
Unterschied mehr zwischen analoger
und digitaler Kommunikation sehen. „Sie
spüren die fehlenden Kanäle nicht und
brauchen sie daher auch nicht für die
Überprüfung.“ Dabei spielen in der ana-
logen Kommunikation gerade die non-
verbalen Signale oftmals eine wichtige
Rolle, um eine Aussage richtig einzuord-
nen oder zu verifizieren. Beim digitalen
Austausch fallen diese Signale und damit
Bluff-o-Meter: Würden Sie reinfallen?
Beispiel eins.
Sie sind in Eile, als ein Herr
Müller vom IT-Support anruft. Er sagt, dass
beim letzten Update ein gravierender Fehler
gemacht worden sei und er jetzt sofort Ihre
Zugangsdaten benötige, um weiteren Scha-
den zu vermeiden. Das passt Ihnen zwar
gerade gar nicht, aber Herr Müller wird jetzt
ungeduldig – er müsse gleich Ihren Zugang
sperren und Ihrem Vorgesetzten Meldung
machen.
Wie reagieren Sie?
Menschen, die emp-
fänglich sind für Lob, sagen: „Na gut, hier ist
die Nummer, dann hat die liebe Seele Ruh!“
oder „Toll, was so ein IT-Support alles mitbe-
kommt und aus der Ferne beheben kann!“
Testfragen.
„Social Engineering“ nutzt verschiedene menschliche Eigenschaften wie Hilfsbereitschaft
oder die Sehnsucht nach Anerkennung. Anhand von Fragen (hier eine kleine Auswahl) kann jeder selbst
testen, ob er von Betrügern als „Einfallstor“ benutzt werden könnte (Quelle: Known Sense).
Beispiel zwei.
Sie erhalten eine freundliche
E-Mail von Ihrer Kollegin Frau Zoff vom Büro
in Darmstadt. Sie lobt Sie überschwänglich
für Ihr letztes Teamprotokoll. Sie bräuchte
noch die ein oder andere Information. Sie
mailen hin und her und beantworten gerne
alle Fragen.
Was geht Ihnen dabei durch den Kopf?
Men-
schen, die empfänglich sind für Lob bis hin
zu Schmeicheleien sagen: „Wenn jemand
mich so nett fragt, hat er sich auch eine Aus-
kunft verdient.“ Oder: „Wenn ich Frau Zoff
die Informationen nicht gebe, wer weiß, ob
sie dann auch noch so nett ist und wem sie
erzählt, dass ich nicht kooperativ bin.“
Beispiel drei.
Ein Herr Cornelsen von der
Firma Pics 4 Pax ruft an. Ihr Teamleiter ist
in einem Meeting, hat aber laut Herrn Cor-
nelsen Ihre Nummer an ihn weitergereicht,
damit Sie ihm möglichst „zeitnah“ Infor-
mationen über den aktuellen Status des
gemeinsamen Geschäfts erteilen.
Wie reagieren Sie?
Menschen, die emp-
fänglich sind für Lob bis hin zu Schmei-
cheleien denken: „Oh je, mein Teamleiter
liebt keine Verzögerungen, da gebe ich
dem Anrufer lieber schnell die gewünsch-
ten Informationen.“ Oder: „Toll, dass mein
Teamleiter mir so eine wichtige Aufgabe
zutraut, klar gebe ich die Infos weiter.“
