Der Risikofaktor Mensch ist und bleibt die größte Gefahr für die Unternehmenssicherheit, wobei unsere Emotionen und Gefühle eine entscheidende Rolle spielen.
Seien Sie gewarnt, nicht jeder hat gute/positive Absichten. Immer wieder einmal versucht uns jemand über den Tisch zu ziehen bzw. uns zu einem unüberlegten Verhalten zu veranlassen.
Kennen Sie die folgende Situation: Ihr Kollege versucht Sie wieder einmal kurz vor Dienstschluss mit besonders freundlichen Worten dazu zu bewegen, doch den Projektbericht bis morgen früh zu verfassen, obwohl er an der Reihe wäre? Denn er habe ein ganz wichtiges unaufschiebbares privates Treffen, heute Abend. Und Sie lassen sich dazu „überreden“.
Oder eine andere Kollegin drängelt sich beim Kopierer vor, weil sie ganz dringend für den Chef was zu erledigen hätte, das keinen Aufschub duldet?
Naja, ist doch alles nicht so schlimm, oder?
Manchmal doch. Ein als Monteur gekleideter Mann, mit einem gebrandeten T‑Shirt Ihres Stromanbieters steht vor Ihnen, denn er muss vor der Stromabschaltung noch etwas überprüfen, das Ihr Unternehmen und die gesamte elektronische Infrastruktur vor Schaden bewahren soll. Sie lassen den hilfsbereiten Mitarbeiter in den Betrieb und die beschriebenen Tests durchführen. Dazu muss er vielleicht auch in den Serverraum, um den Anschluss der USV (unterbrechungsfreie Stromversorgung) zu prüfen? Einige Tage oder Wochen später steht die gesamte IT lahm, da ein Verschlüsselungs-Trojaner alle Daten des Unternehmens verschlüsselt hat. Unglaublicher Weise sind auch alle Backups der letzten Zeit nicht brauchbar.
Vielleicht können Sie erst jetzt den Zusammenhang erkennen — ein unbefugter Zugang zum Serverraum, ein kleines Tool am richtigen Platz angebracht und schon hat jemand unerkannt Zugang zum System und Ihren Daten, …
Bewusst und vorsätzlich
Die Methoden sind vielfältig, wie ein „Angreifer“ bzw. „Social Engineer“ — durch gezielte Manipulation Ihr Verhalten zu seinem Vorteil nutzt. Dieser Angreifer attackiert uns jedoch nicht körperlich, sondern nutzt unsere „psychologischen Sicherheitslücken“. Jeder von uns war schon mal ein Social Engineer. Als wir im Kindesalter unsere Mütter tyrannisierten und ihnen durch lautstarkes Brüllen unseren Willen aufzwangen.
Wir sind ständig solchen psychologischen „Angriffen“ ausgesetzt: ganz sicher haben wir auch schon einmal etwas gekauft, weil uns jemand in den höchsten Tönen davon vorgeschwärmt hat, oder die Werbung so vielversprechend war — obwohl wir es eigentlich nicht brauchten und es langfristig auch gar nie nutzten.
Die Auswirkungen im beruflichen Kontext sind deshalb so schwerwiegend, weil es sich um Unternehmensdaten, Kundendaten, Projekt- und Produktionsdaten handelt. Ein unbefugter Zugang zu diesen Informationen stellt einen Datenschutz-Verstoß gemäß Datenschutz-Grundverordnung dar, der eventuell auch mit entsprechender Strafzahlung einhergeht, wenn Sie grundlegende Sicherheitsvorkehrungen nicht getroffen haben.
Wie hilfreich wäre es daher, eine Möglichkeit zu haben, einen Social Engineer, also jemanden, der bewusst und vorsätzlich versucht uns zu manipulieren, frühzeitig zu erkennen? Wenn man bedenkt, dass der Mensch selbst die größte Sicherheitslücke in einem Unternehmen ist, so tut man gut daran, sich mit Möglichkeiten zu beschäftigen, wie man einen sozialen Angriff erkennt, darauf reagiert und abwehrt. Und das natürlich so, dass niemand – vor allem nicht das Unternehmen, für das wir arbeiten – zu Schaden kommt.
Der Mensch als Risikofaktor Nummer 1
Laut einer Sicherheitsstudie (Human-Factor-Report, Proofpoint 2019) war in über 99 % der Angriffe auf Unternehmenssysteme eine menschliche Interaktion der Schlüssel zum Erfolg. Das bedeutet, dass Mitarbeiter bewusst oder unbewusst den Angriff erst ermöglicht haben. Einige gaben beispielsweise Passwörter an vermeintliche Systemadministratoren heraus, andere wiederum gewährten unbefugten Personen den Zutritt zum Unternehmen. Die Auswirkungen und Konsequenzen, wenn plötzlich betriebsfremde Personen über sensible Daten oder Passwörter verfügen, können wir uns wahrscheinlich vorstellen. Diese reichen über Strafen (Thema DSGVO) bis hin zu Reputationsschäden und Vertrauensverlust von Geschäftspartnern, Kunden und Lieferanten.
Attackers exploit people, not technology — Proofpoint, Human-Factor-Report 2019
Diese Angreifer versuchen aus Menschen Informationen herauszubekommen, die durch einen rein technischen Angriff viel schwieriger zu erhalten wären. Oder Sie „bitten“ einfach um Mithilfe, um das Unternehmenssystem zu kompromittieren.
Doch, wie kann das so einfach gelingen?
Emotionen lenken unser Tun oder warum wir uns tatsächlich einkochen lassen
Jeder von uns reagiert auf Emotionen unterschiedlich, aber wir reagieren. Für jede Emotion gibt es einen Auslöser. Nehmen wir als Beispiel einen Menschen, der aggressives Verhalten zeigt. Aggression kann unterschiedliche (emotionale) Reaktionen nach sich ziehen. Die einen werden ebenso aggressiv und wütend, der andere reagiert vielleicht mit Angst, ein dritter zieht das Verhalten des Aggressors ins Lächerliche.
In einer sehr emotionalen Situation reagieren wir meist unverhältnismäßig oder unbedacht. Und in genau diesem Moment passieren uns unnötige Fehler mit manchmal weitreichenden Folgen. Wahrscheinlich haben Sie es auch schon selbst erlebt, dass Sie in einem emotionalen Stress genervt, gestresst oder verärgert auf eine einfache Frage reagiert haben. Möglicherweise haben Sie bereits kurz darauf diese übertriebene Reaktion bereut.
Wir Menschen müssen ein inneres Warnsystem etablieren, um mögliche Angriffe überhaupt erkennen zu können. — Marion Lercher, Harald Schenner
Obwohl Sie wissen, wie Sie mit einer Situation umgehen müssen, obwohl Sie wissen, was ein angemessenes Verhalten wäre, ist Ihnen dieses Wissen genau in diesem emotionalen Moment nicht zugänglich. Sie haben ein Blackout, ohne dass Sie es merken. Sie erleben gerade einen „Amygdala-Hijack“.
Immer dann, wenn wir uns auf einem hohen Emotions-Stress-Level befinden, ist der Zugang zu unserem Gehirnbereich, der für ein situativ angemessenes Verhalten zuständig ist, blockiert oder stark eingeschränkt. Verkürzt dargestellt, entzieht das Stressnetzwerk dem Steuerungsnetzwerk notwendige Ressourcen. Das Emotionsgehirn, unser limbisches System, ist am Entscheiden und Handeln. Genau dieser Moment wird „Amygdala-Hijack“ genannt.
Erstmalig wurde dieser Begriff von Daniel Goleman 1995 in seinem Buch „Emotional Intelligence: Why It Can Matter More Than IQ“ genannt und beschreibt den neurobiologischen Effekt, der unsere kognitiven Fähigkeiten während einer hohen emotionalen Beanspruchung beinahe außer Kraft setzt.
…the architecture of the brain gives the amygdala a privileged position as the emotional sentinel, able to hijack the brain. — Joseph LeDoux, Psychologe und Neurowissenschaftler
Vielleicht fragen Sie sich gerade jetzt, wie Sie mit dieser Information umgehen sollen? Wann und wie können Sie erkennen, ob da gerade „etwas läuft“, Gefahr im Raum steht? Wann sollten Sie unbedingt aufmerksam werden?
Die 3 grundlegenden Szenarien für die Aktivierung Ihres Warnsystems
Seien Sie besonders aufmerksam (bis hin zu skeptisch), wenn eine der nachfolgenden Situationen im Gespräch mit (betriebs-)fremden Personen auftritt.
1. Sie befinden sich gerade selbst auf einem außergewöhnlichen Emotionslevel:
- Sie wurden gerade von jemanden verärgert
- das letzte Kundengespräch hat Sie sehr mitgenommen
- ein kürzlich geführtes Telefonat war richtig lustig
- Sie haben gerade einen persönlichen Verlust erlitten und sind deshalb sehr traurig oder ähnliches
In einer solchen emotionalen Ausnahmesituation reagieren wir grundlegend anders.
2. Wenn Ihr Gegenüber bei Ihnen selbst im Moment starke Emotionen auslöst:
Das kann beispielsweise durch eine ungewöhnliche Freundlichkeit, ausgeprägtes Aggressionsverhalten oder auch durch ein unerklärliches „Einschleimen“ oder „Bauchpinseln“ passieren. Auch wenn jemand versucht, Sie unter Druck zu setzen, an Ihr Schuldgefühl oder Ihre Hilfsbereitschaft appelliert, oder Ihnen Angst einflößen will (z.B.: Angst vor Verlust oder Schäden). Lassen Sie sich in diesem Moment davon nicht beeindrucken.
3. Wenn sich Ihr Gegenüber in einem ungewöhnlichen Emotionslevel befindet, der nicht zur aktuellen Situation passt:
Es könnte sein, dass sich jemand über ein relativ großes Problem beschwert, sich dabei jedoch außergewöhnlich bzw. unnatürlich freundlich verhält.
Was also unternehmen, wenn uns unser Emotionsgehirn gerade in Geiselhaft nimmt?
Sie können sich natürlich grundlegend darauf vorbereiten, Ihre Emotionen mit den unterschiedlichen Methoden verstehen zu lernen und weitergehend besser damit umgehen zu können. Aber was ist in genau diesem Augenblick hilfreich, in dem eine unangenehme Emotion in Ihnen hochkommt?
Was tun bei einem Amygdala-Hijack?
Die 4 schnellen Helfer
1. Benennen Sie Ihre augenblickliche Emotion
Der sogenannte Rumpelstilzchen-Effekt sorgt dafür, dass sich die „angesprochene Emotion“ bereits allein durch die Benennung reduziert und reguliert. Dies wurde in einer 2007 an der Universität von Kalifornien durchgeführten Studie aufgezeigt. Es stellte sich heraus, dass das Benennen von Emotionen dabei hilft, unangenehme Gefühle zu regulieren. Dabei ist jedoch vorausgesetzt, dass das Gefühl — und zwar das subjektiv von der „fühlenden Person“ empfundene — richtig benannt wird. Dadurch mindert sich sofort und messbar die Aktivität im Emotionszentrum (limbisches System) und das zuvor blockierte Steuerungsnetzwerk (Präfrontaler Cortex) fährt wieder hoch. Dieses Steuerungsnetzwerk ist unter anderem für ein situativ angemessenes Verhalten verantwortlich. (vgl. Lieberman, M.D., 2007)
2. Mentale Aktivierung: kognitive Leistungsbeanspruchung
Einfache Denksportaufgaben helfen dabei, um unser Steuerungsnetzwerk bei emotionaler Überladung wieder in Schwung zu bringen. Dadurch erreichen wir eine Emotionsregulierung. Eine solche kognitiv anstrengende Aufgabe ist beispielsweise das Rückwärtszählen. Sie zählen dabei von 100 oder 1000 in 2er oder 3er Schritten herunter. Dabei ist es unerheblich, ob Sie korrekt zählen, den Re-Start des Steuerungsnetzwerks können Sie mit dieser Übung bereits schaffen.
3. Physiologische Aktivierung: Resonanz-Atmung
Auch durch die Resonanz-Atmung erreichen wir in einer emotionalen Ausnahmesituation eine Emotionsregulierung, und das geht ganz einfach:
Atmen Sie fünf Sekunden ein, so dass sich Ihr Bauch nach außen wölbt, danach atmen Sie fünf Sekunden aus. Wiederholen Sie das 2 – 4 Mal und Sie werden merken, dass Sie tatsächlich ruhiger werden.
Diese Form der Atmung erzeugt somit eine Resonanz mit dem Herzschlag, wodurch die Herzratenvariabilität (HRV) zunimmt. Dies hat zur Folge, dass unser Steuerungsnetzwerk, der präfrontale Cortex aktiviert wird und sich somit eine entsprechende Emotionsregulierung ergibt. (vgl. Mather, M.; Thayer J. 2018)
4. META-Position
Versuchen Sie kurz, sich von außen zu beobachten. Wie sehen Sie sich selbst, was erkennen Sie an der Situation? Diese „dissoziierte“ Betrachtung ermöglicht es Ihnen, einen Abstand zwischen sich, Ihren Emotionen und Gefühlen herzustellen.
Fazit
Social Engineering und daraus entstehende Schäden für Menschen und Unternehmen nehmen zu und werden sukzessive größer. Es ist ein Irrglaube, dass rein technische Sicherheitsinstrumente allein hilfreich sind. Der Risikofaktor Mensch ist und bleibt die größte Gefahr für die Unternehmenssicherheit. Dabei spielen unsere Emotionen und Gefühle eine entscheidende Rolle.
Deshalb ist es besonders wichtig, nicht nur die Ursachen dafür zu kennen, sondern vor allem am Hebel der Sicherheitsmaximierung zu schrauben: Die bewusste Wahrnehmung und der sorgsame Umgang mit den eigenen Emotionen.
Quellen:
Lieberman, Matthew D., Eisenberger, Naomi I., Crockett, Molly J., Tom, Sabrina M., Pfeifer, Jennifer H., and Way, Baldwin M.: Putting Feelings Into Words. Affect Labeling Disrupts Amygdala Activity in Response to Affective Stimuli. In: Psychological Science Vol. 18/5 (May 2007): 421–428. URL: https://www.scn.ucla.edu/pdf/AL(2007).pdf
Mather, Mara, and Thayer, Julian.: How heart rate variability affects emotion regulation brain networks. In: Current opinion in behavioral sciences Vol. 19 (Feb. 2018): 98–104. URL: https://www.sciencedirect.com/science/article/pii/S2352154617300621
Proofpoint: Human-Factor-Report 2019. URL: https://www.proofpoint.com/de/resources/threat-reports/human-factor
Über die Autor*innen:
Marion Lercher ist Mimikexpertin und Businesstrainerin für Customer Care — Gründerin von Lerchertrain — einem privaten Weiterbildungsinstitut. Sie erhebt Problemsituationen direkt mit Ihren Auftraggeber_innen und Teilnehmenden und erstellt daraufhin maßgeschneiderte Weiterbildungen mit besonderem Augenmerk auf der Praxisnähe und Lerntransfer auf den Arbeitsplatz.
Harald Schenner ist Experte für Informationssicherheit und setzt sich mit den „emotionalXploits“ — also emotionalen Sicherheitslücken — des Menschen auseinander. Er berät dabei Unternehmen nicht nur im Bereich der Daten- & Informationssicherheit, sondern auch in Führungsangelegenheiten und Konsequenzen-/Krisenmanagement.
Gemeinsam haben Marion Lercher und Harald Schenner ein Training entwickelt, das Personen aufzeigt, wie einfach man Opfer von Social Engineers wird und wie man sich anhand von verschiedenen verbalen und nonverbalen Markern dagegen wehren kann. Dazu haben die beiden ihr bisheriges berufliches Know-how zusammengefügt und bieten die Ausbildung „FACIAL ENGINEERING” als offene Trainings aber auch firmenintern für Unternehmen an.