Phishing bei der Polizei: (IT-) Sicherheit und der menschliche Faktor

Bei der Berliner Polizei ließen sich mehr Beamte als befürchtet von einer Phishing-Mail täuschen – glücklicherweise handelte es sich hierbei nur um einen Testlauf. Trotzdem ist der Vorfall besorgniserregend und ein Hinweis darauf, dass das Bewusstsein für Sicherheitsthemen dringend gestärkt werden muss.

Bei der Polizeibehörde von Berlin fand vor kurzem ein Test statt, der das Verhalten der Beamten beim Thema IT-Sicherheit testen und sie für entsprechende Bedrohungen sensibilisieren sollte. Dabei wurden insgesamt 466 Phishing-Mails verschickt. Die E-Mails griffen das Corporate Design der Behörde auf und forderten die Beamten auf, ihre dienstlichen und privaten Passwörter im sogenannten „sicheren Passwortspeicher der Polizei Berlin“ zu deponieren.

Das Ergebnis dieses Tests fiel ernüchternd aus. 252 Empfänger, also mehr als 50 Prozent, öffneten die E-Mail und den dazugehörigen Link – genug, um den Rechner im Rahmen eines sogenannten Drive-by-Downloads mit Schadsoftware zu infizieren. 35 Polizisten gingen sogar noch weiter und hinterlegten, wie in der E-Mail verlangt, persönliche Benutzerdaten und Passwörter.

Mehr Sicherheitsbewusstsein schaffen

Durch das Experiment soll das Sicherheitsbewusstsein der Beamten gestärkt werden. Wie dringend das nötig ist, zeigen die Reaktionen der Mitarbeiter. Ob bei Behörden oder in der freien Wirtschaft: jedes sinnvolle Sicherheitskonzept muss den menschlichen Faktor berücksichtigen. Gleichzeitig zeigt das Experiment auch, wie riskant es ist, staatlichen Behörden sensible Daten bedenkenlos anzuvertrauen.

Dabei geht es nicht um Schuldzuweisungen oder Lächerlichmachen der hier Betroffenen. Immerhin ist es löblich, dass das Problem erkannt und angegangen wird – und, wie das Vorstandsmitglied der Gewerkschaft der Polizei Steve Feldmann ganz richtig erklärte: „Die Polizei ist nur ein Spiegelbild unserer Gesellschaft.“ Das mäßige Abschneiden der Berliner Beamten beim Phishing-Test ist symptomatisch für ein Problem, das unsere gesamte Gesellschaft betrifft.

Angesichts wachsender Bedrohungen, wie beispielsweise durch staatliche Akteure oder zunehmend professioneller werdende IT-Kriminelle rückt das Thema IT-Sicherheit seit einigen Jahren verstärkt in den Fokus. Längst befassen sich nicht mehr nur Fachmedien und Experten damit. Bei vielen Diskussionen wird allerdings nach wie vor vor allem über technische Lösungen gesprochen. Diese sind zweifellos notwendig und wichtig – können aber immer nur ein Teil eines tragfähigen Sicherheitskonzepts sein.

Der menschliche Faktor: Noch immer unterschätzt

Oft genug wird der menschliche Faktor bei der Absicherung sensibler Systeme und Daten nicht ausreichend berücksichtigt. Denkweisen wie diese treten häufig auf, vornehmlich in der IT-Branche, denn hier wird immernoch eher in technischen Konzepten gedacht, statt die menschliche Erfahrung zu berücksichtigen. Dann hilft jedoch auch das beste technische Sicherheitssystem nicht, wenn Menschen dies – entweder aus Ungeduld, Bequemlichkeit oder schlichter Unwissenheit – umgehen. Nicht umsonst funktionieren einige Tricks des „Social Engineering“ seit mindestens 500 Jahren, und nicht umsonst gibt es aus fast jeder zeitlichen Epoche Anekdoten, wie vermeintlich unschlagbare Sicherheitssysteme durch schlichte menschliche Irrtümer oder psychische Manipulation zu Fall gebracht wurden.

In Zeiten der Informationsgesellschaft, in denen immer mehr Menschen regelmäßig mit sensiblen Daten hantieren und auf der anderen Seite eine erhebliche Bedrohung für diese Daten existiert, ist es daher wichtig, auch den menschlichen Faktor zu berücksichtigen. Glücklicherweise wird dem Thema „Security Awareness“ seit einigen Jahren zunehmend mehr Beachtung geschenkt. Bis diese allerdings der Bedeutung des Themas entspricht, muss noch einiges getan werden.

Den Anwender im Blick bei Training und Design

IT-Sicherheit ist schon lange nicht mehr nur für Fachleute interessant. Alle diejenigen, die den Computer und das Internet nutzen (vor allem diejenigen, die das auch beruflich tun), sollten zumindest ein Mindestmaß an Verständnis dafür haben, welche Gefahren das mit sich bringt und wie diese vermieden werden können. Das soll keineswegs in Hysterie und Panikmache ausarten und auch keine Aufforderung sein, auf eine Nutzung von IT zu verzichten.

Den Nutzern soll lediglich eine gewisse Grund-Vorsicht beigebracht werden – wie wir sie auch von klein auf im Straßenverkehr anwenden, ohne diesen als sonderlich bedrohlich wahrzunehmen. Und sie müssen lernen, Bedrohungen zu erkennen und sich sicherheitsbewusst zu verhalten. Firmen, die mit sensiblen Daten umgehen, sollten entsprechende Trainings für ihre Mitarbeiter abhalten.

Hilfe von den Machern ist gefragt

Auch privat kann man für mehr Datensicherheit und Awareness sorgen: Eine kleine Hilfestellung für nicht netzversierte Menschen, mit anschaulichen, gut verständlichen Beispielen und konkreten Verhaltenstipps kann jede Menge Ärger vorbeugen – und sorgt für mehr Bewusstsein bei der Datensparsamkeit.

Daneben sind aber auch die Software- und Webdesigner in der Pflicht. Sie sind gefragt, wenn es darum geht, Sicherheits-Features so zu gestalten, dass der Benutzer alle relevanten Informationen enthält, ohne von diesen genervt oder überfordert zu werden. In den letzten Jahren hat es in diesem Bereich erhebliche Fortschritte gegeben. Es besteht aber noch einiges Potential für Verbesserungen.

Der Phishing-Vorfall bei der Berliner Polizei ist jedoch nicht nur ein Hinweis darauf, dass wir mehr für das Sicherheitsbewusstsein der Bevölkerung tun müssen. Er zeigt auch, dass es falsch ist, blindes Vertrauen in die Behörden und ihren Umgang mit sensiblen Daten zu haben. Nicht, weil die Behörden in dieser Hinsicht besonders schlecht aufgestellt sind – sondern eher, weil sie genauso fehlbar sind wie viele andere Akteure. Viele Menschen akzeptieren Überwachungsmaßnahmen wie die Vorratsdatenspeicherung im Vertrauen auf den verantwortungsbewussten Umgang der Behörden mit den gespeicherten Daten und ihre scheinbar überzeugenden Sicherheitskonzepte.

Das allerdings kann ein Trugschluss sein. Zwar ist das Risiko eines Angriffs, bei dem gespeicherte Telekommunikationsdaten in falsche Hände fallen, nur eines von vielen Risiken bei exzessiver staatlicher Überwachung. Dennoch muss der Vorfall ernstgenommen werden. Man kann dem Problem nur mit Datensparsamkeit, also die Vermeidung unnötiger Datenspuren, sinnvoll begegnen – denn wo viele Daten gespeichert wird, gibt es allzu oft auch Fehler im Umgang mit diesen, seien sie nun menschlicher oder technischer Natur.


Image „No phishing!“ by  Widjaya Ivan (CC BY2.0)


Schlagwörter: , , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus