Die Technology Review berichtet über eine Studie aus Deutschland und Luxemburg, die zeigt, dass die größte Sicherheitslücke bei allen Systemen einfach der Nutzer ist und bleibt. Kaum eine Mail von Banken, Dienstleistern und Shops, in der nicht irgendwo ausdrücklich steht, dass niemals ein Mitarbeiter nach dem Passwort fragen würde. Immer wieder wird vor Phishing-Mails gewarnt und betont, wie wichtig gute Passwörter sind. Und dann kommen die Macher dieser Studie, wedeln mit einer Tafel Schokolade und schon bekommen sie reihenweise Passwörter dafür.
Natürlich haben die sich nicht auf die Straße gestellt mit einem Schild, auf dem steht „Geben sie uns ihr Passwort und bekommen sie dafür eine Tafel Schokolade!“. Aber so weit weg von diesem Szenario war ihr Ansatz nicht. Es wurden 1.206 zufällig ausgewählte Passanten auf der Straße zu einer Umfrage zum Thema Computersicherheit eingeladen. Dabei wurde einem Drittel der Befragten direkt zu Beginn eine Tafel Schokolade gegeben, einem weiteren Drittel direkt bevor nach dem Passwort gefragt wurde und dem letzten Drittel wurde die Schokolade erst ausgehändigt, nachdem sie alle Fragen beantwortet hatten.
Das Ergebnis dieses Tests kann man durchaus als erschreckend bezeichnen: zwischen 29,9 und 47,9 Prozent der Befragten gaben ihr Passwort raus. Dabei erreichte den niedrigsten Wert die Gruppe, die erst am Ende der Befragung die Schokolade erhielt, 39,9 Prozent waren es bei denen, die ganz am Anfang der Befragung die Schokolade bekommen haben und den Spitzenwert von 47,9 Prozent erreichte die Gruppe Menschen, die die Schokolade direkt vor der Frage nach dem Passwort erhalten haben. Fast 50% der Befragten gaben auf Nachfrage immerhin Hinweise auf ihr Passwort, also zum Beispiel, dass ihr Name oder Geburtsdatum darin vorkäme.
Und nur um sicher zu gehen: Männer und Frauen verhielten sich bei dieser Studie gleich dämlich sorglos. In der Umfrage zeigten sich vor allem jüngere Menschen als Passwort-Verräter, wobei dies aber auch damit zusammen hängen könnte, dass die Umfrage von studentischen Hilfskräften durchgeführt wurde, die also ebenfalls eher jung waren. Es muss also nicht um eine allgemeine Sorglosigkeit junger Menschen handeln – auch wenn viele ältere Menschen das sicherlich sofort behaupten würden – sondern kann ein Ergebnis der Tatsache sein, dass man eher geneigt ist, die Bitte eines anderen zu erfüllen, wenn dieser einem selbst ähnelt, eben zum Beispiel in etwa im gleichen Alter ist.
Social Engineering auf Grundlage des Missbrauchs der Norm der Reziprozität scheint erfolgreich zu sein.
Darum ging es vor allem in der Studie: Social Engineering auf Basis von Reziprozität, das Prinzip der Gegenseitigkeit oder auch „wie du mir, so ich dir“. Mit Recht bezeichnen die Macher der Studie (Christian Happ von der International School of Management in Stuttgart, André Melzer und Georges Steffgen von der Universität Luxemburg) das Ergebnis als „alarmierend“.
Nicht nur funktioniert Social Engineering auf Basis von Reziprozität, der „Preis“, den man hier als Gegenleistung zu zahlen hat, ist lächerlich gering. Man stellt sich einfach auf die Straße mit einem Klemmbrett, Stiften, ein paar Fragebögen und einer Kiste mit Schokolade und sammelt Passwörter ein. Bei Erfolgsquoten, wie sie in der Studie erreicht wurden, kann sich das durchaus lohnen.
Bleibt die Frage, wie weit man gehen muss, wenn man noch sensiblere Passwörter und Daten bekommen will. Möglicherweise muss man dafür dann schon einen Stand aufstellen und statt Schokolade lustig blinkende Schlüsselanhänger verteilen? Während also unsere Systeme immer sicherer werden (sollen) und ständig technische Lücken beseitigt werden, bleibt die größte Schwachstelle ungefixt: der Nutzer.
Die Evolution ist hier einfach zu langsam mit den Updates. Durch solche Studien bestätigt werden damit auf jeden Fall diejenigen, die an einer Zukunft ohne Passwörter arbeiten – andererseits sind die aktuell in Consumer-Hardware verfügbaren Systeme zum Beispiel zur Erkennung eines Fingerabdrucks noch zu leicht zu überlisten.
Beitragsfoto von annca via pixabay (Lizenz: CC0 Public Domain)