Die Psychotricks der Cyberkriminellen
Bei kriminellen Aktivitäten spielt die Psychologie eine grosse Rolle. Vor allem, wenn es darum geht, potenzielle Opfer zu kontaktieren und manipulieren. Das gilt auch für Cyberkriminelle. Sie nutzen Social Engineering, um Menschen zu beeinflussen.
Bei zahlreichen Cyberangriffen sind Menschen das schwache Glied in der Abwehrkette. Cyberkriminelle nutzen psychologische Taktiken, um ihre Opfer auszutricksen – auch Social Engineering genannt. Aber warum klicken Menschen auf Links zu Schadcode-Webseiten? Und warum geben wir vertraulichen Informationen an Cyberkriminelle weiter? Der Verhaltensforscher Robert Cialdini nennt sechs Prinzipien der Überzeugung, die das menschliche Verhalten bestimmen: Gegenseitigkeit, Konsistenz, Konsens, Sympathie, Autorität und Knappheit.
Die sechs Prinzipien der Einflussnahme
Gegenseitigkeit: Menschen versuchen, sich zu revanchieren, wenn sie etwas von einer anderen Person erhalten haben. Das Prinzip vermittelt einem das Gefühl, jemanden etwas schuldig zu sein. Ein positives Beispiel ist der barmherzige Samariter.
Konsistenz: Menschen streben danach, in ihren Worten und Taten konsistent zu sein. Wenn wir eine Entscheidung getroffen haben, verhalten wir uns gemäss dieser Festlegung. Im Falle einer Katastrophe versuchen Cyberkriminelle beispielsweise, Spenden zu sammeln. Die Opfer sind überzeugt, Gutes zu tun.
Konsens: Menschen orientieren sich bei Entscheidungen häufig daran, was andere für richtig und angemessen halten. Wir betrachten ein Verhalten als richtig, indem wir dieses Verhalten auch bei anderen beobachten. Cyberkriminelle geben sich beispielsweise als IT-Verantwortliche aus und erfragen Unterstützung, um eine Aktion durchzuführen.
Sympathie: Cyberkriminelle setzen ihren Charme ein und versuchen zum Beispiel am Telefon, die Opfer dazu zu bringen, sensible Informationen zu verraten. Menschen sind eher bereit, sich von einer Person überzeugen zu lassen, den sie sympathisch finden.
Autorität: Das Prinzip der Autorität nutzen Angreifer, indem sie zum Beispiel eine gefälschte E-Mail im Namen eines Geschäftsführers verschicken und ihr Opfer bitten, eine Rechnung zu überweisen. Die Leute neigen dazu, der Aufforderung nachzukommen, da wir konditioniert sind, gehorsam gegenüber Autoritäten zu sein.
Knappheitsprinzip: Entscheidungsoptionen erscheinen uns umso wertvoller, je weniger davon vorhanden sind. Wenn es beispielsweise darum geht, etwas verlieren zu können, sind wir stärker motiviert. Dies nutzen Angreifer auf und setzen Opfer unter Druck, beispielsweise schnell ihre Zugangsdaten auf einer falschen Webseite einzugeben, weil sonst der Zugang zum Bankkonto oder sozialem Netzwerk gesperrt wird.
Psychologische Auswirkungen
Digitale Straftaten haben ähnliche Auswirkungen auf die Opfer wie herkömmliche Formen der Kriminalität, wie eine Studie aus den Niederlanden belegt. Leidtragende von Onlinekriminalität sind vermehrt Schuldzuweisungen ausgesetzt. Diese erhalten vorwurfsvolle Kommentare von Freunden, Familienangehörigen oder Kollegen. Es ist daher wichtig, den Wissensstand über Onlinekriminalität zu verbessern, damit Betroffene mit Unterstützung und Anerkennung rechnen können. Doch anstatt mit dem Finger auf das Opfer zu zeigen, sollten Benutzer*innen Schulungen und Weiterbildungen erhalten.
Da viele Cyberangriffe menschliche Schwächen ausnutzen, müssen Verantwortliche den psychologischen Aspekten mehr Aufmerksamkeit schenken und den Wissensstand der Mitarbeitenden über Online-Kriminalität verbessern. Dies gelingt mit zeitgemässen Security Awareness Trainings, in denen die Angestellten lernen, wie Cyberkriminelle agieren. Wenn Mitarbeitende dies verstehen, verhindern sie mit ihrem Verhalten, dass Angreifer ins Netzwerk gelangen.
G DATA CyberDefense AG
G DATA Campus
Königsallee 178
44799 Bochum
https://www.gdata.ch/
sales@gdata.de