Passwort gegen Schokolade“ – so lautete die Überschrift eines Berichts des Technology Review über eine aktuelle Studie von zwei Forschern der Universitäten Stuttgart und Luxemburg. Diese beinhaltet ein interessantes Experiment: So schickten sie mehrere studentische Hilfskräfte in die Stadt, die insgesamt 1206 zufällig ausgewählte Personen zu einer vorgetäuschten Umfrage zum Thema „Computersicherheit“ befragten. Den teilnehmenden Kandidaten wurden sodann mehrere Fragen gestellt bis sie anschließend gebeten wurden, ihr Passwort auf dem Umfragebogen zu notieren. Die Teilnehmer sollten währenddessen – wie beabsichtigt – zu unterschiedlichen Zeitpunkten eine Tafel Schokolade geschenkt bekommen: Ein Drittel der Befragten erhielt die Süßigkeit zu Beginn des Gesprächs, ein Drittel direkt vor der allesentscheidenden Frage nach dem Passwort und ein Drittel erst am Ende, nachdem alle Fragen bereits ausgefüllt waren.

Das Ergebnis: 39,9 Prozent bzw. 47,9 Prozent der Teilnehmer, die am Anfang bzw. kurz vor der Bitte nach dem Passwort die Schokolade erhielten, gaben nach eigenen Angaben ihr korrektes Passwort an. Dahingegen verrieten „nur“ 29,8 Prozent der Passanten ihr Passwort, die ihre verführerische Leckerei erst später erhielten. Somit hatte das Angebot der Schokolade nachweislich Einfluss auf die Auskunftsbereitschaft.

Social Engineering: Der Mensch ist die größte Schwachstelle

Hinter diesem medienwirksamen Test verbergen sich wissenschaftliche Erkenntnisse zum sogenannten „Social Engineering“. Darunter wird eine zwischenmenschliche Manipulation des Opfers mit dem eigentlichen Ziel verstanden, sich unberechtigten Zugang zu vertraulichen Informationen oder IT-Systemen zu verschaffen.

Mittlerweile gibt es unzählige Angriffsmethoden, von denen nahezu jeder Internetnutzer schon einmal betroffen war. Zu den bekanntesten Arten dieser Masche zählen die Phising-Mails oder Scareware. Häufig sind dies gefälschte E-Mails, in denen der Empfänger zur Änderung eines Passworts oder zur Kontrolle neuer Zugangsdaten aufgefordert wird. Oder er findet Viren verseuchte E-Mails in seinem Postfach. Teilweise geben sich die Betrüger auch am Telefon als Mitarbeiter oder als Vorgesetze aus und fragen „mal eben kurz nach dem Passwort“, weil sie es angeblich verlegt hätten. In letzter Zeit wurden die Angreifer sogar noch kreativer, indem sie vermeintliche Werbegeschenke (CDs, USB-Sticks) verteilten oder sogar täuschendechte Webseiten erstellten.

Oftmals werden die Bedrohungen als solche gar nicht erkannt, da die Täter ganz gezielt in mehreren, räumlich und zeitlich voneinander getrennten Zwischenschritten vorgehen. Dennoch verfolgen all diese Methoden natürlich am Ende allein das Ziel, auf diese Weise an die Passwörter/Zugangsdaten der Opfer zu gelangen, um sich so Zutritt in interne Systeme, aber auch zum Onlinekonto zu verschaffen und daraus Profit zu schlagen. Ebenso könnten die Opfer zu Geldzahlungen erpresst werden.

In der Praxis ist dieses Thema längst kein Einzelfall mehr. Mögen die IT-Systeme noch so allumfassend und sicher sein; der Mensch als Nutzer ist regelmäßig die größte Schwachstelle. Denn er klickt unachtsam oder gutgläubig auf Links aus solchen Phising-Mails, öffnet fremde Anhänge oder verrät aus Gründen der Naivität oder Sympathie seine Zugangsdaten. In der Regel fußen die Sicherheitslücken im Social Engineering auf die Ausnutzung zwischenmenschlicher Züge wie beispielsweise Vertrauen, Angst, Hilfsbereitschaft oder Gutgläubigkeit, wie die Psychologen schon seit längerem beobachten. Dies wird anhand des eingangs erwähnten Experiments deutlich, wenn also z.B. junge Studenten und vermeintlich vertrauenswürdige Gleichgesinnte auftreten, denen offenkundig viele Passanten aus Gründen der Freundlichkeit brisante Auskünfte geben. Durch das freundliche Gespräch und der geschenkten Schokolade im Rahmen der vorgetäuschten Befragung werden diese zwischenmenschlichen Eigenschaften noch gesteigert, wie sich anhand des Experiments feststellen lies.

Daran anknüpfende Fälle des Trickbetruges (wie z.B. der Enkel-Trick) wie auch der Computerbetrug nehmen stetig zu und beschäftigen die Polizei und Staatsanwaltschaften seit Jahren.

Wie sich Unternehmen und Mitarbeiter schützen können

Trotz der Risiken ausgehend vom menschlichen Verhalten kann die interne IT-Sicherheit bereits in wenigen Schritten gesteigert werden.

Allen voran steht natürlich die Aufklärung und Sensibilisierung der Mitarbeiter. So sind beispielsweise bei Schulungen oder in Mitarbeiterleitfäden deutliche Hinweise zu geben, dass man in keinem Fall jemals (s)ein Passwort herausgeben darf, selbst wenn der vermeintliche Chef am Apparat danach fragt. All jene sollen sich vielmehr immer an den zuständigen IT-Administrator wenden, der das Passwort vor Ort einsehen/ändern kann. Des weiteren sollten Anhänge von fremden E-Mails nur nach vorangegangener Kontrolle geöffnet werden.

Und auch technische Lösungen wie die 2-Faktor Authentifizierung bei sensiblen Daten, die zwingend regelmäßige Änderung des Passworts, mehrfache Zugangsbarrieren und die mittlerweile üblichen Anforderungen an das Passwort (Mindestlänge von 8 Zeichen, darunter ein Sonderzeichen, eine Zahl und Groß- und Kleinschreibung) können den Schutz ebenso wie beschränkte Zugangsrechte, Geo-Blocking und sonstige Kontrollmechanismen erheblich erhöhen. Auch sollten jeweils unterschiedliche Passwörter verwendet werden, die selbstverständlich auch nicht auf kleinen Post-it Aufklebern am Monitor notiert sein dürfen.

Doch die wichtigste Botschaft lautet: Es sollte jedem klar sein, dass man nicht wildfremden Personen sein Passwort verrät. Man drückt ja auch schließlich nicht einem Unbekannten auf der Straße seinen Hausschlüssel in die Hand.