Was ist Social Engineering?
Social Engineering ist ein Angriff mit dem Ziel, das Verhalten von Menschen im Sinne der Angreifer zu manipulieren. Ein Gegensatz wird zu technischen Angriffen hergestellt, die beispielsweise aus dem Knacken eines Safes oder dem Ausnützen von Lücken in der Sicherheit von Computersystemen bestehen.
Die Methode des Social Engineering ist wohl so alt wie die Menschheit. Sie erhält in der Sicherung von Unternehmen und Organisationen deshalb heute mehr Aufmerksamkeit, weil ein manipulierter Mitarbeiter mit den heute verfügbaren Systemen sehr schnell einen großen Schaden anrichten kann, bevor noch Gegenmaßnahmen ergriffen werden können.
Ein Beispiel für Social Engineering
Sind technische Angriffe auf Computersysteme, Gebäude oder das Finanzsystem nicht gefährlicher als das Problem mit dem Social Engineering? Der sogenannte CEO-Fraud zeigt eindrücklich, dass dem keineswegs so ist. Bei diesem Betrug erhält ein entsprechend berechtigter Mitarbeiter eine gut gefälschte Anweisung des CEO des Unternehmens, die Überweisung einer großen Summe auf ein bestimmtes Konto zu veranlassen und darüber Stillschweigen zu bewahren. Vor einigen Jahren hat der österreichische Zulieferer für die Luftfahrtindustrie FACC in einem so eingefädelten Betrug die Summe von 50 Millionen Euro verloren.
Das Risiko von Social Engineering für Sicherheitspersonal
Neben allen Maßnahmen für die informationstechnische Sicherheit darf nicht vergessen werden, dass eine effektive Zugangskontrolle zu wichtigen Teilen einer Organisation eines entsprechend geschulten Sicherheitspersonals bedarf. Dieses ist durch Social Engineering angreifbar und diesem auch oft ausgesetzt, weil ein physischer Zugang zum Unternehmen erheblich bessere Möglichkeiten für Angriffe auf das Computersystem oder andere Bereiche bietet.
Es ist also ständig damit zu rechnen, dass Unberechtigte sich für berechtigte Personen ausgeben und dabei einen unbegrenzten Einfallsreichtum entfalten werden.
Wie schützt man Sicherheitspersonal vor Social Engineering?
- Eine sorgfältige Analyse muss festlegen, was genau zu schützen ist und welche Überprüfungen ohne Ausnahme durchzuführen sind.
- Es sollte überlegt werden, welche Methoden und bereits bekannten Tricks des Social Engineering für die Überwindung der konkret nötigen Kontrollen zum Einsatz kommen könnten. Damit sollten auch Berater von außen befasst werden, weil diese das Problem der Betriebsblindheit überwinden können.
- Schritte zur Gewährleistung von Sicherheit müssen genauso wie alle anderen Tätigkeiten regelmäßig geübt werden. Das Sicherheitspersonal muss also immer wieder mit Pentestern konfrontiert werden. Das sind ihnen unbekannte Personen, die im Auftrag der Organisation die bestehenden Sicherheitsmaßnahmen auszuhebeln versuchen.
- Last but not least muss das Sicherheitspersonal das Gefühl der Wertschätzung für seine Arbeit bekommen. Diese wird nur dann mit der gebotenen Aufmerksamkeit erledigt werden, wenn ihre Bedeutung für das Unternehmen allen Beteiligten klar gemacht wird. Die Kosten für solche Maßnahmen sind viel niedriger als diejenigen für eine Bereinigung eines erfolgreichen Angriffs.
Bilder: pixabay.com (Free-Photos), stock.adobe.com (Andrey Popov)