Zur Ausgabe
Artikel 4 / 24
Vorheriger Artikel
Nächster Artikel

Cybersecurity Phishing-Mails besser erkennen

90 Prozent aller Datendiebstähle finden über gefälschte E-Mails statt, die Mitarbeiter versehentlich öffnen. Unternehmen versuchen meist erfolglos, sich zu schützen. Drei Studien haben untersucht, warum Schulungen häufig nichts bringen und welche Maßnahmen wirklich helfen.
aus Harvard Business manager 10/2020
Foto: Alan Thornton / Getty Images

Ryan Wright und Matthew Jensen hatten es in den vergangenen zehn Jahren auf Tausende Menschen abgesehen. Sie schickten ihnen gefälschte Mails und wollten damit auch nicht so schnell aufhören. Die beiden sind keine Hacker, die wertvolle Daten oder Geld erbeuten wollen – sie sind Wissenschaftler, die mit Unternehmen, Regierungen und Universitäten auf der ganzen Welt zusammenarbeiten.

Ihr Ziel: Sie möchten verstehen, warum Menschen so häufig auf sogenannte Phishing-Attacken hereinfallen, und herausfinden, was Organisationen unternehmen können, um die Bedrohung zu verringern. Die Sicherheitsabteilungen von Unternehmen setzen viel daran, die Menschen über diese Angriffe aufzuklären; Phishing ist für 90 Prozent aller Datendiebstähle verantwortlich. Trotz dieser Bemühungen werden schätzungsweise 30 Prozent aller betrügerischen E-Mails geöffnet. Ein erfolgreicher Angriff verursacht im Schnitt Kosten in Höhe von 3,8 Millionen US-Dollar. Diese Öffnungsrate ist besorgniserregend. Und sie könnte weiter steigen, weil Cyberkriminelle ausnutzen, dass während der Corona-Pandemie viele Menschen von zu Hause arbeiten und eventuell zu abgelenkt sind, um die Angriffe zu erkennen.

Lead Forward

Der wöchentliche Newsletter für erfolgreiche Führungskräfte

Antonia Götsch, Chefredakteurin des Harvard Business managers, teilt Wissen aus den besten Managementhochschulen der Welt und ihre eigenen Erfahrungen mit Ihnen. Einmal die Woche direkt in Ihr Email-Postfach. 

Jetzt bestellen

Wright, Professor für Commerce an der University of Virginia, und Jensen, Professor für Management Information Systems an der University of Oklahoma, haben auf Grundlage ihrer Forschung mehrere Möglichkeiten entwickelt, wie Schulungen zu Datenschutz und Datensicherheit wirksamer gestaltet werden können.

Vermitteln Sie Achtsamkeit

Viele Organisationen verlangen von ihren Mitarbeitern, dass sie regelmäßig – häufig jährlich oder halbjährlich – Standardmodule absolvieren. Das ist sinnvoll, um Menschen auf verbreitete Gefahren aufmerksam zu machen und ihnen grundlegende Richtlinien an die Hand zu geben, mit denen sie eingehende Mails bewerten können. Aber die bloße Wiederholung von regelbasierten Schulungen führt nicht zwingend dazu, dass auch die Widerstandsfähigkeit gegenüber Angriffen steigt, warnen die Forscher. Tatsächlich kann es ab einem bestimmten Zeitpunkt sogar kontraproduktiv sein, weil Menschen die Schulungen weniger aufmerksam verfolgen und das Gefühl haben, die Inhalte schon zu kennen – und deshalb nicht teilnehmen.

Teil des Problems von regelbasierten Schulungen ist, dass sie fördern, was Psychologe und Nobelpreisträger Daniel Kahneman "Denken nach System 1" nennt. Diese schnelle, automatisierte Verarbeitung von Informationen ist effizient, kann aber auch zu unvorsichtigen Entscheidungen führen und macht Mitarbeiter deshalb anfällig für Angriffe, die von den Regeln abweichen. "Statt Menschen zu bitten, einen Waschzettel mit ständig wechselnden Hinweisen auswendig zu lernen", sagt Wright, "sollten Organisationen einen ganzheitlicheren Ansatz wählen". Eine Möglichkeit sind Anweisungen, die die Achtsamkeit eines jeden stärken. Das Ziel sollte sein, denken nach System 2 zu fördern – also eine reflektierende, analytische Herangehensweise.

In einer Studie unter 355 Studierenden und Universitätsmitarbeitern verglichen die Forscher und Kollegen drei Gruppen von Teilnehmern miteinander, die alle ein grundlegendes Sicherheitstraining absolviert hatten. Die erste Gruppe erhielt neben dem Sicherheitstraining gar keine weiteren Anweisungen oder Schulungen. Die zweite Gruppe bekam neben dem Grundlagentraining weitere Regeln und Vorgaben. Der dritten Gruppe wurde zusätzlich beigebracht, einfache Achtsamkeitstechniken anzuwenden: Innehalten, wenn eine E-Mail eine Handlung verlangt, berücksichtigen, wie die Mail ankommt, wann, mit welchem Ziel und ob sie angemessen ist. Bei Zweifeln eine dritte Partei um Rat fragen. Zehn Tage später starteten die Wissenschaftler einen simulierten Phishing-Angriff

Sie fanden heraus, dass 23 Prozent der Teilnehmer, die keine zusätzliche Schulung erhalten hatten, auf die Attacken hereinfielen. So erging es auch 13 Prozent der Probanden, die zusätzlich regelbasierte Anweisungen erhalten hatten. Lediglich 7 Prozent der dritten Gruppe, die Achtsamkeitsübungen anwendete, bestanden den Test nicht. Weitere Forschungen von Christopher Nguyen, einem Kollegen der Wissenschaftler, kamen zu ähnlichen Ergebnissen und zeigten, dass die gestärkte Widerstandskraft mehrere Monate anhielt.

Achten Sie aufs Team

Sicherheitsmaßnahmen werden oft durch die "Schwächstes Glied"-Problematik ausgehebelt: Wenn nur eine Person auf den Angriff reagiert, kann er erfolgreich sein. Um zu verstehen, ob Gruppendynamik diese Anfälligkeit verringern kann, haben Wright und Kollegen ein zweijähriges Experiment aufgesetzt. Teilgenommen haben 180 Mitarbeiter einer Finanzabteilung einer großen Universität. Sie untersuchten die Stellung der einzelnen Mitarbeiter in ihren Arbeitsgruppen und sozialen Netzwerken und verübten Phishing-Attacken.

Das Ergebnis: Je zentraler und vernetzter jemand war, desto erfolgloser waren die Angriffe. Beispielsweise klickten nur 14 Prozent der Mitarbeiter, die zentraler Bestandteil ihrer Arbeitsgruppe waren (im oberen Viertel) auf Links in den gefälschten Nachrichten, die Mitarbeiter im unteren Viertel aber zu 35 Prozent. Die Forscher fanden auch heraus: Je besser ein Team insgesamt mit dem Computer umgehen konnte, desto weniger anfällig war jeder Einzelne für die Attacken.

Diese Ergebnisse deuten darauf hin, dass Mitarbeiter von ihren Teamkollegen bei Sicherheitsfragen lernen können, formell oder informell. Darauf könnten Managerinnen und Manager setzen. "Statt zu sagen: "Es ist mal wieder so weit, bitte absolviert das IT-Training, wenn ihr Zeit habt", und dann nie wieder darüber zu reden, sollten Manager Schulungen im Team organisieren und alle für die Ergebnisse verantwortlich machen", sagt Wright. Organisationen könnten auch Netzwerkanalysen nutzen, um besonders anfällige Mitarbeiter zu identifizieren und Mitarbeiter, die nur am Rande am Team beteiligt oder neu sind, zusätzliche Schulungen anbieten.

Ein Ergebnis hat die Forscher überrascht: Je mehr Kontakt jemand mit der IT-Abteilung hatte oder je stärker dieser Mensch den Kollegen dort vertraute, desto eher fiel er auf die simulierten Attacken herein. Vielleicht fühlten sich gerade diese Menschen vor Angriffen geschützt, so die Wissenschaftler. "Wird mir eine Kreditkarte gestohlen, übernimmt die Bank den Schaden, deshalb gehen Menschen sorgloser mit ihren Kreditkarten um; wir vermuten, dass hier Ähnliches gilt", sagt Wright. "Wenn Mitarbeiter denken, die IT-Abteilung wird mir schon helfen, wenn ich etwas Falsches anklicke, fühlen sie sich nicht verantwortlich dafür, ihre Daten zu schützen oder aus Erfahrungen zu lernen."

Manager könnten Anreize schaffen, indem sie das Thema Datensicherheit in die jährlichen Mitarbeiterbeurteilungen aufnehmen. Und IT-Kollegen sollten sicherstellen, dass Mitarbeiter verstehen, welche Warnsignale sie übersehen haben, statt einfach nur das Problem zu beheben, wie es meistens der Fall ist.

Setzen Sie auf Wettbewerb

Hilfreiche Gruppendynamik können Sie fördern, indem Sie den Wettbewerb im Team beim Thema Datensicherheit stärken. Die Wissenschaftler führten deshalb drei Experimente mit 568 Teilnehmern durch. Diese nahmen die Rolle eines Praktikanten ein, der lernen sollte, verdächtige E-Mails zu erkennen und zu melden. Anschließend bekamen sie eine Reihe von Aufgaben, etwa das Postfach des Vorgesetzten zu verwalten. In der Folge erhielten sie fünf Phishing-Mails. In den ersten beiden Versuchsanordnungen wurden ihre Berichte in unterschiedlich konfigurierten Ranglisten veröffentlicht. Im dritten Experiment wurden diese Ranglisten mit anderen Gegenmaßnahmen verglichen, einzeln oder kombiniert: ein Schulungsvideo, Hinweise, die E-Mails von außerhalb der Organisation kennzeichneten, und Markierungen, die auf besonders verdächtige E-Mails hinwiesen.

Die Ranglisten waren ein gutes Mittel, um mehr Berichte zu erhalten, und sorgten gleichzeitig dafür, dass es nicht zu viele falsch-positive Meldungen gab. Einige Ranglisten waren besser als andere. Die optimal konfigurierte Liste zeigte allen, wer einen Verdacht gemeldet hatte, vergab Punkte für korrekte Meldungen und zog Punkte ab für Fehlalarm. "Externe Motivation erwies sich als deutlich wirksamer als intrinsische Anreize", sagt Forscher Jensen.

Niemand wird nur zum Spaß seine Zeit darauf verwenden, Phishing-Attacken aufzuspüren. Organisationen können mit diesen Schritten aber verdeutlichen, wie wichtig das Erkennen und Melden von Verdachtsfällen ist, und diese Aktivitäten gleichzeitig effizient und lohnenswert gestalten. Wenn es darum geht, ob Mitarbeiter auf Fälschungen hereinfallen, " ist es wirklich schwierig, auf null zu kommen", sagt Jensen. "Sie müssen einen schrittweisen Ansatz wählen." © HBP 2020

Quelle: Ryan T. Wright et al.: "Beyond Individuals: A Group Perspective of IT Security Compliance" (working paper); Matthew L. Jensen et al.: "Building the Human Firewall: Combating Phishing Through Collective Action of Individuals Using Leaderboards" (working paper); Matthew L. Jensen et al.: "Training to Mitigate Phishing Attacks Using Mindfulness Techniques", Journal of Management Information Systems, 2017

Dieser Artikel erschien in der Oktober-Ausgabe 2020 des Harvard Business manager.

Zur Ausgabe
Artikel 4 / 24
Vorheriger Artikel
Nächster Artikel