Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Diesen Beitrag drucken Diesen Beitrag drucken

Der Faktor Mensch | Teil I: Wie Sie Ihre Privatsphäre gefährden – und wie Sie sich schützen können!

Send to Kindle

Als ausgebildeter Psychologe habe ich mich auch eine Zeit lang mit psychologischen Aspekten von Computersicherheit befaßt. Ein häufig anzutreffender Irrtum ist der Glaube, daß die meisten Sicherheitsprobleme durch technische Unzulänglichkeiten wie Sicherheitslücken in Software und Hardware entstehen. Das ist falsch. Die Mehrzahl der Sicherheitsprobleme in der IT entsteht erst durch den Faktor Mensch. Sogenanntes Social Engineering, also der Versuch, durch psychologische Einflußnahme auf Menschen an Informationen heranzukommen, stellt eines der Hauptprobleme für die IT-Sicherheit dar. Das gilt auch im Umgang mit sozialen Netzwerken. Daher möchte ich dem "Faktor Mensch" in diesem Blog in Form einer losen Artikelserie zukünftig ein besonderes Gewicht geben. Im ersten Artikel möchte ich die meiner Ansicht nach wesentlichsten psychologischen Mechanismen diskutieren, die zu Privatsphäreverletzungen in sozialen Netzwerken führen, und aufzeigen, wie man sich vor Social Engineering schützen kann.

Die fünf Mechanismen

Es sind meines Erachtens vor allem fünf psychologische Mechanismen, derer sich Angreifer im Netz und auch in sozialen Netzwerken bedienen, um an Daten heranzukommen oder einen Account unter ihre Kontrolle zu bringen:

Neugierde wecken: Neugierde ist eigentlich eine positive menschliche Eigenschaft. Neugierde erleichtert es uns, Neues zu erlernen und neue Erfahrungen zu machen. Aber Neugierde kann uns auch in Gefahr bringen. Das galt schon für den Menschen in der Steinzeit, der sich neugierig einem unbekannten Tier näherte oder eine unbekannte Pflanze aß. Und das gilt auch im Informations- und Kommunikationszeitalter noch. Angreifer, die es auf unsere Daten oder auf die Kontrolle über unsere Computer abgesehen haben, versuchen nicht selten, unsere Neugierde auszunutzen. Viren, Trojaner und andere Schädlinge verbreiten sich oft dadurch, daß Menschen eine E-Mail mit einem Anhang zugesandt bekommen, der scheinbar etwas enthält, was ihre Neugierde weckt und sie dazu bringt, den Anhang zu öffnen, der in Wahrheit nicht etwa das versprochene Bild, sondern einen Schädling enthält. Das Gleche passiert in sozialen Netzwerken. In sozialen Netzwerken sind es zwar keine E-Mail-Anhänge, sondern meist Anwendungen, die Neugierde wecken und denen dann unbedacht Zugriff auf Accountdaten gegeben wird, aber der psychologische Effekt, der dabei ausgenutzt wird, ist derselbe.

Das Spiel mit der Angst: Sehr häufig versuchen Angreifer auch, ihre Opfer dazu zu bewegen, etwas zu tun, etwa eine Datei zu öffnen, indem sie ihnen Angst machen. Auch dieses Prinzip findet sich meistens bei der Verbreitung von Schädlingen per E-Mail wieder. Die E-Mail enthält dann beispielsweise die Behauptung, man habe eine Rechnung über mehrere tausend Euro zu zahlen oder sei angezeigt worden. Die angebliche Rechnung oder Strafanzeige, die in Wahrheit der Schädling ist, hängt dann an der E-Mail an. In sozialen Netzwerken sind es hier wieder Anwendungen, die einen User angeblich vor Ungemach schützen sollen, in Wahrheit aber dessen Kontodaten ausspionieren oder über den Account spammen.

An das Gewissen oder die Hilfsbereitschaft von Menschen appellieren: Oftmals wird von Angreifern auch an das Gewissen oder die Hilfsbereitschaft ihrer Opfer appelliert. In E-Mails wird dann behauptet, ein Anhang, der in Wahrheit wiederum einen Schädling enthält, enthalte Informationen, wie man Opfern einer humanitären Katastrophe oder auch einzelnen Menschen, die angeblich ein schweres Schicksal haben, helfen könne. In sozialen Netzwerken sind hier wieder Anwendungen das Einfallstor für solche Angriffe.

Die Autoritätsgläubigkeit von Usern ausnutzen: Das ist ein wahrer Klassiker des Social Engineering. Ein Angreifer gibt sich dabei in der Regel als Autoritätsperson aus, um an Accountdaten heranzukommen. Meist kommt zum autoritären Auftreten noch das Spiel mit der Angst. Diese Art des Angriffs findet sich nicht selten auch im wirtschaftlichen Umfeld. Aber auch in sozialen Netzwerken hat man häufig damit zu tun. In einer E-Mail gibt sich ein Angreifer dann beispielsweise als "Account Manager" eines sozialen Netzwerks aus und behauptet, der Account eines Users sei wegen Unregelmäßigkeiten gesperrt worden. Um ihn freizuschalten, müsse man auf einer Webseite seine Zugangsdaten erneut eingeben. Der der Mail beigefügte URL führt dann auf eine sogenannte Phishing-Seite, die natürlich nicht zum fraglichen sozialen Netzwerk gehört. Die Accountdaten landen stattdessen direkt beim Angreifer.

Mangelnde Informiertheit des Opfers: Die Tatsache, daß die Opfer von Social Engineering oftmals nicht ausreichend über Sicherheits-Policies des Betreibers und auch über aktuelle Angriffe informiert sind, hilft dem Angreifer bei allen genannten Angriffen.

Gegenmaßnahmen

Die oben beschriebenen psychologischen Mechanismen sind nur allzu menschlich, und keiner von uns wird behaupten können, niemals Opfer eines solchen Mechanismus geworden zu sein.

Aber ist man ihnen daher schutzlos ausgeliefert? Keinsesfalls! Man kann selbst einiges dafür tun, damit diese psychologischen Mechanismen bei Angriffen nicht zur Entfaltung kommen können!

  • Informieren Sie sich, und bleiben Sie auf dem Laufenden: Diese Regel gilt immer und überall. In sozialen Netzwerken sollten Sie unbedingt Nachrichten des Betreibers abonnieren, die über bekannte Angriffe und Sicherheitsprobleme berichten. Auf Facebook sind dies beispielsweise die Accounts "Facebook Security" und "Facebook Safety". Auf Twitter sollten Sie dem zu Twitter gehörenden Account "Safety" folgen. Zudem sollten Sie sich zunächst immer über die Vertrauenswürdigkeit einer Anwendung informieren, ehe Sie dieser beispielsweise bei Twitter oder Facebook erlauben, auf Ihren Account zuzugreifen. Dies führt uns direkt zur nächsten Schutzmaßnahme:
  • Zügeln Sie Ihre Neugierde: Auch wenn's schwerfällt und noch so sehr in den Fingern juckt, weil die Anwendung so toll klingt: Geben Sie Ihrer Neugierde erst nach, nachdem Sie den ersten Punkt berücksichtigt und sich umfassend über die Anwendung informiert haben.
  • Lassen Sie sich keine Angst machen: Wenn Sie eine E-Mail erhalten haben, in der Sie beispielsweise aufgefordert werden, Ihre Accountdaten erneut einzugeben, weil sonst Ihr Account gesperrt würde, sollten Sie ruhig bleiben. Schauen Sie sich die E-Mail genau an und überprüfen Sie vor allem, ob dort angegebene Links wirklich auf die Website des jeweiligen Betreibers führen. Und selbst wenn das der Fall ist, sollten Sie beim Support des Betreibers nachfragen, was das Problem ist, ehe Sie Daten eingeben. Viele Betreiber weisen auch ausdrücklich darauf hin, daß sie solche Benachrichtigungen nicht per E-Mail verschicken.
  • Lassen Sie sich kein schlechtes Gewissen machen: Hilfsbereitschaft ist eine positive Eigenschaft. Aber auch diese kann ausgenutzt werden. Wenn Sie in einem sozialen Netzwerk beispielsweise aufgefordert werden, einer Anwendung Zugriff auf Ihren Account zu geben, um Menschen zu helfen, gilt auch hier: Stellen Sie das Bedürfnis zu helfen zunächst hintenan und informieren Sie sich über die Vertrauenswürdigkeit dieser Anwendung.
  • Seien Sie vermeintlichen Autoritäten gegenüber skeptisch: Wenn sich eine vermeintliche Autorität, beispielsweise ein angeblicher "Account Manager" bei Ihnen meldet und Sie auffordert, Ihren Account zu reaktivieren, gelten die gleichen Verhaltensregeln wie bei dem Punkt "Lassen Sie sich keine Angst machen". Fragen Sie beim Betreiber nach, was Sache ist. Lesen Sie auch die Sicherheitshinweise des Betreibers noch einmal durch. Meist wird dort beschrieben, ob solche E-Mails überhaupt verschickt werden.

Wenn Sie diese Regeln befolgen, können Sie schon die meisten Social-Engineering-Angriffe abwehren. Diese Regeln gelten dabei natürlich nicht nur für soziale Netzwerke, sondern für das gesamte Netz!

Flattr this!

Facebook Share Twitter Share

Einen Kommentar schreiben - Alle Angaben bis auf den Kommentar sind freiwillig. Anonyme Kommentare werden immer moderiert

Copyright © 2019 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/