/Science

Schoko-Phishing: Wie schnell geben wir unser Passwort preis?

Chris Köver 29.06.2016

Tauschst du dein Passwort gegen eine Tafel Schokolade? Der Psychologe Christian Happ hat untersucht, wie bereitwillig Menschen ihre Zugangsdaten an Fremde herausgeben, wenn sie vorher etwas geschenkt bekommen.

Ein Netzwerk technisch zu knacken, ist ziemlich mühsam. Angreifer suchen sich deshalb die schwächste Stelle im System, um einzudringen: Nicht den Computer selbst, sondern den Menschen, der ihn nutzt. Solches Social Engineering manipuliert Menschen so, dass sie etwas tun oder preisgeben, ohne es zu merken oder zu wollen. Etwa, indem der Angreifer sich als IT-Berater ausgibt und so ein Passwort einfach am Telefon abfragt – menschliche Schwächen werden zur schnellen Hintertür in eine ansonsten sichere Burg.

Wie schnell Menschen bereit sind, sicherheitsrelevante Informationen etwa im Tausch gegen ein Geschenk herauszugeben, zeigt eine neue Studie, die der Wirtschaftspsychologe Christian Happ gemeinsam mit Kollegen an der Universität Luxemburg durchgeführt hat. „Die IT-Branche fokussiert sich sehr stark auf die technische Seite von Sicherheit,“ sagt er. „Es wird viel Geld und Zeit investiert, um Systeme sicher zu machen. Wir als Psychologen wollten die menschliche Komponente hinterfragen: Wie einfach ist es eigentlich, Personen davon zu überzeugen, etwas Preis zu geben?“

Happ und seine Kollegen wollten testen, wie sich das psychologische Prinzip der Reziprozität, also der Gegenseitigkeit, auf die Bereitschaft auswirkt, sicherheitsrelevante Informationen herauszugeben. Egal in welcher Kultur, wir alle lernen bereits als Kinder, Freundlichkeit mit Freundlichkeit zurückzuzahlen. Wer dir was Nettes tut, so die Idee, dem sollst du das zurückzahlen. Dieses Prinzip ist ein wichtiger sozialer Kit, um die Gesellschaft zusammenzuhalten. Und wie viele andere Mechanismen, die fest in unserem Verhalten verdrahtet sind, eignet er sich hervorragend als Angriffspunkt für Hacker.

Es wird viel Geld und Zeit investiert, um Systeme sicher zu machen. Wir  wollten die menschliche Komponente hinterfragen

Christian Happ, Wirtschaftspsychologe an der International School of Management in Stuttgart

Um die Effekte von Gegenseitigkeit zu testen, schickten Happ und seine Kollegen sieben studentische Hilfskräfte los, um 1206 zufällig ausgewählte Passanten auf Luxemburger Straßen zu befragen. Unter dem Vorwand, eine Umfrage zum Thema IT-Sicherheit zu machen, fragten sie zunächst ab, wie sich die Personen selbst im Netz verhalten: Wie oft wechseln sie ihr Passwort? Verwenden sie den gleichen Zugang für mehrere Plattformen? Geben sie Kollegen ihr Passwort? Am Ende baten sie die Befragten, ihr eigenes Passwort auf den Fragebogen zu schreiben oder, wenn sie das nicht wollten, zumindest Hinweise darauf zu geben, was es sein könnte. Jeder Befragte bekam eine Tafel Schokolade als Dank, allerdings zu unterschiedlichen Zeitpunkten: Ein Drittel ganz am Anfang, ein Drittel unmittelbar vor der Frage nach dem Passwort, ein Drittel erst danach.

Das ernüchternde Ergebnis: 30 Prozent aller Befragten gaben den Forschern unumwunden ihr Passwort. Weitere 47 Prozent gaben zumindest einen Tipp, worauf ihr Passwort basiert, etwa auf ihrem Geburtsdatum oder ihrem Namen. Zu diesem Zeitpunkt hatten die Befragten wohlgemerkt bereits ihren Namen, ihr vollständiges Geburtsdatum und ihre Telefonnummer offenbart. Sie überreichten also einem Menschen, den sie nie zuvor getroffen hatten, binnen zwei Minuten ein freundlich geschnürtes Gesamtpaket, mit der er ihre Identität hätte stehlen können.

Wer sein Passwort seltener an Kollegen weitergab und häufig änderte, hat es auch im Versuch seltener rausgegeben. Einen viel größeren Einfluss als diese Faktoren hatte allerdings der Zeitpunkt, zu dem die Teilnehmer die Schokolade bekamen: Gab es die Tafel gleich zu Anfang, waren es rund 40 Prozent. Von denen, die unmittelbar vor der Frage nach dem Passwort das Geschenk überreicht bekamen, gaben hingegen fast 50 Prozent ihr Passwort an. Am besten schnitten diejenigen ab, die die Tafel erst am Ende erhielten, zum Zeitpunkt der Frage also noch nichts von dem Geschenk wussten. Damit bestätigt sich die von den Forschern aufgestellte Hypothese, dass der soziale Druck unmittelbar nach einem Geschenk am höchsten sei.

Je jünger die Befragten, desto wahrscheinlicher, dass sie ihr Passwort offenbaren.

Ob die Befragten auf dem Land oder in der Stadt lebten, spielte dagegen keine  Rolle, auch nicht das Geschlecht. Das Alter hingegen schon: Je jünger die Befragten, umso wahrscheinlicher, dass sie ihr Passwort offenbarten. Dies könne davon beeinflusst sein, dass die Interviewer selbst jung waren, räumen Happ und seine Kollegen in ihrem Paper ein. Reziprozität wirkt stärker, wenn uns das Gegenüber ähnlich ist. Aber das Klischee, ältere Menschen seien naiver im Umgang mit ihren Daten als die vermeintlich tech-versierten Digital Natives – es bestätige sich hier nicht.

„Foot in the door“ nennt sich die Technik, die die Forscher angewandt haben: Ich gebe dir etwas kostenlos, damit du mir dann wahrscheinlicher etwas zurückgibst. Man kennt das aus Kontexten wie dem Abo-Marketing: drei Monate umsonst, danach soll man zahlen. Aber auch sonst arbeiten wir in unserem Alltag ständig mit dieser Technik, sagt Happ. „Wir sind darauf konditioniert, so zu handeln. Wir arbeiten etwa eine Stunde länger, um unserem Chef zu gefallen, der uns dann mit größerer Wahrscheinlichkeit den nächsten Urlaub genehmigt.“

Wir sind darauf konditioniert, so zu handeln.

Christian Happ, Wirtschaftspsychologe an der International School of Management in Stuttgart

Reziprozität ist bei weitem nicht die einzige Schwachstelle in der menschlichen Psyche, die gehackt werden kann. Angst, Gier, Hilfsbereitsschaft oder Autoritätshörigkeit erweisen sich als ebenso produktiv.

Reziprozität haben die Forscher für die Studie deswegen gewählt, weil es die „am einfachsten manipulierbare Form“ war, sagt Happ. „Angst auszulösen, ist auf der Straße eher schwierig.“ Autoritätshörigkeit hat in dem Versuch hingegen ebenfalls eine Rolle gespielt: „Wir waren ja die Wissenschaftler. Die Tester trugen eine Tasche mit Uni-Logo.“ Die Bereitschaft, Informationen zu teilen, hat sich durch dieses Auftreten vermutlich erhöht.

Ob die Teilnehmer Schokolade mögen oder nicht, sollte hingegen keine Rolle spielen, sagt Happ. Menschen, die keine Schokolade mögen, verteilen sich auf alle Gruppen gleich – unabhängig von Geschlecht, Alter und Sicherheitsbewusstsein. Sie verzerren das Ergebnis also nicht. Und selbst wenn ein Schoko-Hasser unter den Teilnehmern hätte sein sollen: „Wir haben die Interviews um die Osterzeit geführt. Die Schokolade ist von einem Feinkostladen und sehr hübsch. Die hätte man gut weiterverschenken können.“

+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++ 

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden