Diese Arbeit beschäftigt mit dem Faktor Mensch im Social Engineering. Angriffe auf Systeme sind immer häufiger vorzufinden. Eine Lösungsmöglichkeit ist die Härtung der Systeme auf technischer Basis, die jedoch nicht Gegenstand dieser Ausarbeitung sind. Häufig sind Menschen Ziel dieser Angriffe (Human Based Social Engineering). Im Zentrum der Betrachtung steht daher, wie Social Engineering funktioniert und weshalb Menschen erfolgsversprechende Angriffsziele darstellen. Es erfolgt eine Darstellung der psychologischen Grundlagen, die von Angreifern und Angreiferinnen ausgenutzt werden sowie ein Vergleich von Awarenessmaßnahmen in Bezug auf Social Engineering unter Einbeziehung von pädagogischen Kenntnissen zum Lernen von Erwachsenen.
Inhaltsverzeichnis
1 Einleitung
1.1 Zielsetzung und Forschungsfragen
1.2 Aufbau der Arbeit
2 Methodik
3 Social Engineering
3.1 Begriffsbestimmung
3.2 Geschichte
3.3 Standardisiertes Vorgehen (Angriffsablauf)
3.4 Varianten von Social Engineering Angriffen
4 Die Psychologischen Grundlagen des menschlichen Denkens
4.1 Zwei Denksysteme: System 1 und System 2
4.1.1 Heuristiken und kognitive (gedankliche) Verzerrungen
4.1.1.1 Repräsentativität:
4.1.1.2 Verfügbarkeit
4.1.1.3 Anker
4.1.2 Kognitive Leichtigkeit und Kognitive Beanspruchung
4.1.3 Diskussion
4.2 Persuasionsstrategien (Überredungs- bzw. Beeinflussungstrategien)
4.2.1 Grundlegende Einflussnahme (Basistheorie Cialdini)
4.2.2 Die sechs Basis Prinzipien der Beeinflussung nach Cialdini
4.2.2.1 Autorität
4.2.2.2 Sympathie
4.2.2.3 Reziprozität
4.2.2.4 Commitment und Konsistenz
4.2.2.5 Soziale Bewährtheit
4.2.2.6 Knappheit
4.2.3 Diskussion
4.2.3.1 Vergleich Cialdini (2021) mit Stajano/Wilson (2009)
4.2.3.2 Vergleich Cialdini (2021) mit Gragg (2003)
4.2.3.3 Vergleich Cialdini (2021), Gragg (2003), Stajano/Wilson (2009)
4.2.3.4 Das Social Engineering Personality Framework
4.3 Ausnutzung durch Social Engineering
5 Awarenessmaßnahmen zur Sensibilisierung für Social Engineering
5.1 Grundlegende Konzepte
5.2 Lernen von Erwachsenen
5.2.1 Konstruktivistisches Lernen
5.2.2 Lebenslanges Lernen (LLL)
5.2.3 Lernwiderstände, Lernbarrieren und andere Hemmnisse
5.2.4 Gängige Lernformate in der Erwachsenenbildung (EB)
5.3 Aktuelle Sensibilisierungs- und Awarenessmaßnahmen
5.4 Diskussion
6 Zusammenfassung, Fazit und Ausblick
Zielsetzung & Themen
Die vorliegende Diplomarbeit untersucht die Rolle des Menschen als kritischen Faktor im Bereich des Social Engineering und analysiert, wie psychologische Erkenntnisse genutzt werden können, um die Effektivität von Awareness-Schulungen maßgeblich zu steigern.
- Analyse des komplexen Phänomens Social Engineering und dessen psychologischen Wirkungsmechanismen.
- Untersuchung kognitiver Prozesse sowie der sechs Beeinflussungsprinzipien nach Robert B. Cialdini im Kontext von Angriffsszenarien.
- Evaluation von Methoden der Erwachsenenbildung zur nachhaltigen Implementierung von Informationssicherheitsbewusstsein.
- Vergleichende Betrachtung aktueller Awareness-Trainingsangebote mittels eines entwickelten Kriterienkatalogs.
Auszug aus dem Buch
4.2.2.6 Knappheit
Das Knappheitsprinzip beschreibt, dass Möglichkeiten Menschen umso wertvoller erscheinen, je weniger diese Möglichkeiten erreichbar sind (vgl. Cialdini 2021: 315). Zurückzuführen ist dies auf die sogenannte Reaktanztheorie vom Psychologen Jack Brehm (1968), die besagt, dass Menschen auf Knappheit damit reagieren, das seltene Gut mehr als je zuvor besitzen zu wollen (vgl. Uebelacker/Quiel 2014: 25). Der Reiz bei knappen Gütern liegt nicht in ihrer Verwendung, sondern in der Vorstellung sie zu besitzen (vgl. Cialdini 2021: 349). Reaktanzeffekte laufen dabei immer unterbewusst und automatisch ab, in der Regel ist es Menschen nicht bewusst, warum sie etwas haben wollen, nur dass sie es haben wollen (vgl. Cialdini 2021: 330).
Das Knappheitsprinzip sagt aus, dass geringer verfügbaren Ressourcen eine hohe Qualität zugesprochen wird. Auf dieser Basis werden ohne großen kognitiven Aufwand gute Entscheidungen getroffen (vgl. Cialdini 2021: 322).
Hier verweist der Verfasser auf das Kapitel 4.1.1, in dem auf automatisches Verhalten näher eingegangen wurde. Übertragen auf Informationen bedeutet dies, dass nur begrenzt verfügbare oder zugängliche Informationen als überzeugender und wertvoller wahrgenommen werden. Die Verfügbarkeit der Informationen ist dadurch eingeschränkt (vgl. Ubelacker/Quiel 2014: 25). Werden bestimmte Informationen verboten oder zensiert, haben Menschen ein größeres Interesse an ihnen und eine bessere Meinung als vor dem Verbot (vgl. Cialdini 2021: 331). Menschen reagieren empfindlich darauf, wenn ein Produkt knapp oder zeitlich begrenzt ist. Konkurrenz mit anderen Mitstreitern oder Mitstreiterinnen steigert das Verlangen nach dem knappen Produkt noch weiter (vgl. Rusch 2008: 4). Diese emotionale Reaktion kann so weit führen, dass die kognitiven Denkprozesse überlagert oder sogar vollständig verhindert werden. Ein rationales Vernunftdenken wäre somit unmöglich (vgl. Schumacher 2014: 227).
Zusammenfassung der Kapitel
1 Einleitung: Diese Einleitung führt in die Problematik des Social Engineering ein und verdeutlicht die zunehmende Relevanz des menschlichen Faktors in der Informationssicherheit.
2 Methodik: Der Autor erläutert den literaturwissenschaftlichen Forschungsansatz und die Auswahl der verwendeten Primärquellen zur fundierten Auseinandersetzung mit den Themenkomplexen.
3 Social Engineering: Hier wird der Begriff Social Engineering definiert, historisch eingeordnet und in seinem standardisierten Angriffsablauf sowie seinen unterschiedlichen Varianten beschrieben.
4 Die Psychologischen Grundlagen des menschlichen Denkens: Dieses Kapitel vertieft das Verständnis für menschliche Denkprozesse anhand der zwei Denksysteme nach Kahneman und erläutert diverse Beeinflussungsstrategien, die für betrügerische Zwecke ausgenutzt werden können.
5 Awarenessmaßnahmen zur Sensibilisierung für Social Engineering: Der Fokus liegt hier auf dem Lernprozess bei Erwachsenen und der Gestaltung wirksamer Sicherheits-Schulungsmaßnahmen zur Stärkung der menschlichen Komponente.
6 Zusammenfassung, Fazit und Ausblick: Diese abschließenden Abschnitte reflektieren die Ergebnisse der Untersuchung und betonen die Dringlichkeit, den Menschen als zu stärkendes Sicherheitselement zu begreifen.
Schlüsselwörter
Social Engineering, Human Hacker, Psychologie, System 1 und 2, Heuristiken, Persuasionsstrategien, Robert Cialdini, Informationssicherheit, Awareness, Sicherheitstraining, Erwachsenenbildung, Konstruktivismus, Lebenslanges Lernen, Risikofaktor Mensch, Informationssicherheitsbewusstsein
Häufig gestellte Fragen
Was ist das zentrale Thema dieser Diplomarbeit?
Die Arbeit behandelt den Menschen als potenziellen Risikofaktor im Bereich Social Engineering und untersucht, wie man durch psychologisch fundierte Awareness-Schulungen eine wirksame menschliche Abwehr ("Human Firewall") aufbauen kann.
Welche Aspekte stehen bei der Betrachtung von Social Engineering im Fokus?
Im Zentrum stehen die psychologischen Mechanismen der Beeinflussung (z.B. Autorität, Reziprozität, Sympathie), die von Angreifern gezielt ausgenutzt werden, um Mitarbeiter zu unüberlegtem oder schädlichem Handeln zu verleiten.
Was ist das primäre Ziel der Forschungsarbeit?
Das Ziel ist es, die Forschungslücke zwischen psychologischen Erkenntnissen und der Gestaltung von IT-Sicherheitsschulungen zu schließen, um maßgeschneiderte Awareness-Konzepte für unterschiedliche Persönlichkeitstypen zu ermöglichen.
Welche wissenschaftliche Methode wurde gewählt?
Es handelt sich um eine Literaturarbeit, die verschiedene Fachdisziplinen wie Psychologie, Sozialwissenschaften und Informatik interdisziplinär vereint, um ein umfassendes Bild der Thematik zu zeichnen.
Wie ist der theoretische Teil der Arbeit strukturiert?
Der Hauptteil gliedert sich in eine fundierte Einordnung des Social Engineering, eine detaillierte Analyse menschlicher Denkprozesse sowie eine Darstellung bewährter Beeinflussungstechniken.
Welche Schlagworte charakterisieren die Arbeit am besten?
Die Arbeit zeichnet sich durch Begriffe wie Social Engineering, psychologische Trigger, Information Security Awareness, menschliche Firewall und konstruktivistische Lerntheorie aus.
Warum ist das "Social Engineering Personality Framework" (SEPF) von Bedeutung?
Das SEPF hilft dabei zu verstehen, wie spezifische Persönlichkeitseigenschaften eines Individuums dessen Anfälligkeit für bestimmte Arten von Angriffen beeinflussen, was eine zielgruppengerechte Sicherheits-Sensibilisierung erlaubt.
Was ist die Kernbotschaft des Autors bezüglich Sicherheitsschulungen?
Der Autor argumentiert, dass starre technische Lösungen nicht ausreichen; stattdessen müsse der Mensch durch kontinuierliche, praxisnahe Schulungen motiviert werden, seine eigene Rolle als Sicherheitsinstanz aktiv wahrzunehmen.
- Quote paper
- Martin Oberembt (Author), 2023, Risikofaktor Mensch im Social Engineering. Betrachtung von Schulungsangeboten auf Basis psychologischer Grundlagen, Munich, GRIN Verlag, https://www.grin.com/document/1485108
