Syda Productions - stock.adobe.c
IT-Sicherheit: Die Unterschiede zwischen den Generationen
Die verschiedenen Generationen weisen in ihrer Reaktion auf Bedrohungen und der IT-Sicherheit große Unterschiede auf. Das müssen Unternehmen bei Schulungen berücksichtigen.
Immer wieder lassen sich in privaten Gesprächen aber auch in der medialen Berichterstattung Debatten darüber verfolgen, inwiefern sich junge und ältere Menschen unterscheiden und welche Folgen derartige Unterschiede nach sich ziehen. Im Zentrum der Debatten stehen dabei oftmals die sogenannten Millennials, also die Generation, die zwischen Beginn der 80er und Mitte der 90er Jahre des vergangenen Jahrhunderts aufgewachsen ist und für die das Internet häufig zu einem essentiellen Bestandteil ihres Lebens wurde.
Junge Menschen dieser Generation werden daher oft auch als Digital Natives bezeichnet. Im Gegensatz dazu wird der sogenannten Baby-Boomer-Generation gerne eine gewisse Ferne zu digitalen Themen sowie mangelnde Kenntnis in diesem Bereich attestiert. Doch ob das so stimmt?
IT-Sicherheit und unterschiedliche Altersgruppen
Ob diese Unterschiede zwischen Generationen wirklich existieren oder ob man sie nur aufgrund der eigenen Wahrnehmung postuliert, gilt es jedoch zunächst zu untersuchen. Schon in der Antike soll sich Sokrates nicht unbedingt wohlwollend über das Verhalten junger Menschen und den Unterschieden im Vergleich zur Generation der Älteren geäußert haben. Jedoch hatte der Philosoph Sokrates noch keine Möglichkeit, seine Aussage empirisch zu belegen. Einen Nachweis für Unterschiede zwischen den Generationen zu führen, fällt heutzutage natürlich leichter. So konnte die kürzlich veröffentlichte Studie State of the Phish 2019 belegen, dass Millennials und Baby-Boomer gerade im Bereich der IT-Sicherheit beziehungsweise ihrer Reaktion auf Bedrohungen aus dem Internet in vielerlei Hinsicht große Unterschiede zueinander aufweisen. Für die Studie wurden unter anderem 15.000 Befragungen von Kunden sowie externer Organisationen ausgewertet. Damit war es möglich, einen weitreichenden Überblick über das Sicherheitsbewusstsein und -verhalten von Anwendern bei Phishing, Ransomware und weiteren Bedrohungen zu gewinnen und zugleich die Kenntnisse der Befragten in diesem Themenfeld eingehend zu analysieren.
Die Studie förderte daher auch die spezifischen Unterschiede zwischen den verschiedenen Altersgruppen von Befragten in Bezug auf IT-Sicherheit zutage. Viele mögen jetzt davon ausgehen, dass die Untersuchung lediglich die gängige Annahme bestätigt, Baby-Boomer würden gerade in Sachen Cybersicherheit gegenüber den Millennials deutlich ins Hintertreffen geraten. Doch weit gefehlt. Besonders ältere Befragte schnitten in vielen Fällen besser ab, als Teilnehmer aus der Generation der Millennials.
Phishing, Smishing und Vishing
So konnten nach den Erkenntnissen der Studie lediglich rund die Hälfte (47 Prozent) der 18- bis 21-Jährigen korrekt beantworten, was der Begriff Phishing bedeutet – 28 Prozent kannten den Begriff nicht einmal. Teilnehmer zwischen 22 und 37 Jahren konnten immerhin schon zu 58 Prozent eine richtige Antwort liefern. Bei den Befragten über 54 Jahren war der Anteil korrekter Antworten jedoch nochmal signifikant höher. Rund 74 Prozent waren in der Lage, das Wort Phishing richtig zuzuordnen. Aber auch in anderen Bereichen wiesen jüngere Teilnehmer gravierende Wissenslücken auf. So gaben nur 40 Prozent der 18- bis 21-Jährigen die richtige Antwort auf die Frage, um was es sich bei Ransomware handelt. Demgegenüber waren wieder die Befragten mit einem Alter über 54 Jahren die Altersgruppe, die am besten abschnitt. Immerhin noch 52 Prozent dieser Gruppe gaben hier die passende Antwort.
Die Befragung zeigte aber auch, dass Jüngere bei bestimmten Aspekten der Cybersecurity durchaus ihren älteren Kollegen etwas voraushaben können. Insbesondere bei den Themen Smishing, also Phishing-Nachrichten via SMS/Messenger, und dem sogenannten Vishing (Voice Phishing – Social-Engineering-Angriffe über das Telefon) schnitten jüngere Befragte besser ab. 33 Prozent der Teilnehmer mit einem Alter zwischen 18 und 21 konnten korrekt zuordnen, was der Begriff Smishing bedeutet. Im Vergleich dazu war es hier nur 21 Prozent der über 54-Jährigen möglich, die korrekte Antwort zu geben. Bei der Frage nach der Bedeutung des Begriffs Vishing hatten die jüngeren Befragungsteilnehmer ebenfalls die Nase vorn. Immerhin noch rund ein Viertel (27 Prozent) der unter 22-Jährigen konnte den Begriff richtig erklären. Bei den über 54-Jährigen waren es jedoch anteilig fast nur noch die Hälfte (15 Prozent).
Nichtsdestoweniger lässt es tief blicken, wenn in keiner Altersgruppe mehr als ein Drittel der Befragten Social-Engineering-Taktiken wie Smishing oder Vishing kennen. Insbesondere da Cyberkriminelle in den letzten Jahren vor allem den Menschen als Schwachstelle der IT-Sicherheit ausgemacht haben und mit Hilfe manipulierter Mails und Anrufe versuchen, ihre Opfer zur Preisgabe von Log-in-Details oder sonstigen Informationen zu bewegen. Die Unkenntnis von Mitarbeitern auf diesem Feld kann folglich ein Unternehmen schnell teuer zu stehen kommen.
Angriffsvektor soziale Medien
Aber nicht nur Phishing-Versuche mit Hilfe klassischer Kanäle wie E-Mail, SMS oder Telefon sind für Cyberkriminelle erfolgversprechende Angriffsvektoren. Vor allem soziale Netzwerke eignen sich für die Zwecke der Betrüger ganz vortrefflich. Insbesondere jüngere Nutzer sind hier besonders anfällig, wie Untersuchungen in den vergangenen Jahren zeigten. Dies ist umso überraschender, da gerade Jüngere die hauptsächlichen Nutzer sozialer Medien sind und sich folglich intensiver damit auseinandersetzen.
„Sicherheitsverantwortliche in Unternehmen sind gut beraten, bei ihrer Cybersecurity-Strategie auf individuelle Trainings zu setzen.“
Georgeta Toth, Proofpoint
Gestützt wird diese Erkenntnis auch durch Untersuchungsergebnisse von Get Safe Online. Diese zeigten, dass gerade jüngere Nutzer häufiger auf Betrugsversuche mit der sogenannten „Familien- und Freundes-Betrugsmasche“ hereinfallen. Dabei kapern Cyberkriminelle Social-Media-Accounts und versuchen in der Folge die mit dem Account assoziierten Freunde oder Familienangehörige zu einer Überweisung aufgrund einer vorgetäuschten Notlage zu bewegen. Die Opfer handeln dann in dem Glauben, dass sie mit einem Familienangehörigen oder einem engen Freund kommunizieren. Das Datendienstleistungsunternehmen Experian gibt an, dass die Wahrscheinlichkeit für einen Erfolg dieser kriminellen Masche bei Menschen von Mitte bis Ende 20 höher ist als bei Personen über 60.
Individuelle Schulungen
Sicherheitsverantwortliche in Unternehmen sind daher gut beraten, bei ihrer Cybersecurity-Strategie auf individuelle Trainings zu setzen. Denn die Ergebnisse zeigen auch, dass es innerhalb einer bestimmten Altersgruppe durchaus erhebliche Unterschiede beim Wissenstand zu aktuellen Cyberbedrohungen gibt.
Moderne IT-Sicherheitstrainings setzen daher auf maßgeschneiderte Schulungen, die auch im Nachgang zu einer Fortbildung den Nutzer im Arbeitsalltag immer wieder durch vorgetäuschte Angriffe mit der Thematik konfrontieren. Durch stete Wiederholung und nachhaltige Sensibilisierung können die Experten auf diese Weise das Risiko erheblich reduzieren, Opfer einer Cyberattacke zu werden.
Über den Autor:
Georgeta Toth ist Senior Regional Director CEEMEA bei Proofpoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
