Social Engineering

Freundliche Gespräche können die Firewall beschädigen

NEUER KOMMENTAR
Beitrag teilen

Kriminelle nutzen Spähsoftware und Plaudereien mit Mitarbeitern, um Firmeninfos zu sammeln. Kennen sie genug Details, treten sie als Insider auf und veranlassen die Überweisung hoher Beträge ins Ausland.

Sie kann jedes Unternehmen und jeden Beschäftigten treffen, vom internationalen Konzern bis zum Kleinbetrieb um die Ecke: Die Chefmasche, auch CEO-Fraud genannt, ist eine hochgefährliche Variante des Social Engineering. Wirtschaftskriminelle sammeln öffentliche Informationen über Firmen oder horchen – etwa beim Small Talk auf Messen – Mitarbeiter aus. So erfahren sie keine Betriebsgeheimnisse, aber genug Interna, um mit vermeintlichem Insiderwissen anderen Angestellten gegenüber als Insider aufzutreten und Überweisungen auf ihre Konten zu veranlassen. Google und Facebook wurden durch Rechnungsbetrug um 100 Millionen US-Dollar erleichtert, beim Nürnberger Autozulieferer Leoni waren es fast 40 Millionen Euro. Und im DsiN-Blog, dem IT-Sicherheitsblog für den Mittelstand von der Initiative „Deutschland sicher im Netz“, berichtet Bernd Bosch von einer 25-Mann-Firma, die durch eine gut vorbereitete Attacke fast ausgenommen worden wäre.

Auf kleine Fehler im Adressfeld der E-Mail achten

Aufgeflogen ist der Schwindel dank einer außergewöhnlich aufmerksamen Mitarbeiterin. Im Absenderfeld der angeblich vom Chef kommenden E-Mail, die für denselben Tag eine internationale Banküberweisung forderte, standen der richtige Name und die richtige Adresse. Auch bei genauem Hinsehen waren keine vertauschten Buchstaben oder Ähnliches zu erkennen. Nur die Uhrzeit machte die Dame stutzig, ihr Chef pflegte dann eigentlich zu schlafen. Sie fragte darum lieber persönlich nach, was den Betrug verhinderte. So kritische Mitarbeiter sind aber selten – eher handeln Menschen zu leichtsinnig, was einen Teil der rund 50 Milliarden Euro an Schäden erklären könnte, den Cyberattacken nach Schätzungen des Verfassungsschutzes jährlich in der deutschen Wirtschaft verursachen.

Sorgfältiger mit vertraulichen Daten umgehen

Gerade hat eine neue Studie enthüllt, wie unvorsichtig mit sensiblen Daten am Arbeitsplatz umgegangen wird und warum Social Engineering so oft zum Erfolg führt: Laut „Dell End-User Security Survey 2017“ würden fast drei Viertel der weltweit Beschäftigten unter bestimmten Umständen vertrauliche Daten an nicht autorisierte Personen weitergeben. In Deutschland sind es sogar noch mehr, nämlich 82 Prozent. Manchmal werden sensible Informationen auch in einer unsicheren Umgebung abgelegt – so geschehen im Fall eines Technologieberaters, der Zugangsdaten zu Servern seines Arbeitgebers sowie Passwörter von Vertragspartnern der US-Regierung mit hohen Sicherheitsbescheinigungen auf einem offen zugänglichen Amazon-Server zwischengelagert hat. Wertvolle Details erfahren Social-Engineering-Profis auch durch Telefonate oder Gespräche mit Angestellten, die Plaudertaschen sind; durch das Einschleusen von Spähsoftware via E-Mail oder USB-Stick; durch das Auslesen von nur einem kleinen Kreis bekannten Informationen etwa auf Bordkarten der Dienstreisenden des Unternehmens.

Mitarbeiter für Social Engineering sensibilisieren

Die Beispiele zeigen, wie viel in deutschen Unternehmen in Sachen IT-Sicherheit im Argen liegt. Firmenchefs sollten dringend gegensteuern und vor allem die Mitarbeiter verstärkt aufklären und schulen, wie Roger Tynior, Vorstand der G.U.B. Ingenieur AG in Zwickau, hier bereits empfohlen hat. Material dafür gibt es genug, etwa die Broschüre „Verhaltensregeln zum Thema ‚Social Engineering‘“. Auch Anwalt und Steuerberater können weiterhelfen. Dies setzt jedoch voraus, dass man bereit ist, Ratschläge ernst zu nehmen, statt den Trump zu machen. Der US-Präsident pfeift auf Sicherheitsbedenken der Geheimdienstleute und verteilt seine Handynummer an Staatschef, damit sie ihn nach Belieben anrufen können – direkt auf seinem iPhone und nicht wie bisher üblich über besonders gesicherte Verbindungen …