Zum Inhalt springen

Multimedia VBS-Sicherheitstest: In diese Fallen kann jeder tappen

Mehrere Berufsmilitärs fielen bei einem IT-Sicherheitstest durch: Mit simplen Tricks kamen Test-Hacker an deren Passwörter. Im SRF-Konsumentenmagazin «Espresso» sagt Cyber-Experte Ivan Bütler: «Man kann so viel sensibilisieren wie man will – ein gewisser Prozentsatz fällt immer durch.»

Legende: Audio VBS-Sicherheitstest: In diese Fallen kann jeder tappen abspielen.
3:10 min, aus Espresso vom 09.06.2015.

Insgesamt 12‘000 Berufsmilitärs und Angestellte des Bundesamtes für Bevölkerungsschutz sowie der Rüstungsbeschaffungsstelle Armasuisse wurden ohne deren Wissen getestet: Ziel war unter anderem, herauszufinden, wie sorgfältig mit Passwörtern umgegangen wird. Die Resultate des Tests wurden nicht veröffentlicht. Laut einem Bericht der «Sonntags Zeitung» sind jedoch mehr Verwaltungsangestellte und Armeeangehörige bei dem Test durchgefallen als erwartet.

Unter anderem wurde den Getesteten eine E-Mail geschickt – diese machte den Eindruck, sie sei eigentlich für jemand anders bestimmt. Im Anhang befand sich eine Datei, die angeblich Angaben zur Lohnstruktur im Amt enthielt. In Tat und Wahrheit hätte über diese Datei jedoch Schadsoftware auf dem jeweiligen Computer installiert werden können.

«Man versucht die Leute zu manipulieren»

Für Ivan Bütler, Gründer der Cyber-Sicherheitsfirma Compass Security, kommen die Resultate nicht überraschend: «Es ist klar, dass bei solchen Tests immer ein gewisser Prozentsatz in die Falle tappt», sagt er gegenüber dem Konsumentenmagazin «Espresso» von Radio SRF 1. «In der Fachsprache heisst das ‹Social Engineering› - da versucht man, Leute zu manipulieren. Sie sollen etwas tun, was sie normalerweise nicht tun würden.»

Bütler macht das Beispiel von Kindern, denen man ja auch immer wieder sage, sie sollen auf keinen Fall zu einer fremden Person ins Auto steigen: «Ist die Story gut genug, werden einige Kinder dennoch einsteigen.» Und genauso verhalte es sich auch mit solchen Cyber-Tests: «Man kann zwar sensibilisieren, aber ein Teil der Leute fällt durch.»

Experte Ivan Bütler schätzt den VBS-Test übrigens als absolut realistisch ein: «In der Wirtschaftskriminalität und der Wirtschaftsspionage wird versucht, über den Faktor Mensch Schadsoftware auf Computern zu installieren, die dann wiederum Daten an die Kriminellen übermittelt.»

3 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Teilen Sie Ihre Meinung... anwählen um einen Kommentar zu schreiben

Wir haben Ihren Kommentar erhalten und werden ihn nach Prüfung freischalten.

Einen Kommentar schreiben

Bitte beachten Sie unsere Netiquette verfügbar sind noch 500 Zeichen

Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.

  • Kommentar von P. Gruber, S.
    Mich würde vor allem interessieren wie die Tests im einzelnen und im Detail ausgesehen haben. Das Ergebnis eher weniger. Bin gespannt wie ICH abgeschnitten hätte dabei. Bekomme recht wenig Spammails, und einige davon, ja fast alle, sind sooo plump gemacht dass bei denen nur ein DAU (DümmsterAnzunehmenderUser) rein fallen kann. Z.B.: sicherheit@amazon.com, wenn man, wie ich, kein Amazon-kunde ist. Also, lasst Euch nicht rein legen. Erfolgreiche Internetnutzung allen wünsche!
    Ablehnen den Kommentar ablehnen Antworten anwählen um auf den Kommentar zu antworten
  • Kommentar von M. Keller, Thurgau
    Und wieviele fallen im EJPD auf solche Mails rein? Im EFD? Wieviele im EDA? Oder im UVEK? Wieviele beim SRF? Spam und Phising-Mails sind kein neues Phänomen... Wir haben Wahljahr, meine Damen und Herren, warum liest man im Artikel nichts darüber, das andere sicherheitsrelevantere Departemente überhaupt NICHT getestet wurden? Liegts mal wieder am SVP-Bundesrat wie sonst auch? Wenn ich mir überlege was ein Sicherheitsleck im EDA od. EJPD bei Verhandlungen mit der EU bewirken könnte...
    Ablehnen den Kommentar ablehnen Antworten anwählen um auf den Kommentar zu antworten
    1. Antwort von Jan Schneider, Rorschach
      Ist doch ganz klar. Wieder einmal auf dem VBS herumhacken als wäre es bei anderen Departementen, Firmen oder Zuhause anders. Gesunden Menschenverstand walten lassen und Links zuerst lesen ob die angepeilte URL (die ja beim darüberstreichen mit der Maus angezeigt wird) überhaupt Sinn macht. Easy!
      Ablehnen den Kommentar ablehnen