Social Engineering als Gefahrenquelle unterschätzt

Social Engineering wird immer beliebter. Es ist, nach einer Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI), eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Aushorchen zu erlangen. Dabei werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln.

Typische Fälle sind demnach das Vortäuschen, am Telefon ein anderer zu sein. Häufig würden sich Kriminelle ausgeben als Vorzimmerkraft, deren Vorgesetzter schnell noch etwas erledigen will, aber sein Passwort vergessen hat und es jetzt dringend braucht; als Administrator, der wegen eines Systemfehlers anruft, da er zur Fehlerbehebung noch das Passwort des Benutzers benötigt; als Telefonentstörer, der einige technische Details wissen will; als Externer, der gerne Herrn X sprechen möchte, der aber nicht erreichbar ist. Die Information, dass Herr X drei Tage abwesend ist, sagt ihm auch gleichzeitig, dass der Account von Herrn X in dieser Zeit nicht benutzt wird, also unbeobachtet ist.

Wenn kritische Rückfragen kämen, stelle sich der Neugierige als “nur eine Aushilfe” dar oder erwecke den Eindruck, eine “wichtige Persönlichkeit” zu sein. Eine weitere Strategie beim systematischen Social Engineering sei der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld könne der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen könne. Solche Angriffe könnten auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut werde, die in vorhergehenden Stufen erworben wurden.

Sind solche Attacken erfolgreich, wird oft der Mitarbeiter verantwortlich gemacht. Das finden die Security-Experten des IT-Schulungsunternehmens The Training Camp falsch. Sie plädieren für die Pflicht der Unternehmen, ihre Angestellten einerseits für das Thema IT-Sicherheit zu sensibilisieren und andererseits deren Wissen ständig zu aktualisieren.

Internet-Kriminelle seien schließlich erfinderisch: Nachdem viele Unternehmen ihre IT-Infrastruktur inzwischen auf dem neuesten Stand halten, nehmen Hacker verstärkt die Mitarbeiter für ihre gefährlichen Attacken ins Visier. “Es ist die Aufgabe der Unternehmen, ihre Angestellten für das Thema IT-Sicherheit zu sensibilisieren”, so Robert Chapman, Mitbegründer und Geschäftsführer von Training Camp. “Aufgrund der technischen Weiterentwicklungen und des schier grenzenlosen Erfindungsreichtums der Angreifer ist außerdem eine kontinuierliche Aktualisierung des Wissens gefragt. Doch es wäre fatal, den ‘Schwarzen Peter’ den Mitarbeitern zuzuschieben und sie unwissend im Regen stehen zu lassen”, sagte er.

Vielmehr seien aufgeklärte Mitarbeiter gefragt, die wissen, dass ein scheinbar harmloses Gespräch im Büro oder bei einem Bier nach Feierabend Cyber-Kriminellen Tür und Tor zu geschäftskritischen Informationen öffnen kann. Außerdem brauchen die Angestellten konkrete Handlungsempfehlungen, wie sie im Fall einer entdeckten Social-Engineering-Attacke reagieren sollen, so Chapman. Denn einfache Hinweise wie ‘IT-Sicherheit ist wichtig’ oder ‘Passwörter müssen geheim bleiben’ greifen ihm zufolge bei den raffinierten Vorgehensweisen der kriminellen Hacker zu kurz.