Letzte Aktualisierung am 23. Oktober 2015.
Quelle: www.kaspersky.de/cyberpsychologie
Eine von Kaspersky Lab beauftragte Cyberpsychologie-Studie zeigt: Cyberkriminelle machen sich menschliche Schwächen zunutze und bringen den Anwender mittels Social Engineering zur Preisgabe sensibler Daten. Klassische Methoden aus Spionage und Psychologie spielen hier eine entscheidende Rolle. Im Grunde werden Menschen gehackt beziehungsweise beeinflusst, und nicht Computer. Phishing-Mails gehen mit dem Wissen um die Schwächen der menschlichen Psyche auf Beutezug durchs Web. Solche E-Mails arbeiten mit Sensationslust, etwa auf Berühmtheiten, oder stellen einen lukrativen Gewinn in Aussicht. Ziel ist entweder die Infizierung eines Rechners mit Schadsoftware oder die Preisgabe von sensiblen Informationen wie Bankdaten oder vertraulichen Informationen.
„Denn Kriminelle wissen, wie Menschen funktionieren – und genau das nutzen sie aus. Die Art wie wir denken und fühlen macht uns angreifbar. Unser Bedürfnis nach Zugehörigkeit und Vertrauen, aber auch Hilfsbereitschaft, Neugier oder Respekt vor Autoritäten machen uns anfällig für Social Engineering.“
„Für Social Engineering greifen Cyberkriminelle auf grundlegende Muster der menschlichen Psyche zurück, und bringen sie unter anderem beim Phishing zum Einsatz“
„Beim Thema IT-Sicherheit müssen wir daher den Aspekt des Mitdenkens noch stärker miteinbeziehen, vor allem im Hinblick auf die Social-Engineering-Anfälligkeit des Menschen und künftige technische Weiterentwicklungen.
Kommentar
2006, als ich das Thema „Social Engineering“ im Österreichischen Bundesheer aufbereitet habe, war dieses noch ein völliges Nischenthema. Das hat sich in den letzten Jahren massiv gewandelt, da diese Angriffsfläche fast immer funktioniert und universell ist. Auch weil die technische Sicherheit deutlich besser geworden ist. Das Problem ist nicht der „Faktor Mensch“, sondern das wir nach wie vor versuchen, den Menschen an die Technik anzupassen und nicht umgekehrt. Das Systemdesign muss so gestaltet sein, dass auch wenn der „Faktor Mensch“ versagt, die Reichweite der Folgen begrenzt bleibt. Und es geht nicht nur um Datendiebstahl – wie immer wieder zu betonen ist. Auch alle anderen Zielsetzungen, wie etwa Sabotage, sind damit einfacher durchführbar. Und das kann wiederum im infrastrukturellen Sektor verheerende Folgen nach sich ziehen (Dominoeffekte), da hier häufig die Reichweitenbegrenzungen fehlen. Es gibt keine singulären Ursachen in vernetzten, komplexen Systemen.
