„Bitte geben Sie Ihre Bankdaten ein“: Für solche Phishing-Versuche und andere Arten des Cyberbetrugs sind wir an Freitagen besonders anfällig, wie eine Studie enthüllt. Selbst mit gezielten Sicherheitstrainings lässt demnach unsere Wachsamkeit zum Ende des Arbeitstages hin und auch am Ende der Woche nach – vor allem am Arbeitsplatz. Wir neigen dann aus Erschöpfung eher dazu, IT-Sicherheitsregeln zu missachten, und sind uns der Risiken weniger bewusst.
Manchmal reicht ein einziger falscher Klick, um sich einen Trojaner oder eine andere Schadsoftware einzufangen. Die Folgen solcher Phishing-Attacken und anderer cyberkrimineller Taktiken reichen vom Diebstahl sensibler Daten bis zum Kapern des ganzen Rechners oder Computersystems. Die Gefahren durch solche Cyberangriffe nehmen zu, doch viele Menschen sind sich der Risiken noch immer zu wenig bewusst – selbst gezielte Cybersicherheits-Trainings, beispielsweise in Unternehmen, helfen nicht immer.
So haben Studien bereits gezeigt, dass manche Menschen dazu neigen, am Arbeitsplatz IT-Sicherheitsregeln zu missachten. Oft kommen zudem typische Rechtfertigungs-Strategien zum Tragen, etwa: „Es wird schon nichts passieren“ oder „Unsere IT-Fachleute halten sich ja auch nicht daran“.
Zeitverläufe im Blick
Doch welche Rolle spielt der Zeitpunkt für unsere Anfälligkeit gegenüber Phishing und anderen Cyber-Fallen? Das haben nun Forscher um Alec Cram von der kanadischen University of Waterloo in einer Studie untersucht. Dafür befragten sie insgesamt 108 Büro-Beschäftige über einen Monat hinweg dreimal wöchentlich nach ihrem Verhalten und ihrer Motivation hinsichtlich der Vorsichtsmaßnahmen zur Cybersicherheit: montags, mittwochs und freitags.
Die Studienteilnehmer füllten an jedem dieser Tage mehrmals einen Fragebogen aus, in dem sie selbst einschätzen sollten, wie gewissenhaft sie sich heute an die entsprechenden Datensicherheits- und Hackerschutz-Protokolle ihres Unternehmens gehalten hatten. So konnten die Forscher nachvollziehen, ob die Testpersonen zum Beispiel montags gewissenhafter mit verdächtigen Links umgehen, die möglicherweise Schadsoftware transportieren oder Phishing-Attacken einleiten, als freitags.
Außerdem erfragten Cram und sein Team mit den Online-Fragebögen die Haltung und Motivation der Testpersonen, beispielsweise durch ankreuzbare Aussagen wie „Heute bei der Arbeit hatte ich das Gefühl, dass es in Ordnung ist, gegen die Vorschriften zu verstoßen, wenn man unter Zeitdruck steht.“
Freitags kommt der Leichtsinn
Das Ergebnis: Das Verhalten und die Einstellung der Testpersonen variierte sowohl nach Tageszeit als auch nach Wochentag, wie Cram und seine Kollegen herausgefunden haben. Demnach waren die Angestellten zum Ende ihres Arbeitstages hin weniger bereit, Cybersicherheits-Angelegenheiten ernst zu nehmen. Ähnliches galt auch für das Voranschreiten der Woche. Freitagnachmittag hätten Hacker und Betrüger somit wahrscheinlich die besten Chancen, Menschen zum fatalen Klick zu bringen und sensible Daten abzugreifen.
Die genauen Gründe für das schwankende Sicherheitsbewusstsein haben die Forscher zwar nicht untersucht, doch sie scheinen ihnen offensichtlich: zunehmende Müdigkeit, abnehmende Energie. Zum Schutz des eigenen Computers und unserer Daten könnte es daher sinnvoll sein, nicht gerade Freitags nachmittags oder abends noch eben schnell am Rechner die Mails zu checken oder Online-Einkäufe zu erledigen. Im Büro gilt Ähnliches. Zumindest sollte man sich der potenziell höheren Anfälligkeit bewusst sein.
Chefs, die diese Faktoren bei der Gestaltung ihrer Cybersicherheitstrainings berücksichtigen, könnten ihr Unternehmen somit erfolgreicher gegen Hacker verteidigen. „Manager, die sich bewusst sind, dass die Energie der Mitarbeiter mit fortschreitender Arbeitswoche abnimmt, können sich beispielsweise dafür entscheiden, Cybersecurity-Schulungsprogramme zu Beginn der Woche durchzuführen und nicht am Ende, wenn die Mitarbeiter zunehmend müde sind“, erklären Cram und seine Kollegen. (MIS Quarterly, 2024; doi: 10.25300/MISQ/2023/17707)
Quelle: Technische Universität Darmstadt