SOCIAL ENGINEERING ALS REALE BEDROHUNG!

Was ist Social Engineering?

Als Social Engineering bezeichnet man Angriffe, die nicht auf einen Computer, sondern dessen Benutzer gerichtet sind, z.B. mit dem Ziel, Login-Daten oder Passwörter auszuspähen. Den Kontakt stellen die Angreifer (Social Engineers) per Mail, am Telefon, in der Kneipe, im Urlaub,  durch einen Besuch in der Firma etc. her.

Bei technischen Angriffen mittels Software-Programmen können zwar auf einen Schlag tausende Computer angegriffen werden, die Erfolgschancen sind aber gering. Beim Social Engineering liegen sie deutlich höher, an die erhofften Informationen zu kommen. Nach neuesten Studien gehen den technischen ca. 85 % Social Engineering-Angriffe voraus!

Eine psychologische Untersuchung, die u.a. von der Fachzeitschrift kes vorgenommen wurde, sieht vor allem die Unternehmen in der Pflicht. Sie müssten durch Schulungen, Vorbilder und ein motivierendes Umfeld die Voraussetzungen dafür schaffen, dass nicht nur die Technik, sondern der "human firewall" genannte menschliche Schutzwall weniger durchlässig wird.

Viele Mitarbeiter, das brachte die Studie ans Licht, wissen nicht, wo ihr wunder Punkt liegt. Treffen ihn die Angreifer, denkt der Attackierte gar nicht daran, dass alles nur zum Schein geschieht. Dass man ihn nur dazu bringen will, Dinge zu tun, die er unter normalen Umständen niemals tun würde, das vergisst er dann. Genau darauf hat es der Angreifer abgesehen.

Einfache Lösungen für dieses Problem gibt es nicht. Es gibt nur eine effektive Maßnahme: Das Bewusstsein des Einzelnen durch Trainings zu schärfen und Opfer von Social Engineering-Angriffen nicht als Täter zu brandmarken. Chefs, die ihre Mitarbeiter immer nur unter Druck setzen, aber nie loben, müssen sich auch nicht wundern, wenn diese anfälliger sind für soziale Manipulation.

Dass Unternehmen keine Auskunft darüber geben wollen, ob ihre Mitarbeiter auf Angreifer hereingefallen sind, hat einen guten Grund: Angreifbar zu sein, schadet dem guten Ruf einer Firma.

Innovative Mittelständler mit High-Tech-Produkten stehen ganz oben auf der Angriffsliste. Über die ausgespähten Passwörter versuchen die Angreifer an Forschungsergebnisse, Entwicklungen, Kundendaten oder Kalkulationen zu kommen. Meist sind es Wettbewerber, die sich mit leicht beschafftem Wissen einen großen Wettbewerbsvorsprung verschaffen wollen. Und häufig agieren die Angreifer im Auftrag europäischer, asiatischer oder russischer Firmen und deren Nachrichtendienste. Aber auch Informationsbeschaffung mit dem Ziel, Unternehmen zu erpressen, stehen im Fokus des Social Engineers.

„Die meisten werden Opfer ihrer Hilfsbereitschaft!“

Warum? Weil der Mensch anderen Menschen zunächst vertraut. Wir sind dazu erzogen, freundlich, höflich und hilfsbereit zu sein. Diese Eigenschaften begünstigen Social-Engineering-Angriffe, und der Angreifer nutzt diese Eigenschaften gnadenlos aus. Dabei kennt er weder Grenzen, Skrupel noch Scham. Für Ihn zählt nur der zweifelhafte Erfolg, das Ziel. Das Schicksal des Opfers spielt für ihn dabei keinerlei Rolle.

SOCIAL ENGINEERING IN-HOUSE-SENSIBILISIERUNGS-TRAINING

Ziel des „SE-Trainings“ ist die Sensibilisierung und Verhaltensänderung der Kursteilnehmer. Um diese zu erreichen, müssen die positiven Emotionen der Mitarbeiter, der Menschen für dieses Thema erreicht und geweckt werden. Motivation weckt man durch Sensibilisierung. Der wichtigste Grund, um Social Engineering Einhalt zu gebieten, ist der Erhalt des Arbeitsplatzes. Und der ist nur sicher, wenn alle vertraulichen Informationen bei den Mitarbeitern sicher sind.