Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Artikel kostenlos lesen

Mea culpa : Schuld, Scham und Opferrolle bei Social-Engineering

Social-Engineering (SE) hat sich zunehmend zu einem Standardinstrument für Kriminelle entwickelt – die Erfolgsaussichten sind groß, die Aufklärungsquote ist gering. Die Informationssicherheit sucht indessen noch nach Abwehrstrategien und einer klaren Positionierung, um den Umgang mit SE in die eigene Sicherheitskultur zu verankern. Da es sich um ein „weiches“ Thema handelt, ist in Bezug auf Lösungsentwürfe vor allem der für die Branche eher ungewöhnliche Blick auf die Psychologie entscheidend.

Lesezeit 7 Min.

Von Ankha Haucke und Dietmar Pokoyski, Köln

Beim Social-Engineering (SE) ist man – je nach Perspektive in unterschiedlicher Gewichtung – Täter und Opfer zugleich: Täter, weil man gegebenenfalls einen Fehler begangen hat, mit dem man gegen die Sicherheits-Policy der eigenen Organisation verstoßen hat (z.B. infolge der Preisgabe vertraulicher Informationen an den Angreifer) – und Opfer, weil eine solche Preisgabe stets infolge von Täuschung beziehungsweise Manipulation erzielt wird.

Die Frage nach Täter- und Opferrolle ist dabei sowohl für die qua SE angegriffenen Mitarbeiter als auch für Security-Professionals wichtig: Wer als Sicherheitsorganisation SE-Fälle (idealerweise lückenlos) dokumentieren, auswerten und in Präventionsmaßnahmen übersetzen will, kommt an dieser Diskussion nicht vorbei.

Aus der Sicht von Kommunikation und Psychologie ist ein von SE unmittelbar Betroffener stets nur ein Opfer – dass jemand, womöglich aufgrund „leichtsinnigen“ Verhaltens, auf einen SE-Angriff „reingefallen“ ist, macht ihn aus Perspektive der Sozialwissenschaften nicht zum Täter oder auch nur Mittäter. Und auch die Security sollte „soziale Schwächen“ nicht als Beihilfe bewerten, sondern die Betroffenen als Opfer und somit auch wichtige Zeugen behandeln, die zur Aufklärung von Wirtschaftskriminalität beitragen. Eine derartig verständnisvolle Haltung ist allerdings in den wenigsten Organisationen verbreitet. Wo das fehlt, haben Unternehmen jedoch nur selten vollen Zugriff auf das wertvolle Feedback der Betroffenen (vgl. Abb.).

Um schnell und ausführlich aus erster Hand Informationen über Vorfälle zu erhalten und sich bestmöglich gegen weitere Angriffe zu „immunisieren“, benötigen Organisationen daher eine Art „SE-Zeugen/Opfer-Schutzprogramm“. Zu diesem Fazit kam bereits 2015 die tiefenpsychologische Wirkungsanalyse zum Thema SE „Bluff me if u can – gefährliche Freundschaften am Arbeitsplatz“ [1,2]. Über die Studie wurde deutlich, dass allein schon die gedankliche Beschäftigung mit SE bei den Probanden sehr unangenehme Gefühle auslöst.

Da die Grundlage tiefenpsychologischer Studien Face-to-Face-Interviews bilden, bei denen die Interviewer auf eine gemeinsame psychologische Reise mit den Probanden zielen, und weil der Interview-Leitfaden ein lernender war, wurde die Fragestellung, was SE-Fälle so viel „schlimmer“ macht als andere Formen von Security-Incidents, kurzerhand in die Analyse integriert. Dabei stießen die Autoren immer wieder auf das Gefühl der Scham.

Was ist Scham?

Scham entsteht, wenn wir unsere Privatsphäre nicht schützen können. Die Ur-Situation für Scham ist ungewollte Nacktheit vor Personen, die uns nicht nackt sehen sollen. Scham bedeutet, sich extrem verletzlich zu fühlen, keine Kontrolle darüber zu haben, was andere von uns sehen – gepaart mit der Befürchtung, dass wir so, wie wir sind, abgelehnt werden. Insofern ist Scham letztlich die Angst vor Beziehungslosigkeit, weil man nicht liebenswert ist.

Die amerikanische Sozialforscherin Brene Brown von der University of Houston, die in den USA auch als Autorin zu psychologischen Aspekten der Lebensführung sehr populär ist, beschäftigt sich unter anderem mit Themen des menschlichen Verhaltens wie Scham und Empathie. Brown hat dabei drei Thesen über Scham aufgestellt:

  • Scham ist universell und eine der ursprünglichsten menschlichen Emotionen, die wir erleben. Die einzigen Menschen, die sich nicht schämen, sind solche, denen es an der Fähigkeit zu Empathie und menschlicher Verbundenheit mangelt.
  • Wir alle haben Angst, über Scham zu sprechen.
  • Je weniger wir über Scham sprechen, desto mehr Kontrolle gewinnt sie über unser Leben.

Die Neigung zur Scham ist individuell unterschiedlich ausgeprägt, vor allem abhängig von lebensgeschichtlichen Erfahrungen. Eine geradezu automatische, typische Reaktion auf Scham ist sozialer Rückzug. Das ist insofern verständlich, als die Schamgefühle immer wieder aktiviert werden, wenn über das schamauslösende Ereignis gesprochen wird. Schlimmstenfalls zieht Scham destruktives Verhalten nach sich, wie

  • Beschuldigen anderer,
  • Beschönigen,
  • Verheimlichen,
  • Notlügen oder/und
  • Aggressivität.

Bezug zum Social-Engineering

Die entscheidenden spezifischen Aspekte des SE im Unterschied zu anderen Betrugsformen sind, dass hierbei allem voran eine Beziehung hergestellt wird: Das bedeutet für das Opfer, dass es sich als Mensch mit seinem natürlichen Bedürfnis nach Verbundenheit gezeigt hat. Und dann bekommt es vermittelt, dass es – anders, als es vielleicht ursprünglich beim Erstkontakt mit dem Social-Engineer den Anschein hatte – als Mensch gar nicht gewollt ist, dass es dem Täter im Grunde völlig egal ist.

Darüber hinaus fungiert der Täter aus der Sicht des Opfers als „Zeuge“ des eigenen „falschen“ Verhaltens – wer hingegen einen Link in einer Phishingmail öffnet und sich vielleicht einen Trojaner „einfängt“, macht diesen Fehler zunächst für sich allein und unbeobachtet.

Wer etwas Schlechtes tut, empfindet in der Regel Schuld – dafür kann er sich entschuldigen und Besserung geloben. Das ist für die meisten Menschen mit einem Gefühl von Peinlichkeit verbunden und nicht leicht, aber machbar. Wer hingegen – wie beim SE – das Gefühl bekommt, schlecht zu sein, der empfindet dafür typischerweise Scham: Ein Vertrauensbruch, wie er beim SE geschieht, reißt uns Menschen, die sehr grundlegend auf soziale Verbundenheit „programmiert“ sind, quasi den Boden unter den Füßen weg. SE-Opfer müssen zwar nicht immer Schamgefühle entwickeln – die Wahrscheinlichkeit dafür ist aber aus den genannten Gründen sehr hoch.

Abbildung 1

Ob ein Mitarbeiter in der eigenen Organisation als Mittäter (links) oder als Opfer und Zeuge (rechts) angesehen wird, macht für die Security einen großen Unterschied.

Folgerungen

Der Umgang mit „weichen“ Faktoren wie Vertrauen hängt stark von der Unternehmens- beziehungsweise Sicherheitskultur ab. Für das Thema SE ergeben sich hieraus mindestens drei Anforderungen an Organisationen:

  • Incident-Management beziehungsweise Reporting zum Thema SE überprüfen und optimieren
  • Security-Kommunikation und -Awareness zum Thema SE für alle Mitarbeiter ermöglichen
  • Zusätzliche Sensibilisierung der Führungskräfte – sowohl im Kontext SE als auch generell im Zusammenhang mit sozialen Faktoren (Führungskräfte als Sicherheitsvorbild)

Incident-Management

Aufgrund der schambesetzten Reaktionen bei Opfern ist im Zusammenhang mit SE-Angriffen von einer weitaus höheren Dunkelziffer auszugehen als bei anderen Sicherheits-Vorfällen. Das Incident-Management muss daher bei SE den Mitarbeitern besonders geschützte Räume zur Verarbeitung anbieten: Eine technisch geprägte IT-Hotline oder Ähnliches reicht alleine nicht aus – es muss vielmehr über psychologisch geschulte Reporting-Mitarbeiter und ein mit den überwiegend weichen Faktoren bei SE kompatibles Reporting nachgedacht werden.

Meldewege müssen stärker als derzeit üblich auf Auseinandersetzungen mit dem Thema innerhalb vertrauter Settings setzen – zum Beispiel im Rahmen eines moderierten Erfahrungsaustauschs (in Teams oder mit Vertrauenspersonen), bei dem kommuniziert wird, dass Fehler passieren und jeder Opfer eines SE-Angriffs werden kann. Darüber hinaus benötigen Betroffene im Sinne eines „Recovery“ eine Form der Erholung.

Security-Awareness

Mitarbeitern sollte über Awareness-Maßnahmen bewusst gemacht werden,

  • dass SE existiert und welche Nebenschauplätze es umfasst
  • was SE ist (Definition) und dass man selbst auch betroffen sein kann
  • wo SE zu verorten ist (z. B. Motive der Angreifer, Big Picture Cybercrime & Co.)
  • welche Methoden die Angreifer nutzen (Social Gateways, diverse Kommunikations-Layer, also verbal, nonverbal, paraverbal)
  • was diese Methoden und Kanäle mit den Mitarbeitern persönlich zu tun haben (soziale und kommunikative Stärken und Schwächen, wo genau bin ich angreifbar?)
  • welche Abwehrmaßnahmen existieren
  • wie Mitarbeiter diese Abwehrmaßnahmen vor dem Hintergrund ihrer persönlichen Stärken und Schwächen (z. B. soziale Einfalltore, Kommunikationsverhalten) ideal einsetzen
  • wo sie SE-Incidents vertraulich melden können (und dass ihnen dort geholfen wird)

Führungskräfte

Bei SE kommt vor allem Führungskräften als Sicherheitsvorbild und potenziellen Gestaltern der sozialen „Temperatur“ am Arbeitsplatz eine besondere Rolle zu, die das „Security-Normalmaß“ weit übersteigt – Führungskräfte beziehungsweise das Management müssen daher über eine Standard-Awareness hinaus im Kontext SE gesondert sensibilisiert werden.

Dazu gehört zum Beispiel:

  • eine Einführung in die hier geschilderte Problematik und die Erklärung des Unterschieds zwischen Schuld und Scham
  • die eigenen Mitarbeiter dazu zu ermutigen, sich jemandem anzuvertrauen, freundlich mit sich selbst zu sprechen und zu der Geschichte zu stehen
  • sich auch selbst offen und verletzlich zu zeigen
  • SE-Vorfälle auch nach außen kommunizieren, um gewissermaßen eine „Allianz der Guten“ zu schmieden

Fazit

Sprache schwächt Scham und zu unserer Verletzlichkeit zu stehen, schafft Verbundenheit und die Möglichkeit, sich über Erfahrungen auszutauschen und einander zu unterstützen.
Wenn wir bei SE mit denselben Waffen wie der Social-Engineer zurückschlagen, werden wir unvermeidlich so wie er selbst, letztlich also zu Tätern. Und: Wer sich innerhalb einer Organisation verbunden fühlt, ist weniger geneigt, auf vermeintliche Beziehungsangebote von außen einzugehen. Oder, um es andersherum zu sagen: Ganz schön blöd, wenn der Social-Engineer der netteste Mensch am Arbeitsplatz ist!

Ankha Haucke ist Diplom-Psychologin, Therapeutin und Marktforscherin mit eigener Paartherapie-Praxis in Köln (www.paartherapie-koeln.de) sowie Mitarbeiterin an den tiefenpsychologischen Sicherheits-Studien von known_sense. Ihr Ehepartner Dietmar Pokoyski ist Gründer und Geschäftsführer der known_sense Agentur für Security-Awareness (www. known-sense.de).

Literatur

[1] Ankha Haucke, Ivona Matas, Dietmar Pokoyski, Bluff me if u can – gefährliche Freundschaften am Arbeitsplatz,
Tiefenpsychologische Wirkungsanalyse Social Engineering und seine Abwehr, known_sense, Köln 2015, 78 Seiten, 380 e (Bestellungen via pokoyski@known-sense.de) – ein 16-seitiger Auszug ist auf www.known-sense.de/BluffMeIfUCanAuszug.pdf kostenlos erhältlich
[2] Gefährliche Freunde, Studie: Social-Engineers haben oft leichtes Spiel, <kes> 2015#2, S. 54

Diesen Beitrag teilen: