Safer Internet Day: Der Psychologe, der die Verlockung von Phishing-Mails überwinden will

Noch immer kämpft das Kammergericht Berlin mit den Folgen des Emotet-Befalls im September. Auch die Uni Gießen oder Städte wie Frankfurt und Bad Homburg waren von der Schadsoftware betroffen. Oft ist dabei eine Phishing-Mail der Ausgangspunkt des Desasters. Damit gelingt es Cyberkriminellen, Ransomware zu platzieren oder auch Zugangsdaten und Firmeninterna zu erbeuten.

Auch der Geschäftsführer der Kölner Cybersecurity-Firma SoSafe Niklas Hellemann klickte bereits auf einen Link in einer solchen Mail. Doch er hatte Glück: Es war nur eine simulierte Phishing-Mail seiner Mitarbeiter. „Hundertprozentige Sicherheit gibt es nicht“, sagt er. Darauf aufmerksam zu machen und Nutzer für Cyberkriminalität zu sensibilisieren sind Ziele des „Safer Internet Day“, der am heutigen Dienstag begangen wird.

SoSafe hat es sich zum Ziel erklärt, Mitarbeiter in Sachen Cybersecurity zu schulen. Nimmt ein Unternehmen die Dienste von SoSafe in Anspruch, verschickt die Firma Phishing-Mails an deren Mitarbeiter und simuliert so eine Cyber-Attacke. Das kann die Rechnung eines Kunden sein, ein Verweis auf ein witziges Video oder die Mahnung eines Rechtsanwalts. Klickt der Adressat auf einen Link oder gibt seine Daten auf einer gefälschten Login-Seite an, gelangt er zu einer Aufklärungsseite von SoSafe. Das Unternehmen erläutert dem Nutzer dann die verdächtigen Anzeichen der jeweiligen E-Mail.

Mitarbeiter sollen sensibilisiert werden

Für die Unternehmer folgt dann eine Analyse: Wie viele Angestellte sind auf den Täuschungsversuch reingefallen? Wie weit sind sie gegangen – haben sie sensible Daten angegeben? Welcher Angestellte genau auf die gefälschte Phishing-Mail reingefallen ist, erfahre der Arbeitgeber nicht, sagt der 36-jährige Hellemann. Ziel sei lediglich, die Mitarbeiter zu sensibilisieren und beispielsweise durch vertiefende E-Learning-Module auf unterhaltsame Weise zu schulen.

Seiner Meinung nach ist das größte Sicherheitsleck der Firmen der Mensch. Nach Schätzungen beginnen etwa 90 Prozent aller erfolgreichen Hacking-Angriffe auf Unternehmen mit einer Phishing- Mail. Das Risiko, darauf reinzufallen, ließe sich senken. Betroffen seien nicht nur Konzerne. Zu seinen Kunden zählt Hellemann neben Großunternehmen wie Vattenfall auch kleine Firmen oder öffentliche Organisationen.

Hellemann, der in Troisdorf (Nordrhein-Westfalen) aufgewachsen ist, hat Psychologie in Bonn und auf Hawaii studiert. Schon sein Vater arbeitete als Psychotherapeut. Hellemann sagt, er habe sich schon immer dafür interessiert, was in den Köpfen der Menschen vorgehe, wie sich Einstellungen bilden oder warum Manipulationen funktionieren. Früh im Studium sei ihm klar gewesen, dass er keine Menschen therapieren möchte.

Zurück in Deutschland startete er als Unternehmensberater bei der Boston Consulting Group. Als Psychologe arbeitete er oft an Personalthemen und stellte fest: Viele Trainings der Firmen zum Thema Cybersecurity motivieren nicht genug. Gemeinsam mit Lukas Schaefer und Felix Schürholz gründete er 2018 SoSafe. Heute arbeiten in den Kölner Büroräumen mehr als 30 Leute.

Schadsoftware Emotet besonders gefährlich

Der promovierte Psychologe kann verstehen, warum so viele Menschen auf die Tricks der Hacker reinfallen. Die Angreifer, die sich seiner Ansicht nach immer mehr in kriminellen Banden organisieren, drücken mit ihren Mails psychologische Knöpfe. So spielen die Betrüger vor allem mit Emotionen wie Neugier und Angst. Das sei schon immer so gewesen – nur gingen die Hacker heute organisierter und flächendeckender vor. Natürlich will man den Anhang der E-Mail des vermeintlichen Vorgesetzten öffnen oder auf den Link eines Gewinnspiels klicken. Klar würde man gerne den USB-Stick vom Parkplatz in den PC stecken und nachsehen, was drauf ist.

Besonders gefährlich ist die Schadsoftware Emotet. Sie geht die Kontaktliste des Opfers durch und erzeugt Nachrichten von einem vermeintlich bekannten Absender. Außerdem kann sie Inhalte aus alten Nachrichten filtern und Detailinformationen präsentieren. Hellemann und seine Kollegen arbeiten deshalb mit Awareness als Schutzmaßnahme. Studien zeigen: Ist die Taktik erst einmal bekannt, lässt sich das Opfer wesentlich schwerer überzeugen.

Kooperation mit der Kölner Polizei

Im Vorjahr startete SoSafe außerdem in Kooperation mit der Kölner Polizei und weiteren Partnern die Kampagne „Sei kein Phish“. Nutzer konnten sich drei realistische Phishing-Mails zukommen lassen – doch sie wussten nicht, wann die Mails kommen würden. Eine enthielt sogar eine Vorladung der Polizei Köln im Namen des Polizeipräsidenten. Das Ergebnis: 37 Prozent sind auf mindestens eine der Mails hereingefallen. Der Test läuft nun mit der Initiative Botfrei weiter.

Derweil arbeiten Hellemann und sein Team schon an der nächsten Bedrohung: Voice-Phishing. Hier täuschen Angreifer mit KI und Sprachsoftware Anrufe vor, die vermeintlich vom Chef stammen. Die Technologie dahinter werde immer ausgereifter. Daher hat SoSafe nun eine Simulation telefonischer Angriffe entwickelt, mit denen man seine Anfälligkeit für Voice-Phishing testen lassen kann.

Lisa Oder