Original-URL des Artikels: https://www.golem.de/news/jessica-barker-im-interview-die-kriminellen-sind-bessere-psychologen-als-wir-1711-131261.html    Veröffentlicht: 28.11.2017 10:04    Kurz-URL: https://glm.io/131261

Jessica Barker im Interview

"Die Kriminellen sind bessere Psychologen als wir"

Unternehmen, die ihre IT vor Angriffen schützen wollen, sollten sich Rat aus der Soziologie und der Psychologie holen, sagt die Unternehmensberaterin Jessica Barker. Im Interview erklärt sie auch, warum Security-Experten optimistischer über Sicherheitstechnologien sprechen sollten.

Wird über IT-Sicherheit gesprochen, so geht es meist um technische Details und Tools: Es wird zu besserem Schutz im Browser vor Exploits und dem Entfernen von Flash geraten und um Antivirus-Programme gestritten. Die Unternehmensberaterin und promovierte Soziologin Jessica Barker hingegen findet, wir sollten mehr über menschliche Verhaltensweisen und Psychologie reden, wenn wir die Sicherheit verbessern wollen.

In ihrer Keynote-Ansprache bei der Sicherheitskonferenz Deepsec in Wien forderte sie deshalb unter anderem, positiver und ermutigender über Sicherheit zu reden, damit Nutzer nicht ständig den Eindruck haben, mit unlösbaren Problemen konfrontiert zu sein.

Golem.de: Wer ist schuld daran, dass Menschen im Internet oft unsicher sind?

Jessica Barker: Die Angreifer natürlich. Genau wie in der physischen Welt sind wir im Internet Opfer von Kriminalität. Aber es gibt viele Dinge, die Menschen tun könnten, um sich besser zu schützen, die sie aber nicht tun. Einer der Gründe dafür ist, dass Systeme oft nicht besonders nutzerfreundlich sind. Verschiedene Passwörter zu verwalten, ist zum Beispiel umständlich. Aber die Sicherheitsindustrie ist oft auch sehr negativ, sehr pessimistisch und vermittelt den Eindruck, dass man gar nicht sicher sein kann. Das demotiviert viele Menschen, die sich dann denken: Warum soll ich es überhaupt versuchen?

Das führt dazu, dass viele Menschen einfache Dinge nicht umsetzen, die sie tun könnten - wie etwa Zwei-Faktor-Authentifizierung einzusetzen. Wir könnten viele einfache Botschaften verbreiten, aber verkomplizieren es oft und verunsichern die Menschen so.

Golem.de: Warum ist das so?

Barker: Als Industrie haben wir den Auftrag, Probleme zu finden. Oft versteifen wir uns daher auf die Probleme und nicht auf die Lösungen. Wir sind natürlich auch deutlich technischer fokussiert als die meisten Nutzer. Wenn jemand zum Beispiel Zwei-Faktor-Authentifizierung empfiehlt, dann sagen einige immer: Wenn sie SMS-basiert ist, dann gibt es da eine Schwachstelle, dann kann sie von Angreifern umgangen werden.

Das stimmt grundsätzlich. Aber für 95 Prozent der Menschen ist Zwei-Faktor-Authentifizierung total in Ordnung, auch wenn sie auf SMS basiert. Wir versteifen uns also manchmal auf die 5 Prozent, bei denen solch ein Angriff möglich ist, und konzentrieren uns nicht auf die restlichen 95 Prozent. Wir könnten für viele eine positivere Botschaft senden.

Golem.de: Sie sprechen den Unterschied zwischen Hochrisikonutzern und alltäglichen Nutzern an?

Barker: Ja, genau. Es gibt eine ganz spezielle Gruppe von Nutzern mit erhöhtem Risiko und besonderen Anforderungen. Politiker, Prominente und andere Personen mit einem herausgehobenen Profil. Aber für die meisten Nutzer reicht es aus, einfache Maßnahmen zu ergreifen, um sich vor alltäglichem Cybercrime zu schützen.

Uns wird nicht beigebracht, Technik zu verstehen

Golem.de: Jetzt denken viele Nutzer: Wer wird mich schon im Visier haben? Aber in diesem Jahr haben wir auch zahlreiche Angriffe gesehen, die sich ganz automatisch im Netz verbreitet haben, wie zum Beispiel Wanna Cry. Da müssen die Nutzer gar keine individuellen Fehler machen, um infiziert zu werden.

Barker: Wir sollten darüber mehr aufklären. Es gibt viel niedrigschwellige Kriminalität, die einfach das Internet scannt, ohne ein ganz konkretes Ziel zu haben. Bei der Aufklärung haben auch die Medien eine Verantwortung. Als Wanna Cry in Großbritannien zugeschlagen hat, schrieben einige Medien, dass der National Health Service (NHS) gezielt angegriffen worden sei und nicht, dass jeder betroffen war, der seine Systeme nicht gepatcht hatte - weil das Auflage macht.

Die Botschaft ist hier klar: Nutzer sollten Updates installieren. Aber einige haben Angst davor. Andere denken, dass das Pop-up mit dem Updatehinweis ein Virus ist. Es gibt viele gute Dinge, die Nutzer tun können. Manche Menschen wissen gar nicht, dass Updates vor allem dafür da sind, die Sicherheit des Systems zu verbessern.



Golem.de: Ich habe neulich ein Training gegeben. Dort habe ich die Teilnehmer gefragt, was das grüne Schlosssymbol im Browser bedeutet. Einige waren sich unsicher. Andere sagten: Ich dachte immer, das ist Werbung. Offenbar werden Security-Features nicht immer so verstanden, wie die Entwickler sich das gedacht haben.

Barker: Ich glaube, es gibt ein Problem, das wir als Gesellschaft haben: Viele Menschen wissen nicht genau, was das Internet eigentlich ist und wie es funktioniert. Und wir bringen es ihnen auch nicht richtig bei, zum Beispiel in der Schule. Ich weiß nicht, wie das in Deutschland oder Österreich ist, aber in Großbritannien wurde uns nicht erklärt, wie so ein Computer wirklich funktioniert. Uns wurde nur gezeigt: So benutzt du Word. Das hilft nicht wirklich. Uns wird beigebracht, Technologie zu nutzen - aber nicht, wie die Technik selbst wirklich funktioniert.

Golem.de: Sie haben in Ihrem Vortrag auch über Vorurteile und den Einfluss von Gender und anderen Merkmalen gesprochen. Was genau meinen Sie?

Barker: Es gibt da viele Beispiele. Ganz oft wird gesagt: Erklär es so, dass deine Mutter es verstehen würde. Da spielt immer der Gedanke mit, dass Mütter technisch total unfähig sind und alles erklärt bekommen müssen. Das ist natürlich ein wenig hilfreiches Vorurteil. Es wird häufig angenommen, dass Frauen per se weniger technisches Verständnis haben und hier insbesondere Frauen einer bestimmten Altersgruppe.

Solche Vorurteile verselbstständigen sich dann und bestätigen sich selber. Sie demotivieren bestimmte Personen nämlich, sich mit Technologie auseinanderzusetzen. In unserem Beispiel könnte eine Mutter dann denken: Das verstehe ich sowieso nicht - und sich gar nicht erst mit einem Problem befassen, das sie ansonsten lösen könnte oder sie wird eine Sicherheitstechnologie nicht nutzen, weil sie Angst hat, Fehler zu machen. Je mehr wir solche Vorurteile perpetuieren, desto schlechter wird die Sicherheit der betroffenen Personen.

Golem.de: Wahrscheinlich treffen solche Mechanismen gerade Personengruppen hart, die Sicherheit im Internet besonders bräuchten.

Barker: Ja, das stimmt. Frauen werden etwa deutlich häufiger Ziel von Online-Stalking, von Spyware oder häuslicher Gewalt in Verbindung mit Spionage als Männer. Die angesprochenen Vorurteile helfen nicht dabei, diese Personen zu empowern und ihnen die notwendigen Werkzeuge zur Selbstverteidigung mitzugeben.

Golem.de: Welche Botschaften können denn helfen?

Barker: Positive Botschaften. Wir sollten Vorurteilen aktiv entgegentreten und zum Beispiel sagen: Frauen sind genauso gut wie Männer in technischen Belangen. Wer Töchter hat, sollte die Themen mit ihnen gezielt besprechen. Wir sollten Vorurteile also nicht nur ignorieren, sondern aktiv bekämpfen.

Wir sollten nicht sagen: Mitarbeiter sind das schwächste Glied der Kette

Golem.de: Was können Unternehmen tun, um sicherer zu werden? Viele sagen, die Mitarbeiter sind das schwächste Glied in der Kette.

Barker: Wer sagt, dass seine Mitarbeiter das schwächste Glied sind, der hat eine sehr negative Botschaft und macht alles nur noch schlimmer. Man könnte zum Beispiel sagen: Mitarbeiter werden am häufigsten gezielt angegriffen. Das ist eine bessere Botschaft, die Menschen nicht demotiviert, sondern sie auf bestimmte Probleme aufmerksam macht. Eine nur leicht veränderte Botschaft kann Mitarbeiter eher motivieren, sich mit dem Bereich IT-Security auseinanderzusetzen.

Es gibt natürlich einen weiteren Aspekt: Wenn ein Mitarbeiter auf einen Link klickt und danach das ganze Netzwerk infiziert oder schädigt, dann ist das kein menschliches Problem, sondern mangelnde Segregation. Das ist dann ein technisches Problem. Mitarbeiter sollten mehr über die technischen Hintergründe informiert werden.

Wenn man sich die menschlichen Hintergründe von IT-Security anschaut, dann hat das natürlich viel mit Psychologie zu tun. Es geht um Faktoren wie Priming oder Optimismus. Es reicht nicht, Mitarbeitern nur stumpf zu sagen, was sie alles nicht tun sollen.

Golem.de: Viele Angriffsmodelle setzen weiterhin auf die Mitarbeiter. Ein gutes Beispiel ist sicher der Bereich CEO-Fraud - also der Betrug von Unternehmen mit gefälschten internen Rechnungen, die über eine kompromittierte Infrastruktur per E-Mail versendet werden. Auch da geht es ja viel um Unternehmenskultur.

Barker: Genau. Es gibt ganz bestimmte Trigger beim Social Engineering. Angreifer werden immer versuchen, ihr Opfer in einen sogenannten Hot-State zu bekommen. Dann agieren Menschen emotionaler und treffen irrationale Entscheidungen. Diese gefälschten Mails kommen meist von jemandem mit einer vermeintlich wichtigen Position - etwa dem Chief Financial Officer (CFO). Häufig gibt es auch einen angeblichen Zeitdruck. Viele Mitarbeiter denken dann: Der Chef ist zu wichtig, um ihn jetzt zu stören und kurz einmal nachzufragen.

Manchmal sind die Mails auch extrem gezielt formuliert und suggerieren etwa, dass eine Transaktion geheim bleiben soll, weil es sich um ein vertrauliches Börsengeschäft handelt. Häufig haben Mitarbeiter auch ein gutes Bauchgefühl, das aber teilweise zu spät einsetzt. Ich habe schon häufig gehört, dass Mitarbeiter nach Ausführung einer Transaktion sicher waren, falsch gehandelt zu haben. Sobald der psychologische Druck weg ist, beginnen die Mitarbeiter zu zweifeln. Aber dann ist es natürlich zu spät.

Die psychologischen Angriffsmuster sind sehr gut - und oft besser als unsere Verteidigung. Die Kriminellen sind bessere Psychologen als wir zurzeit. Deswegen spreche ich mit Unternehmen über Psychologie und Soziologie, um sie vor Angriffen besser schützen zu können.

Golem.de: Was denken Sie über Antivirus-Programme? Sie suggerieren ja oft, dass Nutzer nichts weiter tun müssen, als sie zu installieren.

Barker: Das wäre natürlich toll, wenn das funktionieren würde. Das Problem ist, dass da oft falsche Sicherheit suggeriert wird, denn Virenscanner schützen nicht vor allen Gefahren. Das gilt sowohl auf einem individuellen Level als auch für Unternehmen.

Und dort kommt das Problem der Sunk Cost dazu. Wenn der Chief Security Officer dem CEO einer Firma sagt, dass die Sicherheitsmaßnahmen verbessert werden müssen, hört man oft: Aber wir haben doch Antivirus, wir haben all die Jahre dafür bezahlt. Das muss doch auch weiterhin funktionieren. - Das bedeutet natürlich nicht, dass Antivirus gar keinen Platz in einer Sicherheitsstrategie haben sollte, aber es löst eben nicht alle Probleme.

Golem.de: Danke für das Gespräch.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.  (hg)


Verwandte Artikel:
JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software   
(20.11.2017, https://glm.io/131238 )
IT-Sicherheit: Banken nutzen verschlüsselte PDFs als Sicherheitsplacebo   
(12.12.2018, https://glm.io/138196 )
Security: Iranische Hacker erlangen Daten von 23 deutschen Unis   
(20.04.2018, https://glm.io/133976 )
Justin Liverman: Cracka With Attitude muss fünf Jahre in Haft   
(12.09.2017, https://glm.io/129997 )
Girocard: Skimming-Rekord in den USA trotz EMV-Einführung   
(03.04.2017, https://glm.io/127099 )

© 1997–2019 Golem.de, https://www.golem.de/