15. Juni 2022 Studie zeigt: Jugendliche zu wenig für Phishing sensibilisiert

Im Rahmen des interdisziplinären netidee-Projekts „Phishingtraining“ verbindet ein Team der Forschungsgruppe Security and Privacy (Universität Wien) Technik mit Psychologie. Auf einer neu geschaffenen Plattform können Jugendliche ihre Resistenz gegen Phishing-Angriffe trainieren und dauerhaft verbessern.

In einer Pilotstudie wurden erste Erkenntnisse gewonnen, die in zukünftige Phishing-Trainings einfließen werden. So wurden den Schülerinnen und Schülern zu diesem Zweck Phishing-Nachrichten zugesendet: Öffneten die Jugendlichen in der Anfangsphase des Trainings noch mehr als 50 Prozent der Nachrichten, so wurden es gegen Ende – trotz erhöhtem Schwierigkeitsgrad – deutlich weniger.

Phishing ist eine Social-Engineering-Bedrohung, die nicht mit klassischen Awareness-Trainings bekämpft werden kann. Derlei Programme sollen Menschen gegen äußere Beeinflussungen – zu denen es bei Social Engineering und damit Phishing kommt –immunisieren. Studien zeigen jedoch, dass eine solche Immunisierung gar nicht so sinnvoll ist. Ein gewisses Maß an „Social Engineering“ gehört nämlich schon zur Erziehung oder wird bei Verhandlungstechniken eingesetzt. Eine komplette Immunisierung gegen äußere Einflüsse könnte somit soziale Interaktionen, effektives Zusammenarbeiten, aber auch die persönliche Weiterentwicklung behindern.

Darüber hinaus vernachlässigen klassische Awareness-Trainings den Faktor Mensch. Würde man beim Erhalt einer Phishing-Nachricht überlegt handeln – also die Nachricht genau betrachten, die Absenderadresse überprüfen –, fielen wesentlich weniger Menschen einer Social-Engineering-Attacke zum Opfer. Da hier jedoch äußere Faktoren wie Zeitmangel eine große Rolle spielen, wenden wir für gewöhnlich bereits Gelerntes an, folgen also Faustregeln, oft auf der Grundlage bisheriger Erfahrungen. Bei Phishing-Nachrichten wird von Cyberkriminellen daher bewusst Zeit- oder Autoritätsdruck erzeugt, wodurch Menschen eher dazu neigen, den Link in einer Phishing-Nachricht anzuklicken.

Der Psychologe Daniel Kahneman definiert zwei kognitive Systeme, die dem Projekt „Phishingtraining“ als Grundlage dienen:

• System 1 funktioniert automatisch und agiert schnell; ein Verhalten, das mühelos und regelmäßig angewendet wird.
• System 2 denkt logisch und versteht komplexe Abläufe; es erfordert Konzentration und Anstrengung, sich auf ein bestimmtes Ereignis zu fokussieren.

Beim Überprüfen einer etwaigen Phishing-Nachricht sollte System 2 aktiv sein, da hierbei Konzentration und Anstrengungsbereitschaft erforderlich sind. Durch äußere Faktoren wie angebliche Dringlichkeit, Autorität oder Zeitdruck übernimmt diese Aufgabe jedoch oft System 1, was zu Fehlentscheidungen führt (Nachricht öffnen, Link anklicken).

Das Ziel des Trainings ist, beim Erhalt einer Phishing-Nachricht zunächst System 2 zu aktivieren und in weiterer Folge die getätigten Aktionen als Teil von System 1 zu automatisieren.

„Phishingtraining“: Aufbau der Studie

Vorrangige Zielgruppe des Projekts sind Jugendliche, die erste Erfahrungen mit Phishing gemacht haben. Das Gesamtkonzept sieht mehrere Phasen vor.

In der Aufklärungsphase wird ein einstündiges Awareness-Training zum Thema Phishing durchgeführt und die Plattform vorgestellt. Dabei erhalten die Schülerinnen und Schüler umfassende Informationen, zum Beispiel wie Phishing-Nachrichten aussehen und was passiert, wenn ein Phishing-Link angeklickt wird. Die Jugendlichen sollen eine Phishing-Nachricht „wiedererkennen“. Das beinhaltet das Identifizieren kritischer Hinweise sowie das Wissen, wie mit einer solchen Nachricht umgegangen werden soll (nicht auf den Link klicken, E-Mail löschen).

In der Trainingsphase bekommen die Jugendlichen innerhalb eines Monats über verschiedene Kanäle (E-Mail, SMS, Social Media) acht Phishing-Nachrichten zugeschickt; die Schwierigkeitsgrade der Nachrichten variieren. Die hohe Frequenz dient dazu, das in der Aufklärungsphase Gelernte häufig anzuwenden und somit schneller zu einer Gewohnheit zu formen. Inhalte und Reaktionen, die zunächst in System 2 gespeichert wurden, sollen automatisiert und somit Teil von System 1 werden.

Beim Klicken des Links in einer Phishing-Nachricht werden die Jugendlichen auf eine Website weitergeleitet, wo sie sofort informiert werden, dass sie gephisht wurden; weiters erhalten sie eine Kurzfassung der Lerninhalte aus dem Awareness-Training („embedded training“). Zusätzlich wird abgefragt, wo sich die Jugendlichen gerade befinden und was sie vor dem Öffnen der Nachricht gemacht haben. So soll herausgefunden werden, in welchen Situationen Jugendliche besonders gefährdet für Phishing sind. Am Ende der Trainingsphase bekommen die Jugendlichen individuelles, schriftliches Feedback.

In der darauffolgenden Testphase werden die Intervalle, in denen die Phishing-Nachrichten verschickt werden, verlängert (fünf Nachrichten in einem Zeitraum von drei Monaten).

Nach einer Pause von einem Monat, in welchem keine Nachrichten versandt werden, erfolgt die Abschlussphase. Eine letzte Phishing-Nachricht wird verschickt, um einen längerfristigen Lerneffekt – nach Pausieren der laufenden Wiederholung – festzustellen. Abschließend erhalten die Jugendlichen erneut individuelles Feedback.

Erste Studienergebnisse

Im Sommersemester 2021 wurde eine erste Version des Phishing-Trainings mit zwei Schulklassen (Alter der Jugendlichen: 14–18 Jahre) durchgeführt. In der Trainingsphase wurde etwas mehr als die Hälfte der Nachrichten geöffnet (zumeist jene mit Schwierigkeitsgrad 3) und in knapp fünf Prozent der Fälle der darin enthaltene Link angeklickt (am häufigsten bei Schwierigkeitsgrad 4). Insgesamt öffneten alle Jugendlichen zumindest zwei Mal eine Phishing-Nachricht.

In der Testphase wurde der Schwierigkeitsgrad der Nachrichten erhöht. Insgesamt wurden trotzdem weniger Nachrichten geöffnet, jedoch in sieben Prozent der entsprechende Link angeklickt. Auch wenn die Aussagekraft aufgrund der geringen Teilnehmerzahl (zwei Schulklassen) begrenzt ist, kann ein Lernerfolg angenommen werden, da die Phishing-Nachrichten in der Testphase schwieriger zu erkennen waren. In weiteren Durchläufen sollen die Lerneffekte erneut evaluiert werden. Es muss jedenfalls davon ausgegangen werden, dass reine Awareness-Trainings bei Phishing nicht ausreichend sind; stattdessen sollte ein kontinuierliches Training stattfinden.

Es ist geplant, in Zukunft regelmäßige Trainings an Schulen durchzuführen und die Plattform über Kooperationspartner auch anderen Zielgruppen zur Verfügung zu stellen.