Insgesamt 12‘000 Berufsmilitärs und Angestellte des Bundesamtes für Bevölkerungsschutz sowie der Rüstungsbeschaffungsstelle Armasuisse wurden ohne deren Wissen getestet: Ziel war unter anderem, herauszufinden, wie sorgfältig mit Passwörtern umgegangen wird. Die Resultate des Tests wurden nicht veröffentlicht. Laut einem Bericht der «Sonntags Zeitung» sind jedoch mehr Verwaltungsangestellte und Armeeangehörige bei dem Test durchgefallen als erwartet.
Unter anderem wurde den Getesteten eine E-Mail geschickt – diese machte den Eindruck, sie sei eigentlich für jemand anders bestimmt. Im Anhang befand sich eine Datei, die angeblich Angaben zur Lohnstruktur im Amt enthielt. In Tat und Wahrheit hätte über diese Datei jedoch Schadsoftware auf dem jeweiligen Computer installiert werden können.
«Man versucht die Leute zu manipulieren»
Für Ivan Bütler, Gründer der Cyber-Sicherheitsfirma Compass Security, kommen die Resultate nicht überraschend: «Es ist klar, dass bei solchen Tests immer ein gewisser Prozentsatz in die Falle tappt», sagt er gegenüber dem Konsumentenmagazin «Espresso» von Radio SRF 1. «In der Fachsprache heisst das ‹Social Engineering› - da versucht man, Leute zu manipulieren. Sie sollen etwas tun, was sie normalerweise nicht tun würden.»
Bütler macht das Beispiel von Kindern, denen man ja auch immer wieder sage, sie sollen auf keinen Fall zu einer fremden Person ins Auto steigen: «Ist die Story gut genug, werden einige Kinder dennoch einsteigen.» Und genauso verhalte es sich auch mit solchen Cyber-Tests: «Man kann zwar sensibilisieren, aber ein Teil der Leute fällt durch.»
Experte Ivan Bütler schätzt den VBS-Test übrigens als absolut realistisch ein: «In der Wirtschaftskriminalität und der Wirtschaftsspionage wird versucht, über den Faktor Mensch Schadsoftware auf Computern zu installieren, die dann wiederum Daten an die Kriminellen übermittelt.»