SMILE-4-VIP: Ein Ansatz, der Blinde dabei unterstützt, betrügerische Nachrichten einfacher zu erkennen

Logo

Logo in Braille Schrift

Eine Voraussetzung für die erfolgreiche Digitalisierung ist es, dass Schutzmaßnahmen nicht nur effektiv, sondern auch barrierefrei sind. SMILE-4-VIP ist eine Schutzmaßnahme, die Menschen mit hochgradiger Sehbehinderung und Blindheit unterstützt, Phishing-E-Mails zu erkennen. SMILE-4-VIP wendet die Phishing-Forschung auf die Prozesse von seheingeschränkten Menschen im Umgang mit E-Mails an.

Stand der Forschung/Technik

Es existieren unterschiedliche Definitionen von Phishing. In diesem Beitrag betrachten wir Phishing-E-Mails als E-Mails, die gefährliche Links beinhalten. Über sie können Angreifer bereits beim Aufruf einer Webseite Schadsoftware auf dem jeweiligen Gerät installieren, oder zu einer Phishing-Webseite leiten, die täuschend echt aussieht und über die der Angreifer Zugriffsdaten abgreift.  Phishing-E-Mails sind dabei mehr oder weniger gut als solche zu erkennen. Eine Betrachtung der URL hinter einem Link ist dabei der zuverlässigste Indikator, ob es gefährlich ist, auf den Link zu klicken, oder nicht – selbst bei sehr gut gemachten Phishing-E-Mails. Der sogenannte Wer-Bereich (Domain+TLD) der URL spielt dabei die wichtigste Rolle. 

 

Das Bild zeigt einer URL, in der URL ist der sogenannte Wer-Bereich hervorgehoben.

Abbildung 1:Der Wer-Bereich als wichtiger Indikator für die Erkennung von gefährlichen Links in Phishing-E-Mails

Es gibt verschiedene Ansätze, das Risiko zu reduzieren. Hierzu zählt zunächst die Verbesserung der Tools, mit denen die E-Mail-Server E-Mails als Phishing klassifizieren. Dies ist wichtig, damit so wenige Phishing-E-Mails wie möglich in den Posteingängen der Nutzenden ankommen. Da diese Tools allerdings immer neuen Angriffsstrategien nachlaufen, wird es auch zukünftig nicht möglich sein, dass ein Tool alle Phishing-E-Mails als solche identifiziert (und gleichzeitig nicht durch eine hohe False-Positive-Rate unbenutzbar wird). Die Phishing-E-Mails, die das Tool nicht erkennt, können nur von den Nutzenden selbst erkannt werden. 

Zur Unterstützung genau bei dieser Erkennung existieren sowohl Security-Awareness-Ansätze, die erklären, dass es wichtig ist, die URL hinter Links zu prüfen, bevor der Link geklickt wird (und wie dieser zu prüfen ist), als auch Ansätze, die Endnutzende mit Security Interventionen, die "just-in-time-and-place" angezeigt werden (wie z.B. bei TORPEDO oder SMILE), helfen, die URLs hinter Links vor dem Klicken zu überprüfen. 

Die barrierefreie Nutzung bzw. insbesondere die Unterstützung von Menschen mit hochgradiger Sehbehinderung und Blindheit spielt bei den Ansätzen eine sehr untergeordnete Rolle. Insbesondere wurde nicht untersucht, inwieweit diese für diese Personengruppe überhaupt effektiv sein können. Dabei sind besonders blinde Personen besonders gefährdet, da E-Mails vorgelesen werden – häufig mit hoher Geschwindigkeit und Auslassen langer URLs – und es nicht möglich ist, sich auf den ersten Blick einen Überblick zu verschaffen, ob z.B. das Design einer E-Mail bereits verdächtig wirkt. 

Existierende Awareness-Maßnahmen sind i.d.R. weder barrierefrei noch ist die Umsetzung des Inhalts für betroffene Personengruppen möglich, da der Umgang mit E-Mails und insbesondere mit Links anders ist. Die Security Interventionen" in Form von Tooltips funktionieren ebenfalls nicht, wenn E-Mails vorgelesen werden und entsprechend Links zunächst nicht berührt werden, so dass ein Tooltip erscheinen könnte. 

Genau hier setzt SMILE-4-VIP an. Es kombiniert zwei existierende Ansätze (TORPEDO und SMILE) und passt diese auf die barrierefreien Bedürfnisse an. 

Von TORPEDO übernimmt SMILE-4-VIP die Idee, dass URLs hinter Links in verschiedene Risikostufen unterteilt werden: Im Fall eines niedrigen Risikos erscheint ein Tooltip mit einem grünen bzw. blauen Rahmen, der die hinterlegte URL enthält – grün, wenn der Wer-Bereich in der TORPEDO per Default bekannten Liste (Allow-Liste) enthalten ist, und blau, wenn Nutzende in der Vergangenheit diesen Wer-Bereich als geringes Risiko eingestuft haben. Letzteres ist entweder über die Einstellungen möglich oder geschieht automatisch, wenn Nutzende zweimal einen Link zu dem gleichen Wer-Bereich aufgerufen haben. Im Fall, dass TORPEDO ein unbekanntes Risiko feststellt, hat der Tooltip einen grauen Rahmen und enthält neben der hinterlegten URL zusätzliche Informationen zu ihrer Prüfung. TORPEDO unterstützt eine Reihe von Sonderfällen, wie z.B. die Auflösung von Kurz-URLs und Weiterleitungen. In diesem Fall wird nicht die hinterlegte, sondern die Ziel-URL im Tooltip angezeigt. 

Das Bild zeigt zwei Tooltips, wie Sie TORPEDO anzeigen würde. Der linke mit dem geringen Risiko hat einen blauen Rahmen. Der rechte mit dem unbekannten Risiko hat einen grauen Rahmen.

Abbildung 2: TORPEDO (links geringes Risiko und rechts unbekanntes Risiko)

Die Idee von SMILE ist, dass alle in der E-Mail enthaltenen Links durch SMILE-Links ersetzt werden. SMILE-Links sind Links, bei denen der Link-Text der Wer-Bereich der URL hinter dem ursprünglichen Link ist. Anders als bei TORPEDO würde hier die relevante Information den Menschen mit hochgradiger Sehbehinderung und Blindheit vorgelesen werden. Durch die hohe Geschwindigkeit beim Vorlesen wäre dies aber leicht zu überhören. Dies gilt insbesondere für Angriffe, bei denen der Phishing-Wer-Bereich ähnlich zum legitimen Wer-Bereich ist (z.B. bei arnazon.de). Darüber hinaus müssten alle Links geprüft werden, da es die Unterscheidung von geringem Risiko (kann einfach geöffnet werden) und unbekanntem Risiko (sollte genau geprüft werden) nicht gibt. 

Das Bild ist in zwei Teile unterteilt. In jedem Teil wird ein Ausschnitt einer E-Mail gezeigt. Konkret sieht man einen Link und die URL die dahinter liegt wird angezeigt. Das linke Bild zeigt die E-Mail ohne SMILE-Anpassung und das rechte Bild die E-Mail mit SMILE Anpassung.

Abbildung 3: SMILE (links ohne und rechts mit SMILE)

Originalität der Leitidee

Für Menschen mit hochgradiger Sehbehinderung und insbesondere für blinde Menschen ist es aktuell besonders schwer, Phishing-E-Mails zu erkennen: Zunächst fehlen für ihre Bedürfnisse angepasste Phishing-Awareness-Maßnahmen. Selbst, wenn die Wichtigkeit der Prüfung der URL hinter dem Link bekannt ist, bleibt das Problem, dass durch das schnelle Vorlesen der URL hinter dem Link es nahezu unmöglich ist, den Wer-Bereich zu hören und zu analysieren. Hinzu kommt, dass durch das schnelle Vorlesen sich kleine Abweichungen kaum heraushören lassen (z.B. amazon.de versus arnazon.de). Außerdem wurde lange Zeit kommuniziert, dass man für die Phishing-Erkennung auf Rechtsschreibfehler achten soll und dass das Ausüben von Zeitdruck in Kombination mit Rechnungen und Mahnungen ein Hinweis auf Phishing sein könnte. Rechtschreibfehler sind beim Vorlesen aber deutlich schlechter als beim selbständigen Lesen zu erkennen. Entsprechend ist selbst dieses Kriterium für Menschen, die sich die E-Mail vorlesen lassen, nicht einfach anzuwenden. Da inzwischen die E-Mail für die Kommunikation mit vielen Diensten im Internet verwendet wird, sind legitime Rechnungen und Mahnungen nichts Ungewöhnliches. Um auf Nummer Sicher zu gehen, nicht auf einen Phishing-Angriff hereinzufallen, müssten Menschen mit hochgradiger Sehbehinderung oder Blindheit E-Mails mit Zeitdruck in Kombination mit Rechnungen oder Warnungen löschen. Dadurch entsteht nicht nur eine sehr große Verunsicherung, sondern diesen Menschen entgehen dadurch wichtige Hinweise, Rechnungen, Mahnungen oder sonstige wichtige zu erledigende Dinge, wenn diese ausschließlich elektronisch abgewickelt werden. 

„Komme ich hier nicht weiter, wird das Risiko eingegangen und lieber mal etwas zu viel gelöscht.“ (Statement eines blinden Studierenden)

Aufgrund der starken Verunsicherung und der ebenso fehlenden Erfahrung im Umgang mit Phishing-E-Mails, ist ein Verfahren, das E-Mails zum Beispiel im Betreff mit Information und optional mit einem zusätzlichen Signalton anreichert, für jede Art von Hervorhebung oder Filterung hilfreich. Ein zusätzlicher Signalton erfüllt ein ganz wichtiges Kriterium zur Barrierefreiheit, das Zwei-Sensoren-Prinzip. Es besagt, dass ein Signal stets mit zwei Sensoren wahrgenommen werden soll, z.B. Vibration und gleichzeitiges Ton-Signal bei einer Ampel. Solch eine Möglichkeit auf Phishing-E-Mails hinzuweisen ist bisher in keinem E-Mail-Client umgesetzt.

SMILE-4-VIP hat daher das Ziel, Menschen mit hochgradiger Sehbehinderung oder Blindheit bei der Erkennung von Phishing-E-Mails zu unterstützen. Es geht dabei um die Phishing-E-Mails, die durch die Security Checks des E-Mail-Servers nicht erkannt wurden (die False-Negatives) und daher über den Posteingang zugestellt werden. Konkret sollen Menschen mit hochgradiger Sehbehinderung und besonders blinde Personen davor geschützt werden, dass sie auf die gefährlichen Links in Phishing-E-Mails klicken, die der E-Mail-Server „fälschlicherweise“ zugestellt hat. Gleichzeitig soll die Benutzbarkeit im Umgang mit E-Mails für Menschen mit hochgradiger Sehbehinderung oder Blindheit so wenig wie möglich beeinflusst werden. Beispielsweise soll der Screenreader (die Vorlesesoftware für hochgradig sehbehinderte oder blinde Menschen), der die E-Mails vorliest, nicht angepasst werden, damit SMILE-4-VIP unabhängig vom eingesetzten Screenreader funktioniert. Entsprechend ist das Ziel von SMILE-4-VIP, möglichst wenige Änderungen an den E-Mail-Clients bzw. an den E-Mails selbst vorzunehmen, damit die Lese-Strategien möglichst gleich bleiben und der Aufwand für die Erkennung von Phishing-E-Mails bzw. von gefährlichen Links überschaubar bleibt.

SMILE-4-VIP ist eine Erweiterung für E-Mail-Clients. Beim Herunterladen der E-Mails werden alle URLs hinter den Links von SMILE-4-VIP untersucht, und der E-Mail wird eine Risiko-Stufe zugeordnet. In Abhängigkeit von der Risiko-Stufe wird die E-Mail entweder gar nicht verändert oder ein Sicherheitshinweis im Betreff hinzugefügt und ggf. der E-Mail-Body angepasst. Wenn der E-Mail-Body angepasst wird, geschieht dies analog zu SMILE4, wegen der vorherigen Risiko-Überprüfung aber in viel weniger Fällen als es bei SMILE4 der Fall ist.

SMILE-4-VIP passt den Betreff der E-Mail im E-Mail-Client an, da der Betreff und der Absender die Informationen sind, die sich Menschen mit hochgradiger Sehbehinderung oder Blindheit vorlesen lassen, um zu entscheiden, ob Sie die E-Mail näher betrachten (und damit vorlesen lassen) möchten oder nicht. Damit dieser Hinweis zuverlässig wahrgenommen wird, wird außerdem das zu Beginn erwähnte Zwei-Sensoren-Prinzip aufgenommen und ein akustischer Hinweis mittels Auditory Icon bzw. Earcon abgespielt, der bereits beim Auswählen der E-Mail ertönt. 

Das Bild zeigt ein Beispiel für einen E-Mail Post-Eingang nach der Anpassung der Betreffzeile durch SMILE4VIP.

Abbildung 4: E-Mail-Übersicht mit SMILE-4-VIP. Hinweis: Der Account wurde angelegt, um die unterschiedlichen Fälle zu demonstrieren. Dies entspricht nicht einer Verteilung der Fälle in realen Posteingängen. Die Phishing-E-Mails enthalten gespoofte Absender, so dass die E-Mails wirklich nur über die URLs hinter den Links eingestuft werden können.

 

“Alles, was warnt, ist gut. Im Betreff wäre es wirklich super praktisch, denn ich schalte die meisten Benachrichtigungen des Clients aus, weil sie einen immer beim Lesen stören.”
(Statement eines blinden Studierenden)

“Die Phishing-Warnung im Betreff finde ich eine sehr große Hilfe. Funktioniert deutlich besser als Nachrichtenfenster, die man von anderen Clients her kennt. Ich schalte Nachrichtenfenster grundsätzlich aus, wo es geht, da sie einem den Fokus, z. B. die Braillezeile unter den Fingern entreißen, wenn sie aufpoppen.”
(Statement eines blinden KIT Mitarbeitenden)

Die Risiko-Stufen von SMILE-4-VIP sind die Stufen, die TORPEDO definiert.  Bei SMILE-4-VIP bezieht sich die Risiko-Stufe auf die ganze E-Mail, während TORPEDO das Risiko für jeden Link in der E-Mail getrennt definiert. SMILE-4-VIP legt die Risiko-Stufe der E-Mail auf die kritischste Stufe der in der E-Mail enthaltenen Links fest. Daraus ergeben sich die folgenden Fälle, wie E-Mails von SMILE-4-VIP eingestuft und behandelt werden:

  • Niedriges Risiko: Alle Links verweisen entweder auf Webserver, die auf der vordefinierten Allow-Liste stehen, oder auf Webserver, die der Nutzende bereits in der Vergangenheit (seit Nutzung von SMILE-4-VIP) zweimal aufgerufen hat.
    In diesem Fall wird die E-Mail unverändert gelassen, sprich es wird kein Hinweis im Betreff ergänzt und auch der E-Mail-Body wird nicht verändert (siehe zweite und vierte E-Mail in Abbildung 4). 
  • Unbekanntes Risiko: Mindestens ein Link verweist auf einen Webserver, der nicht auf der vordefinierten Allow-Liste steht und den der Nutzende bisher auch noch nicht aufgerufen hat. In der Behandlung und Darstellung dieser Stufe unterscheidet SMILE-4-VIP zwei Unterfälle:
    • Die E-Mail enthält nur Links zu einem Webserver, für den das Risiko von SMILE-4-VIP nicht ermittelt werden kann.
      In diesem Fall wird der Betreff angepasst. Neben dem akustischen Hinweis wird folgender Text vor dem eigentlichen Betreff eingefügt: „Sicherheits-Hinweis: Link zu unbekanntem Server <Wer-Bereich der URLs hinter den Links>: “ (siehe erste und dritte E-Mail in Abbildung 4). 
    • Die E-Mail enthält Links zu unterschiedlichen Webservern, von denen für mindestens zwei das Risiko von SMILE-4-VIP nicht ermittelt werden kann. 
      In diesem Fall werden der Betreff und der Body angepasst. Neben dem akustischen Hinweis wird folgender Text vor dem eigentlichen Betreff eingefügt: „Sicherheits-Hinweis: Link zu mehreren unbekannten Servern: “.  Der E-Mail Body wird analog zu SMILE angepasst, sprich im Text befinden sich direkt die Informationen zu den Wer-Bereichen der URLs hinter den Links. In diesem Fall ist es nur unwesentlich aufwendiger, den Inhalt der E-Mail zu erfassen. Es ist sichergestellt, dass der Wer-Bereich der URL vorgelesen wird, bevor auf den entsprechenden Link geklickt wird. 

Das Bild zeigt eine Beispiel E-Mail nach der Anpassung der E-Mail selbst durch SMILE4VIP.

Abbildung 5: Beispiel für eine E-Mail (Ausschnitt), die Links zu unterschiedlichen Webservern enthält, von denen SMILE-4-VIP für mindestens zwei das Risiko nicht ermitteln konnte

Eine E-Mail der Stufe “unbekanntes Risiko” bei SMILE-4-VIP, kann – genau wie bei TORPEDO  – sowohl ein geringes Risiko bedeuten (siehe erste E-Mail in Abbildung 4) als auch eine Phishing-E-Mail sein (siehe dritte E-Mail in Abbildung 4). Diese Entscheidung trifft der Nutzende mit den Informationen von SMILE-4-VIP, da nur die Nutzenden den Kontext kennen und so entscheiden können. 

SMILE-4-VIP baut außerdem für die Untersuchung von URLs hinter Links auf der TORPEDO-Funktionalität bzgl. Weiterleitungs-URL auf: Auch SMILE-4-VIP ermittelt für bekannte Redirect-URLs und Short-URLs die Ziel-URLs, ohne die Webseite aufzurufen – also ohne, dass dem Nutzenden ein Risiko entsteht. In die Risiko-Stufe der E-Mail fließt die Risiko-Stufe der Ziel-URL ein. SMILE-4-VIP zeigt bei unbekanntem Risiko der Ziel-URL den Wer-Bereich der Ziel-URL im Betreff an bzw. verwendet diesen im Body. 

Der im Betreff angezeigte Text ist konfigurierbar und kann von den Nutzenden z.B. auch gekürzt werden (z.B. zu “Server host123.de unbekannt”). Analog zu TORPEDO kann die Allow-Liste angepasst und Einträge aus der eigenen (blauen) Liste können über die Einstellungen entfernt oder ergänzt werden. Denkbar ist, dass z.B. das Unternehmen seinen Mitarbeitenden vor der Zurverfügungstellung die Listen so anpasst, dass die im Unternehmenskontext üblichen Domains bzw. Server automatisch als geringes Risiko eingestuft werden, um so die Anzahl der E-Mails, die zu Beginn als unbekannt klassifiziert werden, stark zu reduzieren. Hierdurch wird der Aufwand sowie die User Experience verbessert. 

Vor Beginn der Nutzung bzw. nach Aktivierung der Erweiterung des E-Mail-Clients, erhalten die Nutzenden eine kurze Einführung in die Funktionalität von SMILE-4-VIP. Dies dient insbesondere dazu, den Nutzenden zu erklären, (1) dass der Security-Hinweis bedeutet, dass technische Security-Checks das Risiko, auf den Link zu klicken, nicht beurteilen können und dies die Nutzenden selbst entscheiden müssen, (2) dass E-Mails mit einem Security-Hinweis legitim und ungefährlich, aber eben auch Phishing-E-Mails sein können, sowie (3) wie sie herausfinden, ob eine E-Mail mit Security-Hinweis eine Phishing-E-Mail ist oder nicht. Es ist wichtig, dass sich Nutzende die Zeit nehmen, damit Sie das Konzept verstehen – insbesondere, weil das Kommunizieren eines “unbekannten” Risikos derzeit bei Security Interventionen nicht üblich ist. Entsprechend soll durch diese Einführung verhindert werden, dass E-Mails mit dem Zusatz “Sicherheits-Hinweis" nicht unmittelbar gelöscht werden, weil dann die Gefahr groß ist, dass auch wichtige legitime E-Mails gelöscht werden. Wie diese Informationen für Menschen mit hochgradiger Sehbehinderung und Blindheit am besten aufbereitet werden können, ist Teil aktueller Forschung.

Das folgende Video  vermittelt einen Eindruck von den Arbeitstechniken insbesondere blinder Menschen und zeigt beispielhaft, wie SMILE-4-VIP im Einsatz funktioniert:
https://www.youtube.com/watch?v=VmAtYJ0WgZg

Die Idee von SMILE-4-VIP ist so elementar und wichtig, dass sie auch auf viele weitere Bereiche und Anwendungen übertragen werden kann und betroffenen Menschen einen großen Mehrwert im Umgang mit digitalen Plattformen in den unterschiedlichsten Einsatzgebieten bietet. Phishing-Links werden von Cyberkriminellen nicht nur in E-Mails eingebettet, sondern auch in Social-Media-Beiträgen und Textnachrichten (SMS, iMessages). Entsprechende Erweiterungen von Open-Source-Apps bzw. Add-Ons für Web-Browser würden hier mit dem gleichen Ansatz das Risiko signifikant verringern. Außerdem helfen solche Erweiterungen auch Menschen mit eingeschränktem Textverständnis, kognitiver Einschränkung oder anderen sensorischen Einschränkungen, da durch SMILE-4-VIP der Fokus anhand des angepassten Betreffs auf eine mögliche Gefahr gelenkt wird und somit die Aufmerksamkeit beim Lesen der kritischen Stellen im Vordergrund steht.

Gesellschaftliche Relevanz und internationales Potenzial

Wie uns digitale Technologien im Alltag helfen können, haben wir gerade im Zuge der Ausbreitung des Corona-Virus gesehen: Während das Leben draußen zum Erliegen kam, konnten viele mit Hilfe von Online-Kommunikationsdiensten und digitaler Vernetzung von zuhause aus ihren Büro-Alltag meistern und Freunde und Familie virtuell treffen. Dank des Einsatzes moderner Technologien lassen sich also räumliche Barrieren gut überbrücken. Aber auch darüber hinaus nutzen wir alle immer mehr digitale Techniken, die uns den Alltag erleichtern und sowohl im privaten Umfeld als auch im Beruf unterstützen. Einen noch größeren Unterschied können intelligente Lösungen im Leben von Menschen machen, die aufgrund von Alter, Krankheit oder Behinderung auf Barrieren in Alltag und Beruf stoßen. Mangelnde Nutzbarkeit (Usability) und mangelnde Barrierefreiheit gefährden die Teilhabe durch digitale Technologien. Hierdurch entsteht außerdem ein großes Risiko, da auch Kriminelle zunehmend im digitalen Raum aktiv sind.  Die Gefahren steigen stetig, da die digitale Welt sich ständig im Wandel befindet, mit neuen Techniken, mit immer weiterwachsender Komplexität der Systeme und einer steigenden Vielfalt der Anwendungen.

Im digitalen Alltag lauern zunehmend mehr Gefahren durch Cyber-Kriminelle – alleine in der Online-Kommunikation mittels E-Mail. In E-Mails werden häufig Links verwendet, um auf weitere Informationen im Internet zu verweisen. Hinter diesen Links findet sich nicht immer das, was wir vermuten bzw. was uns suggeriert wird. So kann das Anklicken von Links im Fall von Phishing-E-Mails einen großen Schaden anrichten – im privaten Kontext wie für Organisationen und Unternehmen. So wurde im Jahr 2020 der Schaden alleine für die USA mit 54 Millionen US-Dollar (IC3 Annual report) beziffert.  Es besteht einerseits die Gefahr, dass Angreifer bereits beim Aufruf der Webseite Schadsoftware auf dem jeweiligen Gerät installieren, oder andererseits zu einer Phishing-Webseite leiten, die täuschend echt aussieht und über die der Angreifer Zugriffsdaten abgreift. In beiden Fällen kann der Angreifer unterschiedliche Ziele verfolgen – beispielsweise könnten die Opfer im nächsten Schritt erpresst werden, weil sonst ihre Daten auf dem Gerät bzw. dem Dienst gelöscht oder im Internet verfügbar gemacht werden. Angreifer können außerdem diesen ersten Erfolg nutzen, um weitere Angriffe zu tätigen. So könnte von dem Gerät oder dem Dienst Schadsoftware verteilt werden. Dies ist nun deutlich effektiver, da z.B. auf bestehende E-Mail-Kommunikation aufgebaut wird. Entsprechend ist es für Privatpersonen wie für Unternehmen wichtig, den Schutz vor Phishing-Angriffen zu verbessern, um das Schadensausmaß nachhaltig zu reduzieren. 

Durch die Art wie Menschen mit hochgradiger Sehbehinderung und Blindheit mit E-Mails und Links interagieren, sind diese besonders gefährdet. Daher sollte jede Organisation und jedes Unternehmen ein großes Interesse haben, diese Personengruppe bei der Erkennung von Phishing-E-Mails zu unterstützen, denn häufig reicht es schon aus, wenn nur ein Mitarbeitender mit der Phishing-E-Mail interagiert, dass der Organisation / dem Unternehmen ein großer Schaden entsteht. Es ist auch nicht auszuschließen, dass Cyber-Kriminelle genau diese Schwachstelle des Unternehmens entdecken und entsprechend versuchen, im ersten Schritt Menschen mit hochgradiger Sehbehinderung und Blindheit zu adressieren, um dann ihren Angriff von deren Geräten bzw. Diensten auszuweiten. An dieser Stelle sei erwähnt, dass insbesondere im Kontext von Spear-Phishing, dieses Vorgehen derzeit für den Angreifer besonders erfolgversprechend ist. 

SMILE-4-VIP stellt hier eine einfache Maßnahme dar, die zum einen die Interaktion mit E-Mails kaum beeinflusst und zum anderen einen großen Mehrwert im inklusiven Kontext liefert. Menschen mit hochgradiger Sehbehinderung und Blindheit erfahren bereits während des Vorlesens der Betreffzeile, ob dies eine E-Mail ist, bei der ein “unbekanntes” Risiko festgestellt werden konnte. Die relevante Information, um selbst zu entscheiden, ob es sich hierbei um eine Phishing-E-Mail handelt oder nicht, befindet sich ebenfalls im Betreff.

SMILE-4-VIP unterstützt also Organisationen und Unternehmen dabei, die rechtlich geforderte Barrierefreiheit auch im Kontext der Informationssicherheit zu gewährleisten. So verpflichtet die EU-Richtlinie 2016/2102 alle öffentlichen Stellen der EU-Mitgliedsstaaten zur barrierefreien Gestaltung ihrer Webseiten, Dokumente und (mobilen) Anwendungen – und damit auch der eingesetzten E-Mail-Clients. Auf Bundesebene findet sich diese Forderung in der „neuen“ BITV 2.0. „Die Verordnung gilt unter Berücksichtigung der Umsetzungsfristen der §§ 12a bis 12c des Behindertengleichstellungsgesetzes für folgende Angebote, Anwendungen und Dienste: Websites, mobile Anwendungen, elektronisch unterstützte Verwaltungsabläufe, einschließlich der Verfahren zur elektronischen Vorgangsbearbeitung und elektronischen Aktenführung, grafische Programmoberflächen, die in die Angebote, Anwendungen und Dienste nach den Nummern 1 bis 3 integriert sind oder von den öffentlichen Stellen zur Nutzung bereitgestellt werden.“ Auch hieraus lässt sich die Notwendigkeit der Barrierefreiheit für die Security-Maßnahmen dieser Angebote, Anwendungen und Dienste ableiten.

SMILE-4-VIP wurde speziell für Menschen mit hochgradiger Sehbehinderung und Blindheit konzipiert. Wenn man sich anschaut, wie erfolgreiche Phishing-Angriffe gestaltet waren, legt dies nahe, dass SMILE-4-VIP auch für Menschen ohne Seheinschränkung das Risiko reduzieren kann, Opfer eines Phishing-Angriffes zu werden. Analysen erfolgreicher Phishing-Angriffe zeigen, dass die Cyber-Kriminellen mit ihren E-Mails häufig versuchen, bei den empfangenden Personen Emotionen (u.a. Angst, Freunde) auszulösen, die diese davon abbringen, die E-Mail und die Links genauer zu prüfen. Hier wirkt SMILE-4-VIP entgegen, denn bevor die Emotionen entstehen können, würde im Fall einer Phishing-E-Mail der Sicherheits-Hinweis wahrgenommen werden. SMILE-4-VIP unterstützt also nicht nur dabei, die notwendigen Checks zur Erkennung von Phishing-E-Mails durchzuführen, sondern verhindert auch, dass Nutzende sich vorschnell durch Emotionen (oder andere Faktoren, wie das gut gemachte Design der E-Mail) leiten lassen. Wenn wir mit unserer Forschung zeigen können, dass die Phishing-Erkennung bei Menschen ohne Seheinschränkungen mit SMILE-4-VIP signifikant gesteigert werden kann, steigt auch der Nutzen enorm an.

Kontakt:
Prof. Dr. Melanie Volkamer
Dr. Thorsten Schwarz