Fisherman´s Foe – Warum Phishing so schwer zu bekämpfen ist und wie es doch geht“ –  ein aktueller Artikel  in der „<kes> – Die Zeitschrift für Informationssicherheit“ informiert über die Problematik und den Umgang mit Phishing-Mails. Das Thema „Phishing Mails“ wird auch aktuell besonders brisant, wenn die Sensibilisierung und das Training von Mitarbeitern beim Inkrafttreten der EU-Datenschutzverordnung (DSGVO) verpflichtend wird.

Der  schnelle Klick

Es hatte Folgen, als am 28. Februar 2018 bekannt wurde, dass Unbefugten über einen Klick an falscher Stelle Zugang zum IT-Netz der Bundesregierung verschafft wurde: die Bundesakademie für öffentliche Verwaltung (BAköV) nahm daraufhin beispielsweise ihre Lernplattform zur „Sensibilisierungsinitiative für Informationssicherheit in der Bundesverwaltung“ vom Netz: Sicherheitsbedenken. Was war passiert? Stattgefunden hatte die Einschleusung einer Schadsoftware über eine Phishing Mail.

Der Mensch gilt als Schwachstelle bei 95% aller Sicherheitsvorfälle

Dabei erfolgen 91 % aller Angriffe über Phishing Mails: „Spear-Phishing“ richtet sich gezielt auf die Mensch-Maschine-Schnittstelle, der unsichersten Schnittstelle im Internet: es sind die Benutzer, Menschen also, die mit Schadsoftware infizierte E-Mail-Anhänge öffnen.

Teil des Problems ist dabei die E-Mail selbst: sie ist bauartbedingt unsicher – und doch die meistgenutzte Anwendung im Internet: sie ist das „Schweizer Taschenmesser“, die eierlegende Wollmilchsau der elektronischen Kommunikation. Ihrer universellen Einsetzbarkeit steht aber auch ihr Postkartencharakter gegenüber: Anfälligkeit, Offenheit, Einsehbarkeit, Fehlzustellung, Verlust. Man sieht also: die E-Mail eignet sich für nichts, was man sonst im Leben auch nicht mit einer Postkarte erledigen würde: Vertrauliches, Termingebundenes oder allzu Persönliches.

Die Aufklärer haben es schwer

Alle Sicherheitssysteme hängen am Ende vom Menschen und dessen Schwächen ab: an seiner Fehlbarkeit und Leichtgläubigkeit, Bestechlichkeit, Emotionalität und Gier. Den Benutzern fehlen aber auch die Zeit, die Motivation und die nötigen Grundkenntnisse, um ein Training erfolgreich werden zu lassen. Unbelehrbarkeit mischt sich hier mit Unkenntnis, Desinteresse, Motivationslosigkeit und Ignoranz.

Der schlichte Hinweis auf die Sicherheitsprobleme der E-Mail reicht hier nicht. Was nach Ansicht der Benutzer meistens gut funktioniert, kann doch nicht unsicher sein! Aber besonders unter Druck passieren auch den als „aufgeklärt“ bekannten Mitarbeitern Fehler, die auf falschen Einstellungen und Haltungen sowie unzutreffenden Grundannahmen beruhen.

Doch warum ändern die Menschen ihr Verhalten nicht? Was trägt zur Persistenz unsicheren Verhaltens bei? Hier wird die Argumentation pädagogisch-psychologisch: Informationssicherheit ist ein abstraktes Konzept. Die Belohnung besteht nicht in einem sichtbaren Ergebnis, sondern nur in der geringeren Wahrscheinlichkeit, dass digitale Katastrophen eintreten.

Was tun? Frontalunterricht?

Zur Misere des mangelnden Problembewusstseins gesellt sich eine weitere Schwierigkeit: zu wenig Sicherheitserziehung im Allgemeinen und die falsche Grundannahme der Verantwortlichen, Sicherheitswissen lasse sich den Benutzern einfach so eintrichtern. Dieser Ansatz hinterlässt eine Kluft zwischen Wissen und Handeln, was bedeutet: besseres Lernen ist nur möglich durch konstruktivistische Didaktik – kognitionspsychologisch soll der Nutzer dahin gebracht werden, selbst zu lernen.

Modernes Live-Phishing-Training macht sich also Erkenntnisse moderner Psychologie und Pädagogik zunutze: “Awareness –Training – Education“. Durch Übung und Anwendung lässt sich „das Gelernte im Gegensatz zu „trägem Wissen“ schnell und flexibel in richtiges Handeln umsetzen.“ Zu bedenken ist allerdings, dass Simulationslernen zwar vorteilhaft ist, aber nur Teil einer kompletten Sensibilisierungskampagne sein kann.

Mitarbeitersensibilisierung in der Praxis

Am Beispiel einer Mitarbeitersensibilisierung bei der Landeshauptstadt Kiel veranschaulicht der Artikel,  wie eine solche Kampagne funktioniert – als Werkzeug kam der Phishing-Simulator der Marke co3tools  von Code and Concept zum Einsatz. Detailliert wird das Live-Phishing-Training mit Ziel, Zielpersonen und Ergebnis geschildert, positive und negative Reaktionen der Beteiligten und die Auswirkungen des Trainings werden ausführlich beschrieben.

Der Artikel wird am Ende mit einer kleinen Literaturliste abgerundet.

Link zum vollständigen Artikel in der „<kes> – Die Zeitschrift für Informationssicherheit“

Wenn Sie an weiteren Informationen zum Thema Informationssicherheit und Datenschutz interessiert sind, oder mehr über den co3tools Phishing Simulator von Code and Concept erfahren möchten, kontaktieren Sie uns. Bei Interesse tragen wir Sie auch gerne als Empfänger unseres Newsletters (Versand ca. 1x/Monat per E-mail) ein.