Catch me if you can – Social Engineering: Der Faktor Mensch in der IT-Sicherheit

Social Engineering ist eine gängige Methode, um Menschen zu täuschen. Sie zu Handlungen anzuregen, die sie eigentlich nicht tun würden, wenn sie um die Konsequenzen wüssten. Menschen werden zum Angriffsziel, um die technischen Systeme zu umgehen.

Am 21.10.18 Tatort geschaut? Die Folge greift in einem Nebenschauplatz das Thema Social Engineering auf und zwar in Form der Technik des Flirtens. Eine junge IT Expertin hackt sich auf das System des LKAs. Viele Angriffe erfolgen mehrdimensional. Auch in diesem Fall. 1) Die junge Frau kündigt dem Kriminalkommissar Kalli telefonisch eine Mail als „Gute Nacht Gruß“ an. 2) Sie verschickt die Phishing-Mail und der Kommissar klickt auf den Anhang. Es ist offensichtlich, dass Kalli keinen Verdacht schöpft und der Angriff unbemerkt ausgeführt werden kann. Die Auswirkung ist fatal. Auf jeden Fall sehenswert!

Wie funktioniert Social Engineering eigentlich konkret?

Faktor Mensch

Social Engineering nutzt menschliche Eigenschaften aus, die eng mit Emotionen verknüpft sind. Diese können u.a. sein:

  • Hilfsbereitschaft (Z.B. jemandem die Tür aufhalten)
  • Vertrauen (z.B. Umgang mit Personen in bestimmten Funktionen)
  • Angst (z.B. Drohung, Gewalt)
  • Respekt vor Autorität (z.B. Wirkung von Führungskräften (CEO-Fraud) oder die Wirkung von Uniformen)

Darüber hinaus kann noch Neugier, Faulheit, Überraschungseffekt, Scham, Schuldgefühl, Zorn, Stolz, Mitleid und Narzissmus angeführt werden. Zusammengefasst kann gesagt werden, dass alle Eigenschaften ausgenutzt werden können, die uns Menschen ausmachen.

Techniken

Die Techniken, über die uns Social Engineers begegnen sind vielfältig. Hier einige Beispiele, über gängige Techniken

Konferenz Bluff City- Die Social Engineering Konferenz

Genau um dieses Thema ging es auf der diesjährigen „Bluff City – Die Social Engineering Konferenz“ am 16./17.10.18 in Köln. Ein interessanter Teilnehmer-Mix aus Information-Security Beauftragten aus Unternehmen, öffentlichen Einrichtungen (BSI, LKA) und IT-Security ExpertInnen haben sich zwei Tage lang mit dem Thema Social Engineering auseinandergesetzt. Das Programm war facettenreich und hat gezeigt, wie wichtig es für Unternehmen und Organisationen ist, das Thema auf die Agenda zu setzen.

Die Menschen in Unternehmen und Organisationen sind nicht das Problem, sondern DIE LÖSUNG!

Die gängige Haltung, die Menschen in Organisationen als „Schwächstes Glied in der Kette“ zu sehen greift zu kurz. Der defizitorientierte Ansatz „Blame the people“ muss durch kompetenzorientierte Ansätze ersetzt werden. Die Kompetenzen der Menschen in Unternehmen sind das wichtigste Kapital – auch in Bezug auf Informationssicherheit.

Die beste Abwehr beginnt mit Bildung

Es reicht nicht mehr aus allein in technische Systeme zu investieren, um sich vor digitalen Angriffen zu schützen. Informationssicherheit hat zwei Säulen. Zum einen die technischen Systeme, und zum anderen die Menschen in Unternehmen, die zunehmend wichtiger werden.

Menschen können viele Angriffe durch die richtige Interpretation der Situation abwehren. Das gelingt aber nur, wenn das nötige Wissen vorhanden ist, Hinweise zu erkennen und die Fähigkeit mit solchen Situationen umzugehen. Es empfiehlt sich, die Ausbildung der MitarbeiterInnen in mehreren Stufen zu planen:

  • Awareness-Kampagnen, um die Aufmerksamkeit auf das Thema Sicherheit/Social Engineering zu lenken. Informationen können u.a. über Poster, Artikel, Honorierung von sicherheitsrelevanten Meldungen und Vorträge geliefert werden.
  • Trainings, um Kompetenzen zu vermitteln. Sowohl Grundlagentrainings für ALLE als auch zielgruppenspezifische Trainings für bestimmte Rollen, die Verantwortung für spezifische Informationen und Prozesse haben, z.B. HR.

Fazit

„Catch Me If You Can“ ist der Titel der Verfilmung des Lebens des Betrügers und Hochstaplers Frank Abagnail.

In Zukunft sollte dieser Satz das selbstbewusste Motto von Menschen in Unternehmen und Organisationen werden, die sich bewusst den Angriffen des Social Engineerings entgegenstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *