Passwort gegen Schokolade

Mit Tricks, die menschliche Schwächen ausnutzen, lassen sich Sicherheitsvorkehrungen oft viel leichter überwinden als mit technischen Mitteln. Wie eine neue Studie zeigt, reichen dafür sogar minimale Anreize.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Sascha Mattke

Um in ein fremdes System einzudringen, muss man nicht unbedingt eine technische Lücke finden: Manchmal reicht es auch aus, menschliche Schwächen auszunutzen – etwa, indem man sich unter einem Vorwand das Passwort eines berechtigten Nutzers verraten lässt. Wie gut dieses so genannte „Social Engineering“ funktioniert, zeigt jetzt (wieder einmal) eine Studie von Forschern aus Deutschland und Luxemburg: Fast jeder zweite Teilnehmer einer angeblichen Umfrage gab den Interviewern sein persönliches Passwort – wenn er direkt davor eine Tafel Schokolade bekommen hatte.

Social Engineering kann viele Formen annehmen, und es beschränkt sich bei weitem nicht auf den Computerbereich. Im Grunde arbeitet jeder Trickbetrüger damit, etwa wenn er sich am Telefon als Mitarbeiter einer Bank oder Telefongesellschaft ausgibt, um einem Opfer Informationen zu entlocken. Als einer der bekanntesten Social Engineers bei IT gilt der Amerikaner Kevin Mitnick, der ab den 1980er Jahren in viele Computersysteme eindrang und später dafür ins Gefängnis musste. In einem Buch behauptete er später, ausschließlich Social Engineering betrieben zu haben, weil das viel einfacher sei als der Versuch, ein System technisch zu knacken.

Und während technische Lücken mit Updates geschlossen werden können, bleiben die menschlichen Schwächen immer gleich – sie sind sozusagen dauerhafte Fehler in unserer Verdrahtung. Ausgenutzt werden zum Beispiel Autoritätshörigkeit, Sympathie für scheinbar ähnliche Menschen, Gier und Neugier oder das tief im Menschen verwurzelte Prinzip der Gegenseitigkeit.

In ihrer Studie beschäftigten sich Christian Happ von der International School of Management in Stuttgart und André Melzer sowie Georges Steffgen von der Universität Luxemburg vor allem mit dem letzten Aspekt, also der Gegenseitigkeit. Die Neigung zur Reziprozität, so schreiben sie, sei ein „grundlegendes psychologisches Prinzip, das sich in allen Kulturen finden lässt“. Im deutschen Sprachraum zeigt sich dies unter anderem daran, dass mehrere Redewendungen darauf basieren – „wie du mir, so ich dir“ oder „Gleiches mit Gleichem vergelten“.

Um die Wirkung dieser Neigung zu testen, schickten die Forscher sieben studentische Hilfskräfte los, die insgesamt 1206 zufällig ausgewählten Passanten erzählten, sie würden eine Umfrage über Computersicherheit machen. Nach kurzen Fragen zum Thema baten die Tester die Probanden, ihr Passwort auf den Umfragebogen zu schreiben. Ein Drittel der Befragten bekam ganz am Anfang des Kontakts eine Tafel Schokolade, ein weiteres Drittel direkt vor der Bitte um das Passwort, das letzte Drittel erst, nachdem alle Fragen abgearbeitet waren.

Dabei zeigte sich: Über alle drei Gruppen hinweg ließen nicht weniger als 30 Prozent der Befragten den Interviewer ihr Passwort wissen; weitere 48,3 Prozent gaben auf Nachfrage zumindest Hinweise dazu, etwas dass ihr Nachname oder ein Geburtsdatum darin vorkomme. Noch höher waren diese Quoten bei Umfrageteilnehmern, die anschließend angaben, die Wahrheit gesagt zu haben. Von ihnen verrieten insgesamt 38,6 Prozent ihr Passwort, und weitere 47,5 Prozent gaben zumindest Hinweise. Bedeutende Unterschiede in Bezug auf das Geschlecht der Befragten traten dabei insgesamt nicht zutage – Männer und Frauen waren also in etwa gleich gutgläubig und unvorsichtig.

Eine bedeutende Rolle spielte aber tatsächlich der Zeitpunkt, zu dem die Schokolade überreicht wurde: Von den Personen, die sie unmittelbar vor der Bitte um das Passwort erhielten, schrieben es 47,9 Prozent auf; wenn es das Geschenk am Anfang der Befragung gab, betrug der Wert immer noch 39,9 Prozent. Von der Kontrollgruppe, die erst zum Abschluss beschenkt wurde, machten immer noch 29,8 Prozent die gewünschte Angabe.

„Social Engineering auf Grundlage des Missbrauchs der Norm der Reziprozität scheint erfolgreich zu sein“, schreiben die Forscher als Fazit ihres Versuchs. Insbesondere jüngere Menschen hätten sich als empfänglich dafür erwiesen. Das könne mit der Tatsache zusammenhängen, dass auch die Interviewer eher jung waren – die wahrgenommene Ähnlichkeit ist ein weiterer Faktor, der Menschen dazu neigen lässt, Bitten anderer zu erfüllen.

Insgesamt bezeichnen die Forscher die Ergebnisse ihres Versuchs als „alarmierend“. Er habe gezeigt, dass es sogar ohne besondere Tricks relativ leicht möglich sei, von Fremden Passwörter und andere sensible Informationen zu erfahren. Weder sei dazu besondere kriminelle Energie noch großer Täuschungsaufwand oder ein besonders wertvoller Anreiz nötig gewesen. Und selbst Personen, deren sonstige Antworten ein gewisses IT-Sicherheitsbewusstsein erkennen ließen, konnten sich gegen den sozialen Angriff nicht deutlich besser wehren als andere.

(sma)