Organisationen sollten ihre Mitglieder stärker für die Sicherheit persönlicher Daten im beruflichen Umfeld sensibilisieren. Das zeigt eine aktuelle Studie Deutscher und Luxemburgischer Forscher, die mit einer simplen Versuchsanordnung hunderte persönliche Passwörter von zufälligen Versuchspersonen erlangten.

Die Forscher tarnten ihr Experiment als Umfrage zum Thema Passwörter, für die sie über 1.200 Passanten ansprachen. Bei den Interviewern handelte es sich um studentische Hilfskräfte. Ausgewertet wurden nur die Antworten von Passanten die angaben, dass sie in ihrem Unternehmen oder in ihrer Bildungseinrichtung ein Passwort verwenden (95% aller Befragten).

Von diesen verrieten 30% dieses persönliche Passwort dem Interviewer. Von den übrigen enthüllten 70% wenigstens eine persönliche Information, die in direktem Bezug zu ihrem Passwort steht. Insgesamt erhielten die Interviewer damit von 78% der Passanten ihr Passwort oder zumindest einen Hinweis darauf.

Passwort als Dank für Schokolade

Die Forscher untersuchten zudem, ob sich mit Methoden des Social Engineerings (Definition bei Wikipedia) leichter Passwörter abschöpfen lassen. Dazu erhielt jeder Passant im Laufe der Befragung eine Tafel Schokolade. Ein Teil bekam diese zu Beginn des Gesprächs, ein weiterer unmittelbar vor der Frage nach seinem Passwort und ein dritter erst nach dem Ende der Befragung (Kontrollgruppe).

Zur Kontrolle wurden die Passanten später nach dem Wahrheitsgehalt ihrer Angaben befragt. Fast zwei Drittel (63%) bestätigten diese. Davon hatten 39% ihr Passwort herausgegeben. Die Angaben dieser Gruppe (724 Personen) werteten die Forscher weiter aus.

Aus der Kontrollgruppe verrieten 30% der Mitglieder ihr Passwort. Bei denjenigen, die zu Beginn des Gesprächs Schokolade erhalten hatten, enthüllten 40% ihr Passwort und von den Personen, die sie unmittelbar vor der Bitte um das Passwort erhielten, taten dies 48%. In dieser Gruppe gaben 53% der Männer ihr Passwort weiter (Frauen 43%).

Männer sind anfälliger für Social Engineering

Damit erscheinen Männer besonders beeinflussbar für Methoden des Social Engineering. Auf die Gesamtzahl der Befragten zeigten sich allerdings keine Unterschiede bei den Geschlechtern, weil die weiblichen Mitglieder der beiden anderen Gruppen häufiger ihr Passwort nannten. Frauen erscheinen somit grundsätzlich weniger misstrauisch, Männer schieben ihre Bedenken offenbar schneller beiseite, wenn sie sich dem Gegenüber verpflichtet fühlen.

Besonders bitter dürfte für IT-Sicherheitsexperten folgendes Detail sein: Fast zwei Drittel der Befragten (65%) kennen die Regeln zur Weitergabe von Passwörtern in ihrer Organisation und 84% sind sich der Existenz einer IT-Abteilung in ihrer Organisation bewusst

Übrigens kennen 32% der Befragten das Passwort von mindestens einem Kollegen und 22% geben an, dass ihr Passwort ebenfalls mindestens einem Kollegen bekannt ist. Von den restlichen Befragten sind wiederum 22% dazu bereit, einem Kollegen ihr Passwort zu nennen.

Wie halten Sie es mit Ihren Passwörtern? Kennen Ihre Kollegen z.B. Ihr PC-Passwort?