Betrug – Warum funktioniert er und wie bilden wir Heuristiken dagegen?

Der schwächste Punkt eines Sicherheitssystems ist in den meisten Fällen der Mensch selbst. Das liegt unter anderem auch daran, dass die Designerinnen solcher Systeme bei der Analyse des Bedrohungspotential den menschlichen Faktor nicht ausreichend berücksichtigen. Deshalb schauen wir uns in diesem Artikel an, wie und warum ein Betrug überhaupt funktioniert. Diese Beispiele aus der ‚echten Welt‘ funktionieren in der digitalen Welt prinzipiell genauso. Ist uns die Wirkweise eines Betrugs bekannt, dann funktionieren unsere Abwehr Heuristiken auch besser. Bei einer Analyse von Betrugsfällen konnten Forscherinnen 7 Wirkweisen herausgearbeitet, die wir hier kurz vorstellen.

Prinzip der Ablenkung

Wenn wir abgelenkt werden können Betrüger*innen alles tun, ohne dass wir es merken. 

In der analogen Welt wird dies häufig von Taschendieben genutzt. Hierbei setzen professionell arbeitende Diebe einen Partner oder Lockvogel ein, der die Zielperson ablenkt. Ein bekanntes Beispiel aus dem digitalen Raum ist der ILOVEYOU Wurm. Hierbei wurde eine als Liebesbrief getarnte Malware benutzt, um die Nutzer*innen von ihrem eigentlichen Inhalt abzulenken. Durch die Tarnung als Liebesbrief wurde dieser häufig geöffnet und verbreitete sich weltweit mit einer geschätzten Schadenssumme von 5 – 8 Milliarden Dollar. 

Ein weiteres Problem ist, dass Nutzer*innen sich auf ihr Ziel fixieren, so steht in der Sicherheitsbranche das Spannungsverhältnis zwischen Benutzerfreundlichkeit und Sicherheit. Die Benutzer*innen sind dabei im Wesentlichen blind für die Tatsache, dass die Sicherheitshinweise sie schützen sollen. Bestes Beispiel hierfür ist die Sicherheitswarnung bei dem Öffnen von Word Dokumenten, die sie aus dem Internet (dazu zählt auch E-Mail), erhalten. Sie wollen das Dokument öffnen und bearbeiten, dabei wird die Sicherheitswarnung, die eigentlich dazu dienen soll sie zu schützen, meist ohne zu lesen weggeklickt, eine aufdringlichere Warnung führt zu einem schlechten Benutzererlebnis, was dann wiederrum auch nicht im Interesse der Entwickler ist. 
Hier passt das Sprichwort: Ein Schloss, welches sich schlecht benutzen lässt, bleibt meist offen. 

Prinzip der sozialen Konformität

Was in der ‚echten Welt‘ als „Falscher Polizist“ bekannt ist, lässt sich im Digitalen noch einfacher gestalten, da das Vortäuschen jemand Anderes zu sein hier noch besser funktioniert. So kann sich ein Betrüger im digitalen Raum durch Informationen über Sie oder Ihr Unternehmen, die einfach im Internet zu sammeln sind, eine Vertrauensbasis aufbauen, durch die Sie dann die Authentizität Ihres Gegenübers nicht mehr anzweifeln. Im Analogen ist es da schon aufwendiger sich als Polizist zu verkleiden und die Wahrscheinlichkeit enttarnt zu werden ist zudem auch noch höher. 

So soll es der bekannte Hacker Mitnick geschafft haben, sich durch das Vortäuschen von Autorität und Kenntnis von Abläufen der Behörden, in die Datenbank des National Crime Information Center gehackt zu haben. Interessant ist seine hieraus entstandene Erkenntnis, dass Behörden in denen strenge Hierarchien herrschen, einfach auszunutzen sind. 

Eine ähnliche Situation entsteht, wenn Ihre Bank Sie via E-Mail dazu auffordert, Ihre Daten zu aktualisieren. Immerhin ist dies die Institution, der Sie Ihr Geld anvertrauen und es ist ganz natürlich, dass diese Sie nach Ihrem Passwort fragt. Ob Sie auch wirklich auf der Website Ihrer Bank sind oder nicht, ist im ersten Moment nicht immer einfach zu erkennen. Hier greift auch noch das im weiteren Verlauf vorgestellte Prinzip des Zeitdrucks. Wenn es um die Kommunikation mit Kund*innen geht tut sich auch bei der Bank ein Konflikt auf. Die Sicherheitstechnik weist Kunden darauf hin, niemals auf E-Maillinks zu klicken, während die Marketingabteilung ganz natürlich mit Werbemails arbeiten möchte. 

Herdenprinzip

Wenn alle es machen, kann es ja nicht so gefährlich sein, immerhin trägt hier jeder dasselbe Risiko, oder? Nicht wenn sich alle gegen Sie verschworen haben. 

Der Hütchenspieler wirkt unseriös, aber die anderen Leute gewinnen ja auch Geld. Schon der zweite Spieler seitdem ich hier zuschaue. Nun wissen Sie, dass die Leute, die gewinnen wahrscheinlich zu den Betrügern gehören. Aber wie sieht das im digitalen Raum aus? 

Die bekannte Onlineplattform Ebay funktioniert nach einem einfachen Reputationssystem. Käufer und Verkäufer bewerten sich öffentlich gegenseitig. Nun können hier natürlich Käufer und Verkäufer zusammenarbeiten, oder sogar ein und dieselbe Person sein. 

Ähnliches gilt für Online Communities oder Soziale Netzwerke, auch hier ist weder klar welche Beziehungen die Interagierenden zueinander haben, ob es nicht nur eine Person mit mehreren Accounts oder sogar ein Netzwerk aus Bots ist. 

Prinzip der Unehrlichkeit

Unser eigenes „Fehlverhalten“ macht uns angreifbar. 

Wenn Sie bewusst gestohlene Ware kaufen, können Sie schlecht zur Polizei gehen, ohne sich selbst zu belasten. Dabei wird Ihr eigenes Fehlverhalten gegen Sie benutzt. 

Im Digitalen kann dies aber noch perfider betrieben werden, nämlich ohne ein Fehlverhalten Ihrerseits. Nehmen wir dazu mal an, Sie sind bei der Arbeit und haben bei der Recherche zu einem bestimmten Thema auf den falschen Link geklickt und landen nun auf einer Seite mit pornografischen Inhalten, wobei Ihnen gleich noch ein Trojaner oder ähnliches untergeschoben wird. Nun werden Sie erpresst, aber die Angst, dass Ihnen keiner glauben wird, dass Sie unbeabsichtigt auf dieser Website gelandet sind, schreckt Sie ab. Zudem kann es auch einfach peinlich sein, eine solche Angelegenheit mit „Fremden“ wie der Polizei oder der IT-Abteilung im Unternehmen zu besprechen. 
Dieses Verhalten machen sich Betrüger*innen zu Nutze um Sie nicht nur um Ihr Geld zu erleichtern, sondern auch um selbst unerkannt zu bleiben. 

Prinzip der Freundlichkeit

Im Kern ist der Mensch gut. 

Im Grunde sind wir doch alle gerne nett und hilfsbereit. Dieses Prinzip ist eigentlich der Gegenpart zu dem Prinzip der Unehrlichkeit. Im Analogen auch als „Guter Samariter Betrug“ bekannt, der beispielsweise wie folgt funktioniert: Sie werden von einer vertrauenswürdigen Person aus einem Taxi heraus angesprochen, dass der Taxifahrer leider kein Bargeld annimmt, die Person aber nur Bargeld dabeihat. Da Sie gerne helfen, bieten Sie natürlich an, Ihre Karte zur Verfügung zu stellen. Nach der Transaktion werden allerdings die Karten ausgetauscht und ihre Karte wird benutzt, um höhere Geldbeträge abzuheben. Die PIN haben Sie gerade in das Gerät des Taxifahrers eingegeben. 

Im Digitalen werden hier zumeist tränenreiche Geschichten verkauft, in denen Sie z. B. Tsunamiopfern, Hungernden oder Kriegsflüchtlinge unterstützen können. Hierbei wird die Gutmütigkeit der Menschen leider schamlos ausgenutzt. 

Prinzip der Not und Gier 

Unsere Nöte und Wünsche machen uns angreifbar, denn Betrüger*innen wissen, was wir uns wünschen. 

Dieses Prinzip wird häufig mit dem nächsten Prinzip des Zeitdrucks kombiniert. Im Digitalen hat hier der „nigerianische Prinz-Betrug“ eine gewisse Bekanntheit erlangt. Dabei wird eine Geldsumme versprochen, wenn Sie in eine entsprechende Vorleistung gehen, um die Notarkosten zu decken. Was aus heutiger Sicht vielleicht etwas zu offensichtlich klingt, konnte im Jahr 2019 immerhin noch ca. 700.000 Dollar „erwirtschaften“. 
In Ihrem beruflichen Alltag kann dies auch einfach ein Produkt sein, welches Sie unbedingt benötigen, aber gerade schlecht verfügbar oder auf den üblichen Websites zu teuer ist. Hierbei sollten Sie sich das bekannte Sprichwort: „Das klingt zu schön, um wahr zu sein.“ in Ihr Gedächtnis rufen. 

Prinzip des Zeitdrucks 

Unter Zeitdruck treffen wir Entscheidungen, die rückblickend und bei längerer Betrachtung unsinnig erscheinen. 

Wenn wir vor eine Entscheidung gestellt werden, versuchen wir stets die optimale Entscheidung zu treffen, nur funktioniert unser Entscheidungsreflex in Drucksituationen anders. Unter Zeitdruck versuchen wir eher eine Entscheidung zu treffen, die ausreichend gut ist. Hierbei wenden wir andere Heuristiken an, als wenn wir eine Situation komplett durchdenken können (Kahneman, 2012). 

„Dieses Angebot gilt nur in den nächsten 30 Minuten“ oder „Es sind nur noch 100 Stück verfügbar.“ Diese und ähnliche Aussagen kennen die meisten von Shoppingsendern oder auch im Sale, wie zum Beispiel am Black Friday.  

Im Digitalen wird dieses Konzept mit anderen, wie z.B. der sozialen Konformität, kombiniert. „Wenn Sie Ihr Passwort nicht in den nächsten 24Std. ändern wird der Zugang zu Ihrem Onlineaccount gesperrt“ oder Sie erhalten eine Zahlungsaufforderung mit extrem hohen Mahngebühren, im Falle, dass Sie nicht sofort zahlen. Diese Phishing-Mails hat bestimmt jede*r Leser*in dieses Artikels schon einmal bekommen.  

Warum funktionieren denn unsere Heuristiken im Analogen besser als im Digitalen? 

Wir bilden unsere Heuristiken zum Großteil aus Erfahrungswerten. Dabei bewerten wir die Wahrscheinlichkeiten eines Ereignisses oder Risikos anhand von Beispielen, an die wir uns leicht erinnern können. Dies ist eine wertvolle Heuristik, wenn es zum Beispiel um Kriminalität, natürliche Risiken oder Bedrohungen für Sie und ihre Gemeinschaft geht. 
Beispiele an, die Sie sich leichter erinnern können, helfen Ihnen bei der Entscheidungsfindung, da häufige Ereignisse einprägsamer sind als ungewöhnliche. 
Dabei bilden wir die Heuristiken aber nicht nur aus unserem persönlichen Erfahrungsschatz, sondern auch aus dem Konsum von Medien. Denken Sie einmal darüber nach, welche Nachrichten zu digitalen Betrügereien Ihnen dabei ins Gedächtnis kommen.  
Dies sind zumeist Berichte über Hacks von Großkonzernen oder Länder und deren Behörden. Bei objektiver Betrachtung wird allerdings klar, dass diese viel seltener sind als die Angriffe auf Individuen oder KMUs, nur wird darüber weniger berichtet. Diese werden von Ihnen dadurch auch weniger erinnert, was wiederum Konsequenzen für Ihre Heuristiken hat, denn das hat die Folge, dass Sie die Wahrscheinlichkeit Opfer zu werden falsch einschätzen. Hinzu kommt eine gewisse Stigmatisierung der Betroffenen. Wer gibt schon gerne zu, Opfer eines Betrugs geworden zu sein? 

Dieser Aspekt, verbunden mit der wiederkehrenden Unfähigkeit, die immaterielle Bedrohung mit einem kriminellen Element oder Risiko in Verbindung zu bringen, führt zu einer dramatischen Unterberichterstattung in den Medien bei dieser Art von Verbrechen.  
Dadurch wird die Heuristik zu einer verzerrten Entscheidungsfindung genutzt, da wir Bewertungen durch soziale Vergleiche vornehmen. Eine emotionale und persönliche Erzählung eines Individuums hat dabei einen viel größeren Einfluss auf uns als eine bloße Statistik. 

Quellen:

Maskall, P. (2017). Risk and Digital Security: the perception versus reality and the cognitive biases of online protection. In International Conference on Economic Sciences and Business Administration (Vol. 4, No. 1, pp. 280-287). Spiru Haret University

Stajano, F., & Wilson, P. (2011). Understanding scam victims: seven principles for systems security. Communications of the ACM, 54(3), 70-75.

Kahneman, D. (2012). Thinking, Fast and Slow: Daniel Kahneman (1st edition). Penguin.

Andreas Gödecke

Didaktik der Informatik
Universität Paderborn

weitere interessante Blog-Artikel:

Weiterführende Inhalte

Mittelstand-Digital Themenheft „Sicherer Datenaustausch“

„… In diesem Heft finden Sie Anregungen, Informationen und ermutigende […]mehr

 

Passwortmanager: alle Passwörter am selben Ort gespeichert – wie kann das sicher sein?

Wer hat’s nicht auch schon mal gehört „… und was […]mehr

Melden Sie sich bei Fragen, Problemen und Hinweisen bitte unter.
info@kmu-einfach-sicher.de