Das Bewusstsein (Anti Social Engineering)

Einleitung:

Der Faktor Mensch ist eine wesentliche Komponente bei der Schaffung und Aufrechterhaltung eines gefahrenfreien Zustandes. Das leistungsstärkste Abwehrsystem ist nahezu wirkungslos, wenn es von Anwendern falsch umgesetzt wird. Unternehmen sind deshalb auf die Mitwirkung ihrer Mitarbeiter angewiesen, um die volle Wirksamkeit ihrer Sicherheitsarchitektur zu erreichen. Das Bindeglied zwischen Sicherheitssystemen und Personal ist das Sicherheitsbewusstsein. Der Grad an Sicherheitsbewusstsein gibt darüber Aufschluss, inwieweit sicherheitsrelevante Vorschriften angewandt, Schwachstellen erkannt, umgangen oder bekämpft werden können.

Was ist Bewusstsein? 

Wir sind ständig von einer enormen Menge an stimulierenden Reizen, potenziellen Informationen, umgeben. Unsere Aufmerksamkeit kann sich nur auf einen kleinen Teil davon richten. Das Beachtete und die dadurch hervorgerufenen Gedächtnisinhalte legen größtenteils fest, was sich im Bewusstsein befindet. Das normale Wachbewusstsein umfasst unsere Wahrnehmungen, Gedanken, Gefühle, Vorstellungen und Wünsche zu einem gegebenen Zeitpunkt-all die mentalen Aktivitäten, auf die wir unsere Aufmerksamkeit richten. Bewusstsein ist somit das Wahrnehmen der Gedankeninhalte.

Sinneswahrnehmung:

Klassischerweise werden fünf Sinne unterschieden, die bereits von Alkmaion von Kroton, Demokrit und Aristoteles beschrieben wurden.

• Hören – die auditive Wahrnehmung mit den Ohren (Gehör)
• Riechen – die olfaktorische Wahrnehmung mit der Nase (Geruch)
• Schmecken – die gustatorische Wahrnehmung mit der Zunge (Geschmack)
• Sehen – die visuelle Wahrnehmung mit den Augen („Gesichtsempfindung, Gesicht“)
• Tasten – die taktile Wahrnehmung mit der Haut (Gefühl)

Im Marketing werden gezielt die Sinneswahrnehmungen angesprochen und oftmals eine Bedürfnisbefriedigung zielgruppenorientiert einbezogen. Aber auch die Wahrnehmung selbst kann beeinflusst werden. Die Vorgehensweisen von geschickten Social Engineers oder Trickbetrügern können auch mit Zaubereinlagen verglichen werden. Die Wahrnehmung wird durch externe Beeinflussung auf ein gewünschtes Blickfeld gelenkt und die Sinne scheinbar getäuscht. Eine gute Veranschaulichung zur Beeinflussung der Wahrnehmung zeigte Apollo Robbins auf der TED 2013.

KnowBe4 Studie:

2019 hat KnowBe4 die Ergebnisse des „Phishing by Industry Benchmarking Report“ präsentiert, die das Sicherheitsbewusstsein der Mitarbeiter in Unternehmen untersucht. Hierbei wird errechnet, wie hoch die Wahrscheinlichkeit ist, dass ein Mitarbeiter auf eine Phishing-E-Mail klickt oder auf einen anderen Social-Media-Betrugsversuch hereinfällt. Für die Berechnung wird der durchschnittlichen Phish-Prone-Percentage (PPP) herangezogen. Zuerst wurden Unternehmen getestet, welche noch keine Schulungen zum Thema Sicherheitsbewusstsein durchgeführt hatten. Der durchschnittliche PPP lag bei 29,6 %, also fast jeder dritte Mitarbeiter ist auf den Phising-Betrug hereingefallen. Die Tests zeigen die gleichen Resultate über alle Unternehmensbranchen und -größen hinweg. Daraus lässt sich schließen, dass jedes Unternehmen ohne Training zur Stärkung der Security Awareness anfällig für Phishing und Social Engineering ist. Danach wurden die Mitarbeiter durch computergestütztes Training und simulierten Phising-Tests geschult. Der durchschnittliche PPP wurde schon nach 90 Tagen halbiert und sank somit auf knapp 15 %. Nach einem kompletten Jahr Security-Awareness-Training mit diesen Methoden sinkt dieser Prozentsatz sogar auf nur noch zwei Prozent. „Eine einmalige Sicherheitsschulung – wenn diese auch flächendeckend durchgeführt wird – bleibt nicht im Gedächtnis haften. Die Erschaffung und Aufrechterhaltung einer Sicherheitskultur sind eine sich ständig weiterentwickelnde Mission. Aufklärung und Schulungen zu aktuellen Bedrohungen und Sicherheitsrichtlinien sollten nicht die Ausnahme, sondern die Regel werden.“ (Gerald Beuchelt,
Chief Information Security Officer,LogMeIn)

Sicherheitsbewusstsein

Unsere persönliche Konstruktion der Realität ist unsere ureigene Interpretation einer gegebenen Situation und basiert auf unserem allgemeinen Wissen, unseren Erinnerungen an vergangene Erlebnisse, augenblicklichen Bedürfnissen, Werten, Einstellungen und künftigen Zielen. Jeder Mensch beachtet gewisse Merkmale der Umgebung genau deshalb mehr als andere, weil sich seine persönliche Wirklichkeitskonstruktion aus einer Auswahl jeweils eigener Inputs herausgebildet hat. Wenn unsere persönliche Konstruktion der Realität relativ stabil bleibt, weist unser Selbstkonzept zeitliche Kontinuität auf. Die Auffassungsgabe von Menschen ist durch Erweiterung der Inputs (Wissen, Bewertungshilfen.) erweiterbar. Wenn die Inputs zum Thema Sicherheit ausgebaut werden, wirkt sich das auf die persönliche Wirklichkeitskonstruktion aus und schafft Sicherheitsbewusstsein. Sicherheitsbewusstsein kann also nicht allein durch hierarchische Strukturen und reinen Anforderungen an den Mitarbeiter geschaffen werden. Sicherheitsbewusstsein startet beim Mitarbeiter selbst und kann durch Schulungen, Awareness Trainings sowie regelmäßige Tests initiiert werden.