Warum unsere Emotionen die Ursache für unser größtes Sicherheitsproblem sind

Der Risiko­fak­tor Men­sch ist und bleibt die größte Gefahr für die Unternehmenssicher­heit, wobei unsere Emo­tio­nen und Gefüh­le eine entschei­dende Rolle spie­len.

Seien Sie gewarnt, nicht jed­er hat gute/positive Absicht­en. Immer wieder ein­mal ver­sucht uns jemand über den Tisch zu ziehen bzw. uns zu einem unüber­legten Ver­hal­ten zu ver­an­lassen.
Ken­nen Sie die fol­gende Sit­u­a­tion: Ihr Kol­lege ver­sucht Sie wieder ein­mal kurz vor Dien­stschluss mit beson­ders fre­undlichen Worten dazu zu bewe­gen, doch den Pro­jek­t­bericht bis mor­gen früh zu ver­fassen, obwohl er an der Rei­he wäre? Denn er habe ein ganz wichtiges unauf­schieb­bares pri­vates Tre­f­fen, heute Abend. Und Sie lassen sich dazu „überre­den“.

Oder eine andere Kol­le­gin drän­gelt sich beim Kopier­er vor, weil sie ganz drin­gend für den Chef was zu erledi­gen hätte, das keinen Auf­schub duldet?

Naja, ist doch alles nicht so schlimm, oder?

Manch­mal doch. Ein als Mon­teur gek­lei­de­ter Mann, mit einem gebran­de­ten T‑Shirt Ihres Stro­man­bi­eters ste­ht vor Ihnen, denn er muss vor der Stromab­schal­tung noch etwas über­prüfen, das Ihr Unternehmen und die gesamte elek­tro­n­is­che Infra­struk­tur vor Schaden bewahren soll. Sie lassen den hil­fs­bere­it­en Mitar­beit­er in den Betrieb und die beschriebe­nen Tests durch­führen. Dazu muss er vielle­icht auch in den Server­raum, um den Anschluss der USV (unter­brechungs­freie Stromver­sorgung) zu prüfen? Einige Tage oder Wochen später ste­ht die gesamte IT lahm, da ein Ver­schlüs­selungs-Tro­jan­er alle Dat­en des Unternehmens ver­schlüs­selt hat. Unglaublich­er Weise sind auch alle Back­ups der let­zten Zeit nicht brauch­bar.

Vielle­icht kön­nen Sie erst jet­zt den Zusam­men­hang erken­nen — ein unbefugter Zugang zum Server­raum, ein kleines Tool am richti­gen Platz ange­bracht und schon hat jemand unerkan­nt Zugang zum Sys­tem und Ihren Dat­en, …

Bewusst und vorsätzlich

Die Meth­o­d­en sind vielfältig, wie ein „Angreifer“ bzw. „Social Engi­neer“ — durch gezielte Manip­u­la­tion Ihr Ver­hal­ten zu seinem Vorteil nutzt. Dieser Angreifer attack­iert uns jedoch nicht kör­per­lich, son­dern nutzt unsere „psy­chol­o­gis­chen Sicher­heit­slück­en“. Jed­er von uns war schon mal ein Social Engi­neer. Als wir im Kinde­salter unsere Müt­ter tyran­nisierten und ihnen durch laut­starkes Brüllen unseren Willen aufzwan­gen.

Wir sind ständig solchen psy­chol­o­gis­chen „Angrif­f­en“ aus­ge­set­zt: ganz sich­er haben wir auch schon ein­mal etwas gekauft, weil uns jemand in den höch­sten Tönen davon vorgeschwärmt hat, oder die Wer­bung so vielver­sprechend war — obwohl wir es eigentlich nicht braucht­en und es langfristig auch gar nie nutzten.

Die Auswirkun­gen im beru­flichen Kon­text sind deshalb so schw­er­wiegend, weil es sich um Unternehmens­dat­en, Kun­den­dat­en, Pro­jekt- und Pro­duk­tions­dat­en han­delt. Ein unbefugter Zugang zu diesen Infor­ma­tio­nen stellt einen Daten­schutz-Ver­stoß gemäß Daten­schutz-Grund­verord­nung dar, der eventuell auch mit entsprechen­der Strafzahlung ein­herge­ht, wenn Sie grundle­gende Sicher­heitsvorkehrun­gen nicht getrof­fen haben.

Wie hil­fre­ich wäre es daher, eine Möglichkeit zu haben, einen Social Engi­neer, also jeman­den, der bewusst und vorsät­zlich ver­sucht uns zu manip­ulieren, frühzeit­ig zu erken­nen? Wenn man bedenkt, dass der Men­sch selb­st die größte Sicher­heit­slücke in einem Unternehmen ist, so tut man gut daran, sich mit Möglichkeit­en zu beschäfti­gen, wie man einen sozialen Angriff erken­nt, darauf reagiert und abwehrt. Und das natür­lich so, dass nie­mand – vor allem nicht das Unternehmen, für das wir arbeit­en – zu Schaden kommt.

Der Mensch als Risikofaktor Nummer 1

Laut ein­er Sicher­heitsstudie (Human-Fac­tor-Report, Proof­point 2019) war in über 99 % der Angriffe auf Unternehmenssys­teme eine men­schliche Inter­ak­tion der Schlüs­sel zum Erfolg. Das bedeutet, dass Mitar­beit­er bewusst oder unbe­wusst den Angriff erst ermöglicht haben. Einige gaben beispiel­sweise Pass­wörter an ver­meintliche Sys­temad­min­is­tra­toren her­aus, andere wiederum gewährten unbefugten Per­so­n­en den Zutritt zum Unternehmen. Die Auswirkun­gen und Kon­se­quen­zen, wenn plöt­zlich betrieb­s­fremde Per­so­n­en über sen­si­ble Dat­en oder Pass­wörter ver­fü­gen, kön­nen wir uns wahrschein­lich vorstellen. Diese reichen über Strafen (The­ma DSGVO) bis hin zu Rep­u­ta­tion­ss­chä­den und Ver­trauensver­lust von Geschäftspart­nern, Kun­den und Liefer­an­ten.

„Attack­ers exploit peo­ple, not tech­nol­o­gy” (Proof­point, Human-Fac­tor-Report 2019)

Diese Angreifer ver­suchen aus Men­schen Infor­ma­tio­nen her­auszubekom­men, die durch einen rein tech­nis­chen Angriff viel schwieriger zu erhal­ten wären. Oder Sie „bit­ten“ ein­fach um Mith­il­fe, um das Unternehmenssys­tem zu kom­pro­mit­tieren.

Doch, wie kann das so ein­fach gelin­gen?

Emotionen lenken unser Tun oder warum wir uns tatsächlich einkochen lassen

Jed­er von uns reagiert auf Emo­tio­nen unter­schiedlich, aber wir reagieren. Für jede Emo­tion gibt es einen Aus­lös­er. Nehmen wir als Beispiel einen Men­schen, der aggres­sives Ver­hal­ten zeigt. Aggres­sion kann unter­schiedliche (emo­tionale) Reak­tio­nen nach sich ziehen. Die einen wer­den eben­so aggres­siv und wütend, der andere reagiert vielle­icht mit Angst, ein drit­ter zieht das Ver­hal­ten des Aggres­sors ins Lächer­liche.

In ein­er sehr emo­tionalen Sit­u­a­tion reagieren wir meist unver­hält­nis­mäßig oder unbe­dacht. Und in genau diesem Moment passieren uns unnötige Fehler mit manch­mal weitre­ichen­den Fol­gen. Wahrschein­lich haben Sie es auch schon selb­st erlebt, dass Sie in einem emo­tionalen Stress gen­ervt, gestresst oder verärg­ert auf eine ein­fache Frage reagiert haben. Möglicher­weise haben Sie bere­its kurz darauf diese über­triebene Reak­tion bereut.

“Wir Men­schen müssen ein inneres Warn­sys­tem etablieren, um mögliche Angriffe über­haupt erken­nen zu kön­nen.” (Mar­i­on Lercher, Har­ald Schen­ner)

Obwohl Sie wis­sen, wie Sie mit ein­er Sit­u­a­tion umge­hen müssen, obwohl Sie wis­sen, was ein angemessenes Ver­hal­ten wäre, ist Ihnen dieses Wis­sen genau in diesem emo­tionalen Moment nicht zugänglich. Sie haben ein Black­out, ohne dass Sie es merken. Sie erleben ger­ade einen „Amyg­dala-Hijack“.

Immer dann, wenn wir uns auf einem hohen Emo­tions-Stress-Lev­el befind­en, ist der Zugang zu unserem Gehirn­bere­ich, der für ein sit­u­a­tiv angemessenes Ver­hal­ten zuständig ist, block­iert oder stark eingeschränkt. Verkürzt dargestellt, entzieht das Stress­net­zw­erk dem Steuerungsnet­zw­erk notwendi­ge Ressourcen. Das Emo­tion­s­ge­hirn, unser lim­bis­ches Sys­tem, ist am Entschei­den und Han­deln. Genau dieser Moment wird „Amyg­dala-Hijack“ genan­nt.

Erst­ma­lig wurde dieser Begriff von Daniel Gole­man 1995 in seinem Buch „Emo­tion­al Intel­li­gence: Why It Can Mat­ter More Than IQ“ genan­nt und beschreibt den neu­ro­bi­ol­o­gis­chen Effekt, der unsere kog­ni­tiv­en Fähigkeit­en während ein­er hohen emo­tionalen Beanspruchung beina­he außer Kraft set­zt.

“…the archi­tec­ture of the brain gives the amyg­dala a priv­i­leged posi­tion as the emo­tion­al sen­tinel, able to hijack the brain.” (Joseph LeDoux, Psy­chologe und Neu­rowis­senschaftler)

Vielle­icht fra­gen Sie sich ger­ade jet­zt, wie Sie mit dieser Infor­ma­tion umge­hen sollen? Wann und wie kön­nen Sie erken­nen, ob da ger­ade „etwas läuft“, Gefahr im Raum ste­ht? Wann soll­ten Sie unbe­d­ingt aufmerk­sam wer­den?

Die 3 grundlegenden Szenarien für die Aktivierung Ihres Warnsystems

Seien Sie beson­ders aufmerk­sam (bis hin zu skep­tisch), wenn eine der nach­fol­gen­den Sit­u­a­tio­nen im Gespräch mit (betriebs-)fremden Per­so­n­en auftritt.

1. Sie befind­en sich ger­ade selb­st auf einem außergewöhn­lichen Emo­tion­slev­el:

  • Sie wur­den ger­ade von jeman­den verärg­ert
  • das let­zte Kun­denge­spräch hat Sie sehr mitgenom­men
  • ein kür­zlich geführtes Tele­fonat war richtig lustig
  • Sie haben ger­ade einen per­sön­lichen Ver­lust erlit­ten und sind deshalb sehr trau­rig oder ähn­lich­es

In ein­er solchen emo­tionalen Aus­nahme­si­t­u­a­tion reagieren wir grundle­gend anders.

2. Wenn Ihr Gegenüber bei Ihnen selb­st im Moment starke Emo­tio­nen aus­löst:

Das kann beispiel­sweise durch eine ungewöhn­liche Fre­undlichkeit, aus­geprägtes Aggres­sionsver­hal­ten oder auch durch ein unerk­lär­lich­es „Ein­schleimen“ oder „Bauch­pin­seln“ passieren. Auch wenn jemand ver­sucht, Sie unter Druck zu set­zen, an Ihr Schuldge­fühl oder Ihre Hil­fs­bere­itschaft appel­liert, oder Ihnen Angst ein­flößen will (z.B.: Angst vor Ver­lust oder Schä­den). Lassen Sie sich in diesem Moment davon nicht beein­druck­en.

3. Wenn sich Ihr Gegenüber in einem ungewöhn­lichen Emo­tion­slev­el befind­et, der nicht zur aktuellen Sit­u­a­tion passt:

Es kön­nte sein, dass sich jemand über ein rel­a­tiv großes Prob­lem beschw­ert, sich dabei jedoch außergewöhn­lich bzw. unnatür­lich fre­undlich ver­hält.

 

Was also unternehmen, wenn uns unser Emo­tion­s­ge­hirn ger­ade in Geisel­haft nimmt?

Sie kön­nen sich natür­lich grundle­gend darauf vor­bere­it­en, Ihre Emo­tio­nen mit den unter­schiedlichen Meth­o­d­en ver­ste­hen zu ler­nen und weit­erge­hend bess­er damit umge­hen zu kön­nen. Aber was ist in genau diesem Augen­blick hil­fre­ich, in dem eine unan­genehme Emo­tion in Ihnen hochkommt?

Was tun bei einem Amygdala-Hijack?
Die 4 schnellen Helfer

1. Benen­nen Sie Ihre augen­blick­liche Emo­tion

Der soge­nan­nte Rumpel­stilzchen-Effekt sorgt dafür, dass sich die „ange­sproch­ene Emo­tion“ bere­its allein durch die Benen­nung reduziert und reg­uliert. Dies wurde in ein­er 2007 an der Uni­ver­sität von Kali­fornien durchge­führten Studie aufgezeigt. Es stellte sich her­aus, dass das Benen­nen von Emo­tio­nen dabei hil­ft, unan­genehme Gefüh­le zu reg­ulieren. Dabei ist jedoch voraus­ge­set­zt, dass das Gefühl — und zwar das sub­jek­tiv von der „füh­len­den Per­son“ emp­fun­dene — richtig benan­nt wird. Dadurch min­dert sich sofort und mess­bar die Aktiv­ität im Emo­tion­szen­trum (lim­bis­ches Sys­tem) und das zuvor block­ierte Steuerungsnet­zw­erk (Präfrontaler Cor­tex) fährt wieder hoch. Dieses Steuerungsnet­zw­erk ist unter anderem für ein sit­u­a­tiv angemessenes Ver­hal­ten ver­ant­wortlich. (vgl. Lieber­man, M.D., 2007)

2. Men­tale Aktivierung: kog­ni­tive Leis­tungs­beanspruchung

Ein­fache Denksportauf­gaben helfen dabei, um unser Steuerungsnet­zw­erk bei emo­tionaler Über­ladung wieder in Schwung zu brin­gen. Dadurch erre­ichen wir eine Emo­tion­sreg­ulierung. Eine solche kog­ni­tiv anstren­gende Auf­gabe ist beispiel­sweise das Rück­wärt­szählen. Sie zählen dabei von 100 oder 1000 in 2er oder 3er Schrit­ten herunter. Dabei ist es uner­he­blich, ob Sie kor­rekt zählen, den Re-Start des Steuerungsnet­zw­erks kön­nen Sie mit dieser Übung bere­its schaf­fen.

3. Phys­i­ol­o­gis­che Aktivierung: Res­o­nanz-Atmung

Auch durch die Res­o­nanz-Atmung erre­ichen wir in ein­er emo­tionalen Aus­nahme­si­t­u­a­tion eine Emo­tion­sreg­ulierung, und das geht ganz ein­fach:

Atmen Sie fünf Sekun­den ein, so dass sich Ihr Bauch nach außen wölbt, danach atmen Sie fünf Sekun­den aus. Wieder­holen Sie das 2 – 4 Mal und Sie wer­den merken, dass Sie tat­säch­lich ruhiger wer­den.

Diese Form der Atmung erzeugt somit eine Res­o­nanz mit dem Herz­schlag, wodurch die Herzraten­vari­abil­ität (HRV) zunimmt. Dies hat zur Folge, dass unser Steuerungsnet­zw­erk, der präfrontale Cor­tex aktiviert wird und sich somit eine entsprechende Emo­tion­sreg­ulierung ergibt. (vgl. Math­er, M.; Thay­er J. 2018)

4. META-Posi­tion

Ver­suchen Sie kurz, sich von außen zu beobacht­en. Wie sehen Sie sich selb­st, was erken­nen Sie an der Sit­u­a­tion? Diese „dis­sozi­ierte“ Betra­ch­tung ermöglicht es Ihnen, einen Abstand zwis­chen sich, Ihren Emo­tio­nen und Gefühlen herzustellen.

Fazit

Social Engi­neer­ing und daraus entste­hende Schä­den für Men­schen und Unternehmen nehmen zu und wer­den sukzes­sive größer. Es ist ein Irrglaube, dass rein tech­nis­che Sicher­heitsin­stru­mente allein hil­fre­ich sind. Der Risiko­fak­tor Men­sch ist und bleibt die größte Gefahr für die Unternehmenssicher­heit. Dabei spie­len unsere Emo­tio­nen und Gefüh­le eine entschei­dende Rolle.

Deshalb ist es beson­ders wichtig, nicht nur die Ursachen dafür zu ken­nen, son­dern vor allem am Hebel der Sicher­heits­max­imierung zu schrauben: Die bewusste Wahrnehmung und der sorgsame Umgang mit den eige­nen Emo­tio­nen.

 

Quellen:

Lieber­man, Matthew D., Eisen­berg­er, Nao­mi I., Crock­ett, Mol­ly J., Tom, Sab­ri­na M., Pfeifer, Jen­nifer H., and Way, Bald­win M.: Putting Feel­ings Into Words. Affect Label­ing Dis­rupts Amyg­dala Activ­i­ty in Response to Affec­tive Stim­uli. In: Psy­cho­log­i­cal Sci­ence Vol. 18/5 (May 2007): 421–428. URL: https://www.scn.ucla.edu/pdf/AL(2007).pdf

Math­er, Mara, and Thay­er, Julian.: How heart rate vari­abil­i­ty affects emo­tion reg­u­la­tion brain net­works. In: Cur­rent opin­ion in behav­ioral sci­ences Vol. 19 (Feb. 2018): 98–104. URL: https://www.sciencedirect.com/science/article/pii/S2352154617300621

Proof­point: Human-Fac­tor-Report 2019. URL: https://www.proofpoint.com/de/resources/threat-reports/human-factor

Über die Autor*innen:

Mar­i­on Lercher ist Mimik­ex­per­tin und Busi­nesstrainer­in für Cus­tomer Care — Grün­derin von Lercher­train — einem pri­vat­en Weit­er­bil­dungsin­sti­tut. Sie erhebt Prob­lem­si­t­u­a­tio­nen direkt mit Ihren Auftraggeber_innen und Teil­nehmenden und erstellt daraufhin maßgeschnei­derte Weit­er­bil­dun­gen mit beson­derem Augen­merk auf der Prax­is­nähe und Lern­trans­fer auf den Arbeit­splatz.

Har­ald Schen­ner ist Experte für Infor­ma­tion­ssicher­heit und set­zt sich mit den „emo­tion­alX­ploits“ — also emo­tionalen Sicher­heit­slück­en — des Men­schen auseinan­der. Er berät dabei Unternehmen nicht nur im Bere­ich der Dat­en- & Infor­ma­tion­ssicher­heit, son­dern auch in Führungsan­gele­gen­heit­en und Kon­se­quen­zen-/Krisen­man­age­ment.

Gemein­sam haben Mar­i­on Lercher und Har­ald Schen­ner ein Train­ing entwick­elt, das Per­so­n­en aufzeigt, wie ein­fach man Opfer von Social Engi­neers wird und wie man sich anhand von ver­schiede­nen ver­balen und non­ver­balen Mark­ern dage­gen wehren kann. Dazu haben die bei­den ihr bish­eriges beru­flich­es Know-how zusam­menge­fügt und bieten die Aus­bil­dung „FACIAL ENGINEERING” als offene Train­ings aber auch fir­menin­tern für Unternehmen an.

www.facial-engineering.at

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here