Nachts um 00:03 Uhr vibrierte mein Handy. Amazon schickte mir einen Sicherheitscode für die Zwei-Faktor-Authentifizierung, obwohl ich mich gar nicht anmeldete. Das kann passieren. Vielleicht vertippt sich jemand bei seiner E-Mail-Adresse. Oder vielleicht versucht ein Angreifer sein Glück. Dafür gibt es die zweite Sicherheitsstufe ja schließlich. Um 00:06 Uhr der nächste Code. Um 00:09 Uhr wieder einer. Dann noch einer. Und noch einer. Insgesamt sieben Stück zwischen 00:03 Uhr und 00:25 Uhr. Irgendjemand wollte offenbar dringend in mein Amazon-Konto.

Nun könnte man sagen: Alles gut. Die Zwei-Faktor-Authentifizierung hat ihren Job gemacht. Ohne den zusätzlichen Code kommt niemand rein. Genau das predige ich schließlich seit Jahren auf Bühnen, in Unternehmen und Schulungen. Wenn Sie einen Code bekommen, obwohl Sie sich gar nicht anmelden wollen, dann ignorieren Sie ihn. Nicht klicken. Nicht reagieren. Nicht diskutieren. Einfach ignorieren oder Nachricht löschen, fertig. Awareness-Schulung bestanden. Eins mit Sternchen.

Und dann kam Amazon auf die Idee, diese Codes per WhatsApp zu verschicken. Nicht nur das. In der Nachricht befindet sich auch ein freundlicher Hinweis, man möge doch bitte auf „Diesen Code habe ich nicht angefordert“ klicken, falls der Login-Versuch nicht von einem selbst stammt. Moment mal.
Seit Jahren erklären wir Menschen, dass sie auf unerwartete Nachrichten gerade nicht reagieren sollen. Dass Links in Sicherheitsmeldungen mit Vorsicht zu genießen sind. Dass Angreifer genau solche Situationen ausnutzen. Und nun verschickt einer der größten Onlinehändler der Welt Sicherheitscodes über einen Messenger, in dem Betrugsnachrichten ungefähr so selten sind wie Sand in der Sahara, und fordert die Nutzer gleichzeitig zum Klicken auf.

Die Nachricht stammt übrigens tatsächlich von Amazon. Von einem verifizierten Unternehmenskonto. Vermutlich steckt sogar ein durchdachtes Sicherheitskonzept dahinter. Das Problem ist nur: Sicherheit funktioniert nicht allein technisch. Sicherheit ist auch Gewohnheit. Und Gewohnheiten trainiert man nicht mit Ausnahmen.

Wenn wir Menschen beibringen, auf unerwartete Sicherheitsmeldungen zu reagieren, dann trainieren wir genau das Verhalten, das Phisher seit Jahren fördern wollen. Der Unterschied zwischen Awareness und Verwirrung beträgt manchmal nur einen einzigen Link.

Oder anders gesagt: Wenn ich sieben verdächtige Sicherheitscodes in einer Nacht bekomme, möchte ich nicht darüber nachdenken müssen, ob ich jetzt auf keinen Fall klicken soll – oder ausnahmsweise doch. Sicherheitstrainings sollten klare Reaktionen vermitteln. Und keine Situation hervorrufen, in der wir uns Fragen stellen und mit Experten diskutieren wollen, die gar nicht da sind, weil sie schlafen. Es ist ja schließlich gerade halb eins in der Nacht.

Screenshot