SOCIAL ENGINEERING

Virenscanner, Firewall, Bildschirmsperre und Sicherheitsschloss – Unternehmen tun ihr Möglichstes, um für IT-Sicherheit zu sorgen.

 

Unbefugte sollen keinen Zugang zu Informationen erhalten, die nicht für fremde Augen bestimmt sind. Dafür ist man auch bereit, Kosten in nicht unerheblicher Höhe zu tragen. Sicherheitstools werden laufend effektiver. Doch immer häufiger ist es nicht die Technik, die bei der Abwehr externer Bedrohungen versagt, sondern der Mensch. Mitarbeiter geben Informationen und Passwörter heraus oder installieren schadhafte Software am Firmenrechner, und alles ganz ohne böse Absicht. Soziale Manipulation oder Social Engineering setzt gezielt Methoden zur Beeinflussung des menschlichen Verhaltens ein. Mitarbeiter werden durch Suggerieren einer „Bedrohung“ dazu gedrängt, an einen vermeintlich höhergestellten Kollegen, ein auswärtiges Amt oder einen IT-Mitarbeiter, unverzüglich vertrauliche Informationen herauszugeben oder die Überweisung einer beachtlichen Summe zu veranlassen. Der Vorgesetzte, der eigentlich für derartige Freigaben zuständig ist, befindet sich leider „zufällig“ im Urlaub. Eine Tatsache, die die Betrüger schon vorab durch telefonische Auskunft eruieren konnten. Daher ist auch bei scheinbar belanglosen Anrufen, die bestimmte Zuständigkeiten oder Aufenthaltsorte erfragen wollen, Vorsicht geboten.

Ein anderes Bespiel ist die gezielte Verteilung infizierter USB-Speicher in der näheren Umgebung des Unternehmens. Mitarbeiter finden diese etwa am Firmenparkplatz und bringen sie ins Gebäude. Sobald der Anschluss an einen Rechner erfolgt, kann der Virus oder Trojaner Passwörter und Zugänge auslesen und sensible Daten einsehen. Unternehmen sollten daher bei ihrer Sicherheitspolitik auf jeden Fall den Faktor Mensch miteinberechnen und dementsprechend Schulungen anbieten, welche Social-Engineering-Szenarien behandeln und den korrekten Umgang mit solchen Bedrohungen erklären.