Lange Zeit haben Cyberkriminelle die Psychologie als T\u00e4uschungsmittel eingesetzt. Wir k\u00f6nnen aber psychologische Ph\u00e4nomene auch nutzen, um zu erkl\u00e4ren, warum bestimmte kriminelle Methoden funktionieren \u2013 und um die richtige Schutzstrategie festzulegen. Viele Psychologen analysieren sowohl die Angriffsschemata als auch die Gr\u00fcnde, wieso diese \u00fcberhaupt effektiv sind. Heute untersuchen wir eine Hypothese, die den Versuch unternimmt, Folgendes zu erkl\u00e4ren: Warum fordern E-Mail-Fallen trotz der Wirksamkeit moderner Antiphishing-Technologien immer noch Opfer und warum k\u00f6nnen sie noch immer erheblichen Schaden anrichten?<\/p>\n
Spam- und Phishing-Schutzma\u00dfnahmen sind wichtige Bestandteile der Online-Sicherheit eines Unternehmens. Bei der Untersuchung von Cyber-Vorf\u00e4llen stellen unsere Experten in der Regel fest, dass das Problem mit einer E-Mail begann, unabh\u00e4ngig davon, ob es sich um ein Massenmailing oder einen zielgerichteten Angriff handelt. Heutzutage k\u00f6nnen E-Mail-Filter typische Phishing-E-Mails mit einem hohen Ma\u00df an Sicherheit identifizieren. Dennoch schaffen es Angreifer manchmal, beispielsweise durch das Hijacken des E-Mail-Postfachs eines Gesch\u00e4ftspartners<\/a>, die Nachricht an ein menschliches Opfer zu \u00fcbermitteln. Der Faktor Mensch ist n\u00e4mlich nach wie vor das schw\u00e4chste Glied in der Kette. Und je effektiver die Filter sind, desto gr\u00f6\u00dfer ist die Wahrscheinlichkeit, dass die durchgemogelte Nachricht auch den Benutzer t\u00e4uscht.<\/p>\n Zwei US-amerikanische Forscher, Ben D. Sawyer vom Massachusetts Institute of Technology und Peter A. Hancock von der University of Central Florida, vermuten eine direkte Korrelation zwischen der H\u00e4ufigkeit b\u00f6swilliger E-Mails und ihrer erfolgreichen Identifizierung durch Benutzer<\/a>. Sie st\u00fctzten ihre Theorie auf dem in der Psychologie seit langem bekannten \u201ePr\u00e4valenz-Effekt\u201c,<\/a> der im Wesentlichen besagt, dass eine Person mit gr\u00f6\u00dferer Wahrscheinlichkeit ein Signal \u00fcbersieht (oder nicht erkennt), das weniger h\u00e4ufig ist als ein h\u00e4ufig auftretendes Signal.<\/p>\n Die Forscher beschlossen, ihre Vermutung in der Praxis umzusetzen, indem sie ein Experiment durchf\u00fchrten, bei dem den Teilnehmern E-Mails zugesandt wurden, von denen einige b\u00f6swillige Anh\u00e4nge enthielten. Der Prozentsatz der sch\u00e4dlichen E-Mails variierte f\u00fcr jeden Teilnehmer: Einige hatten nur 1 % Malware im Anhang, andere wiederum 5 % oder 20 %. Das Ergebnis best\u00e4tigte ihre Hypothese, dass es f\u00fcr Menschen umso schwieriger ist, eine Bedrohung zu erkennen, je seltener sie auftritt. Dar\u00fcber hinaus ist die Abh\u00e4ngigkeit nicht einmal linear, sondern eher logarithmisch.<\/p>\n Wir sollten beachten, dass f\u00fcr das Experiment eine relativ kleine Stichprobe (33 Probanden) verwendet wurde und alle Teilnehmer Studenten waren, sodass es verfr\u00fcht w\u00e4re, die Schlussfolgerung blind zu akzeptieren. In der Psychologie gilt der Pr\u00e4valenz-Effekt jedoch allgemein als erwiesen. Warum sollte er nicht f\u00fcr Phishing-E-Mails gelten? In jedem Fall versprechen Sawyer und Hancock, ihre Hypothese zu verfeinern, indem sie sie weiterentwickelten Tests unterziehen.<\/p>\n Die Forscher haben eine m\u00f6gliche Erkl\u00e4rung f\u00fcr das Ph\u00e4nomen vorgeschlagen, bei dem ein starkes Vertrauen in die Sicherheit des Systems eine Rolle spielt. Im Wesentlichen gehen sie davon aus, dass Antiphishing-Technologien die Benutzer vor Bedrohungen sch\u00fctzen, gleichzeitig aber auch ihre Wachsamkeit beeintr\u00e4chtigt. Im \u00dcbrigen postulieren die Forscher auch, dass Cyberkriminelle m\u00f6glicherweise \u00fcber die Auswirkungen Bescheid wissen und daher absichtlich weniger h\u00e4ufig Malware versenden.<\/p>\n Wie Sie vielleicht erahnt haben, raten wir nicht dazu, automatisierte Sicherheitssysteme aufzugeben. Wenn jedoch die Hypothese von Sawyer und Hancock richtig ist, ist es m\u00f6glich, dass Benutzer von der gelegentlichen Begegnung mit einer Phishing-E-Mail profitieren. Nat\u00fcrlich keiner richtigen Phishing-E-Mail.<\/p>\nDas Experiment<\/h2>\n
Praktische Schlussfolgerungen<\/h2>\n