Social Engineering Gefährliche Freundschaften

Peter Ilg

Kriminelle versuchen mit psychologischen Tricks, das Vertrauen von Mitarbeitern zu erschleichen, um an Informationen zu kommen.

Social-Engineering-Angriffe werden ausgefeilter und sind deshalb erfolgreicher. 'Das stellen wir fest, wenn unsere IT-Spezialisten herausgefunden haben, dass Unberechtigte in Unternehmensnetzwerke eingedrungen sind', sagt Dirk Reimers. Er ist Bereichsleiter bei Secunet in Hamburg, einem IT- Sicherheitsunternehmen, und zuständig für Konzeption und Durchführung von Social- Engineering-Maßnahmen bei Kunden. Als Social Engineering werden die Versuche bezeichnet, sich Vertrauen bei Beschäftigten in Unternehmen zu ergaunern, um an Informationen wie Passwörter zu kommen oder Regelverstöße zu provozieren, um etwa Zugang zu Räumen zu bekommen.

Vor Jahren waren die Versuche mit E-Mails plump, in radebrechendem Deutsch und unglaubwürdig. Heute kommen zum Beispiel Mails mit gefälschtem Absender vom Postversand DHL und der Frage, wohin das Paket geliefert werden soll, weil niemand zu Hause ist. Die Mails sind in tadellosem Deutsch geschrieben und lesefreundlich formatiert, einschließlich Link zum Versandstatus. Wer den anklickt, installiert unbemerkt eine Software, die Passwörter ausspäht. 'Der gesamte Vorgang ist perfekt, so dass ein ungeschulter Mitarbeiter nicht merkt, dass er auf einen Angreifer hereinfällt', sagt Reimers. Nach seiner Wahrnehmung hätten Unternehmen wohl erkannt, dass Social Engineering eine große Bedrohung für sie ist. Deshalb beauftragen sie Unternehmen wie Secunet damit, fingierte Angriffe durchzuführen. 'Tendenziell sind das große Unternehmen und Behörden ab 5000 Mitarbeitern aufwärts', so Reimers.

"Die meisten Angriffe werden nicht bemerkt"

Damit die Privatsphäre gewahrt bleibt, offenbart Secunet dem Auftraggeber keine Namen von Mitarbeitern, die ihnen Tür und Tor öffnen. 'Über die Tests wird dann in der Mitarbeiterzeitung berichtet, um zu sensibilisieren.' Manche Unternehmen beauftragen Reimers mit Awareness-Kampagnen, die dasselbe Ziel haben. In diesen Schulungen erleben die Mitarbeiter, wie dreist Social Engineers vorgehen. Ein Beispiel: eine gut aussehende junge Frau mit schwerem Gepäck, die auf die Eingangspforte zuläuft und deren Mitarbeiterausweis halb verdeckt unter der luftigen Bluse steckt, hat große Chancen, dass ihr die Tür aufgehalten wird, ohne dass sie kontrolliert wird. Auf dem Gelände verliert sie dann präparierte USB-Sticks mit Trojanern darauf, oder sie legt Zeitungen aus, denen CDs beigelegt sind, die bösartige Codes enthalten. 'Die meisten Angriffe werden nicht bemerkt', sagt Dirk Fox, Geschäftsführer bei Secorvo in Karlsruhe.

Auch dieses Unternehmen ist spezialisiert auf IT-Sicherheit und bietet Awareness-Kampagnen an. Fox hat den Eindruck, dass immer häufiger Mitarbeiter das Ziel eines Angriffs sind. 'Die Unternehmen investieren in Technik und sind so geschützt. Deshalb nutzen Eindringlinge tendenziell eher Social Engineering, um ein Unternehmen auszuspähen.' Ziel von Kampagnen, in denen Secorvo das Bewusstsein der Mitarbeiter schärft, ist, die Mechanismen von Angreifern zu verstehen. Häufig treten die autoritär auf und erzeugen Zeitdruck. Der Zeitdruck dient dem Zweck, dass Mitarbeiter handeln, ohne nachzudenken. Nach Meinung von Fox ist Social Engineering einfache Psychologie, 'weil Menschen dazu neigen zu vertrauen'.

Dieses für ein gesellschaftliches Zusammenleben notwendige Verhaltensmuster nutzen Angreifer gnadenlos aus. Das zeigen die Ergebnisse einer Studie zum Thema Cyberkriminalität. Danach fehlt es Unternehmen nicht nur an Notfallplänen, wenn etwas passiert ist. Ihnen sind auch Begriffe und Methoden des Social Engineering ebenso wenig bekannt wie geeignete Maßnahmen zur Abwehr. Anerkennung ist laut dieser tiefenpsychologischen Wirkungsanalyse zum Thema Social Engineering das wichtigste Einfalltor im Kontext von Wirtschaftskriminalität. Die Studie 'Bluff me if U can - gefährliche Freundschaften am Arbeitsplatz' ist ein Gemeinschaftswerk der Kölner Security-Awareness-Agentur known-sense, des Chemiekonzerns Lanxess, der Technischen Hochschule Wildau und der Fachzeitschrift für IT-Sicherheit ''.

Dass die Abwehr gegen Social Engineering aufgrund der sozialen Angriffspunkte ausschließlich über Awareness funktionieren kann, weil technische und organisatorische Maßnahmen gar nicht erst greifen können, macht die Studie umfassend klar. Um darüber hinaus aber vor allem die psychologischen Hintergründe von Social Engineering zu verstehen, wurde unter anderem die digitale Kommunikation der Probanden untersucht. Dabei stellten die Psychologen fest, dass sich die Anfälligkeit der Menschen aufgrund der Reduktion der an Kommunikation beteiligten Kanäle erhöht hat. Vis-à-vis-Gespräche finden seltener statt, E-Mails und Telefongespräche häufiger.

Während beim persönlichen Gespräch Mimik und Körpersprache miteinbezogen werden, reduziert sich ein Telefonat auf den reinen Informationsgehalt und das gesprochene Wort sowie die Stimmlage und erzeugt so häufig größere Probleme bei der Beurteilung von Fremden. In E-Mails kommen noch weniger Kanäle zum Tragen, dort wird lediglich nach dem geschriebenen Wort beurteilt. Aber nicht nur die Einschätzung Fremder bereitet den meisten deshalb Probleme. Viele Probanden waren nicht in der Lage zu beurteilen, wie sie sozial ticken. Was also ihre sozialen Einfallstore sind. Ist es die Anerkennung, oder sind es womöglich Druck, Angst, Hilfsbereitschaft, Leichtgläubigkeit oder Neugier? Würden sie das wissen, wären sie besonders aufmerksam, wenn jemand versucht, sie an ihrem wunden Punkt zu packen.

Umfrage

Bettina Stark-Watzinger

Bundesbildungsministerin Bettina Stark-Watzinger hat sich für Zivilschutzübungen an Schulen ausgesprochen. Damit sollen Schüler besser auf den Kriegsfall, Pandemien und Naturkatastrophen vorbereitet werden. Was halten Sie davon?

Ergebnis anzeigen
loading