Rechtschreibfehler, merkwürdige Zeichen, unseriöse Webseiten- oder Absenderadressen, merkwürdige Anfragen. Es gibt zahlreiche Anzeichen für einen Cyberangriffsversuch. Wer würde darauf reinfallen?
– Ich sicher nicht. Das haben Sie sicher schon einmal gedacht. Denn Sie sind schließlich nicht so leichtgläubig und überhaupt intelligent genug, um auf keinen schädlichen Link oder dergleichen zu klicken. Wir wissen alle, dass wir das niemals tun dürfen.
Sie sind nicht der Einzige, der so denkt. Und doch passiert es immer wieder. Menschen fallen auf Phishing herein, geben Daten gutgläubig weiter, überweisen hohe Summen an fremde Konten.
Warum?
Weil Cyberangriffe auf Psychologie beruhen. Zum einen machen sich Täter psychologische Aspekte zunutze – sei es der Respekt oder gar die Angst vor Autoritäten, menschliches Mitgefühl, die Sorge, dass etwas mit den eigenen Konten nicht stimmt. Sie sind Meister der Manipulation. Sie spielen mit Ängsten, Hoffnungen und Wünschen sowie dem Gefühl von Dringlichkeit und Zeitdruck. So schüchtern sie ein oder gewinnen das Vertrauen ihres Gegenübers. In beiden Fällen wird das logische Denken und die Fähigkeit, rationale Entscheidungen zu treffen, beeinflusst.
Zum anderen profitieren Cyberattacken von der sogenannten selektiven Wahrnehmung. Hierbei handelt es sich um eine kognitive Verzerrung. Menschen neigen dazu, unbewusst Informationen zu suchen und zu interpretieren, die ihre bestehenden Überzeugungen bestätigen. Solche positiven, die eigenen Anschauungen bestätigenden Punkte werden meist stärker wahrgenommen. Andere Aspekte dagegen werden ausgeblendet; etwa solche, welche die eigene Norm bedrohen und nicht in das Muster passen.
Bei der selektiven Wahrnehmung in Bezug auf Cyberkriminalität spielt die Erwartung eine große Rolle. Sie wirkt wie eine Schablone. Wir sehen das, was wir erwarten – beziehungsweise was wir sehen wollen.
Kaum jemand erwartet eine Cyberattacke. In der Theorie sind wir uns der eventuellen Gefahr bewusst. Doch wir setzen uns nicht mit dem Gedanken an unseren Computer, dass alles, was wir dort an Nachrichten etc. vorfinden, verdächtig ist. – Im Gegenteil. Und das ist oft der Knackpunkt.
Alles, was wir sehen, ist eine Perspektive, nicht die Wahrheit.
Die meisten Menschen befinden sich in dem Glauben, sich in einem sicheren Arbeitsumfeld zu bewegen. Legitim erscheinende E-Mails von Ranghöheren werden als solche akzeptiert. Im allgemeinen Betrieb wird vielleicht nicht so genau auf Unstimmigkeiten oder Stilauffälligkeiten geachtet. Wir erwarten eine rechtmäßige Nachricht eines anderen Mitarbeiters zu lesen und daher lesen wir diese. Dabei ignorieren wir Anzeichen von Betrug, ohne das allzu bewusst wahrzunehmen. Der prüfende Blick auf Absenderadresse oder Links entfällt, obwohl diese häufig mit unlogischen Zahlen- und Buchstabenkombinationen versehen sind. Hinzu kommt, dass Phishing-Attacken unter anderem durch KI immer schwerer zu erkennen sind.
(-> Wie schütze ich mich vor Social Engineering und Phishing)
Spear-Phishing-Attacken sind auf eine spezielle Person zugeschnitten. Wir werden persönlich angesprochen, in der Nachricht finden sich „Insider-Informationen“. Wir erkennen vermutlich offensichtliche Spam-Mails, aber ausgeklügelte Cyberkriminalität ist etwas anderes. Jene wollen wir nicht sehen. Also tun wir es nicht.
Das Gehirn filtert und zeigt Menschen die Welt so, wie sie gerade zu ihnen passt. Das Resultat: Betrug wird häufig erst erkannt, wenn es zu spät ist.
Daher ist es unabdinglich, sich der eigenen Risiken, möglichen Sicherheitslücken im System sowie Gefahrenzonen bewusst zu sein. Mitarbeiter müssen ein grundlegendes Verständnis und Wissen im Bereich Cyberkriminalität und Cybersicherheit besitzen. Regelmäßige Schulungen, wie wir sie bei DeepSign anbieten, tragen erheblich zu effektiverer Cybersicherheit bei. Wir machen aus dem Menschen und seiner Wahrnehmung, dem erst einmal schwächsten Glied der Sicherheitskette, ein humanes Schutzschild. Sodass Sie am Ende nicht nur das glänzende Spiegelbild sehen, sondern auch die Fäulnis dahinter.