Hacker-FAQ

Fragen und Antworten zum Ethical Hacking

15.10.2015 von Martin Stemplinger
Um ihre Systeme auf Sicherheitslücken prüfen zu lassen, können Unternehmen Ethical Hacker anheuern. Was damit gemeint ist, warum die Nachfrage nach solchen Dienste steigt und was Anwender dabei beachten müssen, zeigen die Antworten auf folgende Fragen.

Was versteht man unter "Ethical Hacking"?

Ethical Hacker sind Sicherheitsexperten, die Hackerangriffe auf die Systeme von Unternehmen und Behörden simulieren, um zu testen, ob die jeweilige Konfiguration dem Angriff standhalten kann. Mit Hilfe von sogenannten Penetrationstests identifizieren die externen Experten Sicherheitslücken und Angriffsmöglichkeiten. Sie helfen, sie zu schließen, bevor kriminelle Hacker darauf aufmerksam werden. Ethical Hacker werden daher auch als Penetrationstester, kurz Pentester, bezeichnet.

Um welche Arten von Hackerangriffen geht es dabei?

Die Angriffsszenarien ändern sich ständig. Bei kriminellen Hackern liegen derzeit Phishing-Attacken und Social Engineering im Trend. Um sich nicht aufwändig durch die Sicherheitsmechanismen des Unternehmens hangeln zu müssen, schleusen sich die Angreifer über Fake-Mails mit präparierten Word- oder PDF-Anhängen oder Webseiten, auf denen sich Schadsoftware versteckt, ins Firmennetzwerk ein: Beim Öffnen des Anhangs oder dem bloßen Aufruf der Webseite installiert sich die Schadsoftware automatisch und für die Nutzer unbemerkt, sobald der Nutzer online ist. Beliebte Angriffsziele sind auch mobile Endgeräte, die mit dem Firmennetzwerk verbunden sind.

Die 12 Typen des BYOD-Mitarbeiters
Die 12 Typen des BYOD-Mitarbeiters
Viele Mitarbeiter nutzen BYOD schon. Dabei haben sich im Alltag einige Typen herauskristallisiert. Wer BYOD voran getrieben hat und wer BYOD ausnutzt, erfahren Sie hier.
1. Die Millennials
Die Generation Y ist schuld daran, dass BYOD überhaupt gestartet ist. Immer mehr Millennials kommen von der Uni in der Arbeitswelt an. Sie fordern von IT und Management, dass sie ihre eigenen Geräte im Beruf nutzen dürfen - und nicht etwa einen zwei Jahre alten Blackberry. Das wäre nicht mal retro. Die Millennials arbeiten lieber flexibel und zu ungewöhnlichen Zeiten, auch mal am Wochenende. Dafür dürfen sie dann auch während der Arbeitszeit privat surfen. Dass Privates und Berufliches immer mehr miteinander verschmelzen, ist ihnen egal und vielleicht sogar recht.
2. Die Techies
Techies sind begeistert von BYOD. Noch bevor es BYOD gab, hatten sie immer schon eigene Geräte im Unternehmen am Laufen - nur hatte sich niemand dafür interessiert. Der Techie hat, was BYOD angeht, klare Vorlieben: Android vor Apple. Die Marke mit dem Apfel, mitsamt den iPads und iPhones, ist ihnen zu simpel. Android dagegen bietet den Techies viel mehr Möglichkeiten und hat ein paar nette Apps, die Technikfans lieben, etwa Software, die eine Fernsteuerung ermöglichen und andere IT-Funktionen.
3. Die CEOs
Die CEOs sind auch in Sachen BYOD die Chefs. Sie wollen ein bestimmtes Gerät nutzen, das die Firmensoftware eigentlich nicht unterstützt? Da sollte sich die IT besser ranhalten. Der Entscheider bestimmt auch bei diesen Geräten, wo es langgeht. Der Geburtsort von BYOD ist obersten Stockwerk des Unternehmens anzusiedeln.
4. Die Generation X
Nicht jeder Mitarbeiter mag BYOD oder kommt damit zurecht. Trotzdem verdonnern einige Firmen ihre Mitarbeiter dazu. Eine Umfrage von Gartner unter CIOs hat ergeben, dass 2017 die Hälfte aller Arbeitgeber ihre Mitarbeiter dazu zwingen, ihre eigenen Geräte zu nutzen. Sie müssen das teure Smartphone und das kompatible Notebook selbst anschaffen. Wie gut die Generation X damit zurecht kommt, ist vielen Firmen egal.
5. Die Sales-Mitarbeiter
"Darf ich Ihnen die neue Präsentation auf dem neuen iPad mit Retina-Display zeigen?" Ein Satz, den man von Sales-Mitarbeitern garantiert häufiger hört. Zwar wurden in den Anfangsjahren des Tablet-Hypes die Geräte noch von den Firmen gestellt. Inzwischen erwarten die Unternehmen, dass die Mitarbeiter sich selbst um die Geräteanschaffung kümmern. Die tun das auch prompt. Die Präsentation ist einfach zu schön mit einem Tablet. Der Trend: Sales-Mitarbeiter und BYOD ist bald Selbstverständlichkeit.
6. Die Stundenarbeiter
In Deutschland das gängige Modell: Die 36-Stunden-Woche. Wer, anders als Führungskräfte, nicht nur nach Leistung, sondern auch auf Zeitbasis bezahlt wird, bekommt meistens kein Gerät von der Firma. Die Stundenarbeiter, die dem deutschen Durchschnittsarbeiter entsprechen, nutzen BYOD mit Begeisterung. Sie genießen damit deutlich mehr Freiheiten. Andererseits: So bekommen sie auf einmal E-Mails nach Feierabend, wenn sie sich schon längst ausgestempelt haben.
7. Die chronischen Nörgler
"Das ist doch alles Mist, so kann das nicht funktionieren, ich mache da nicht mit." Kennen Sie diesen Satz? Dauernörgler gibt es in jedem Unternehmen. Sie sind mit nichts zufrieden - vor allem nicht mit BYOD. Dabei waren sie eine der treibenden Kräfte hinter dem Ganzen. Unbedingt wollten sie ihre eigenen Geräte nutzen, weil sie nicht ständig zwei Smartphones herum schleppen wollten. Jetzt beschweren sie sich, dass sie Sicherheitsbestimmungen einhalten müssen und auf den Geräten nicht jede Anwendung laufen lassen dürfen, die sie wollen.
8. Die Sozialen Netzwerker
Wer ständig auf Facebook, Twitter und Co. unterwegs ist, liebt BYOD. Der Typus "Sozialer Netzwerker" ist für Firmen ein großes Problem: Sie fürchten, dass die Produktivität der Mitarbeiter sinkt. Einige Unternehmen verbieten daher die Facebook-App.
9. Die schwarzen Schafe
In den falschen Händen kann BYOD katastrophal sein. Eines ist sicher: In jeder Firma gibt es Angestellte, die gern woanders arbeiten möchten. Verlassen sie die Firma, nehmen sie gern vertrauliche Daten mit. BYOD erleichtert es ihnen, Informationen zu stehlen, schließlich verschwimmen persönliche und berufliche Informationen auf den Geräten und die Nachverfolgung wird schwieriger. Diese Gefahr war zwar früher nicht kleiner, heute fällt der Informationsklau im Unternehmen aber leichter.
10. Die Freelancer
Selten stellt den Freelancern die Firma ein Gerät zur Verfügung. Das war vielleicht mal - heute wird erwartet, dass der Freelancer schon alles hat. Die meisten arbeiten lieber mit ihren eigenen Geräten, als sich von anderen etwas aufdrücken zu lassen. Fremdbestimmt arbeiten mag der Freelancer überhaupt nicht.
11. Die Home Office Mitarbeiter
Wer zum Teil oder ganz von zuhause aus arbeitet, für den ist BYOD ohnehin schon Alltag. Anstatt sich vor das kleine Firmen-Laptop zu quetschen, arbeitet man lieber bequem vorm großen Bildschirm aus. Wenn das Firmentelefon immer auf das Smartphone umgeleitet ist, nimmt man doch lieber gleich das Privathandy.
12. Die CIOs
Er hat den Überblick über alle Geräte im Unternehmen: der CIO. Zumindest sollte er ihn haben, denn er ist dafür verantwortlich, dass BYOD funktioniert. Er muss sich zunächst um eine Policy kümmern, die eine Balance zwischen dem Sicherheitsbedürfnis der Firma und der Wahrung der Privatsphäre der Mitarbeiter darstellt. Zudem muss der CIO eine schöne neue Welt basteln aus mobiler Device-Management-Software, Sicherheits-Tools, Know-how unterschiedlichster Geräte, Enterprise-App-Stores und sozialen Support-Netzwerken statt der traditionellen Help Desks. Gleichzeitig muss er mit der Personal-, der Rechts- und der Finanzabteilung sowie den Fachbereichen zusammenarbeiten. Viel Glück!

Wie gehen Ethical Hacker vor?

Wichtig ist zunächst eine umfassende Sicherheitsanalyse als Bestandteil des Sicherheitsmanagements im Unternehmen. Diese zielt darauf ab, Bedrohungen mit Hilfe von Penetrationstests und Vulnerability Scans zu erkennen, ihre Eintrittswahrscheinlichkeit und ihr Schadenspotenzial einzuschätzen und daraus die Risiken für das Unternehmen abzuleiten.

Welche Methoden setzen Ethical Hacker ein?

Der Penetrationstest ist das wichtigste Instrument des Ethical Hacking. Er beinhaltet alle gängigen Methoden, mit denen Hacker versuchen, unautorisiert in ein System oder Netzwerk einzudringen (Penetration). Der Penetrationstest bildet dabei möglichst viele bekannte Angriffsmuster nach und ermittelt so, wie anfällig das System für derartige Angriffe ist. Penetrationstests werden systematisch vorbereitet, geplant und durchgeführt. Im Gegensatz zum automatisch ablaufenden Vulnerability Scan sind manuelle Tests dabei besonders wichtig.

Was ist der Unterschied zwischen einem kriminellen und einem "ethischen" Hacker?

Der Pentester unterscheidet sich in den Methoden nicht von einem "echten" Hacker. Der wesentliche Unterschied ist die Intention des Angriffs: Während kriminelle Hacker betrügerische Absichten hegen, nutzen "ethische" Hacker den Angriff zum Aufdecken von Sicherheitslücken - und werden dafür vom Kunden bezahlt. Einige bevorzugen daher auch Bezeichnungen wie Pentester oder Security Consultant, um sich von den Hackern mit bösen Absichten abzugrenzen.

Ob "ethisch" oder nicht - Hacker arbeiten so, wie Hacker eben arbeiten.
Foto: Brian A Jackson - shutterstock.com

Welche Schwachstellen lassen sich über simulierte Attacken aufspüren?

Prinzipiell lassen sich nahezu alle Schwachstellen aufspüren. Besonders wichtig sind natürlich Schwachstellen, die den Zugriff auf schützenswerte Daten ermöglichen wie beispielsweise ein unerlaubtes Ändern der Konfigurationseinstellungen oder das Einschleusen von Schadsoftware über Phishing-Mails. Solche Risiken nehmen zu - nicht nur in Unternehmen, sondern auch in Fahrzeugen, die sich zunehmend zu rollenden Computern wanden. Schon heute verfügt ein neueres Modell über eine Vielzahl von softwaregesteuerten Steuerungssystemen und Infotainment-Funktionen. Ab 2018 ist in Europa eine fest installierte SIM-Karte für Neuwagen Pflicht.

Wie gehen Pentester bei einem vernetzten Fahrzeug vor?

Um ein vernetztes Fahrzeug zu testen, müssen alle im Innern des Wagens zugänglichen Schnittstellen unter die Lupe genommen werden - etwa Bluetooth- und USB-Ports sowie DVD-Laufwerke -, aber auch externe Verbindungen wie mobile Netzwerke oder Ladestecker. Hinzu kommen die externen Systeme, die mit dem Fahrzeug verbunden sind - zum Beispiel die Laptops von Wartungstechnikern und die Server der Infotainment-Anbieter.

Wie sieht es in der Finanzbranche aus?

Finanzinstitute wie Banken und Versicherungsunternehmen verfügen über eine Vielzahl wertvoller und hoch sensibler Kundendaten, was sie zu einem der begehrtesten Ziele für Hacker und Cyberkriminelle macht. Ethical Hacker von BT sind beispielsweise bereits seit rund 20 Jahren für die Branche im Einsatz und haben in dieser Zeit zahlreiche Schwachstellen aufgedeckt - und geholfen sie zu schließen. So gelang es den Pentestern unter anderem, Zugang zu Datenbanken mit zehntausenden von Kreditkartennummern zu bekommen, sie konnten Geldbeträge zwischen unautorisierten Testkonten transferieren und firmeneigene Verschlüsselungsverfahren durch "Reverse Engineering" überwinden. Ein Klassiker ist natürlich auch in dieser Branche das Phishing: So konnten unsere Sicherheitsexperten sich mit Hilfe gefälschter E-Mails, die von arglosen Mitarbeitern geöffnet wurden, Administratorenrechte verschaffen.

So gehen die Phishing-Betrüger vor

Mit einer täuschend echt aussehenden Ebay-Anfrage und der Drohung, die Polizei ein zuschalten, erreichen die Phishing-Betrüger, dass das Opfer antwortet.

Klickt man auf den Antwort-Button, ...

... kommt man auf eine ebenfalls gefälschte Ebay-Eingabemaske.

Sogar angebliche Auktionsteilnahmen sind gefälscht..

Nach der Anmeldung auf der gefälschten Seite wird man auf eine reguläre Ebay-Seite weitergeleitet. Die läuft allerdings ins Leere. Aber so bemerken die Phishing-Opfer den Datendiebstahl womöglich gar nicht.

Nun sind die Betrüger im Besitz der Zugangsdaten und können mit dem gekaperten Ebay-Account jede Menge Unheil anrichten.

Ist Ethical Hacking legal?

Grundsätzlich ist das unautorisierte Eindringen in ein Firmennetzwerk in Deutschland eine Straftat. Zulässig ist Ethical Hacking nur, wenn der Auftraggeber ausdrücklich sein Einverständnis erklärt, dass in seinem Unternehmen Sicherheitsanalysen und Penetrationstests vollzogen werden. Diese Erklärung sollte von einer vertretungsberechtigten Person im Unternehmen - etwa dem Geschäftsführer oder Prokuristen - stammen. Mit einer entsprechenden Vollmacht kann auch der IT-Leiter die offizielle Zustimmung zum Ethical Hacking erteilen.

Was sollte im Dienstleistungsvertrag geregelt sein?

Geregelt werden sollte, wann und in welchem Zeitraum die Penetrationstests und Analysen stattfinden. Weitere wichtige Punkte sind Risikoklassifizierungen der Tests, eingesetzte Techniken (Netzwerkzugang, physischer Zugang, Social Engineering etc.), die Abgrenzung zu Systemen, die von den Tests ausgeschlossen sind sowie Angaben über Aggressivität und Umfang der Tests. Enthalten sein muss auch eine Geheimhaltungsklausel, da Ethical Hacker unter Umständen Einblick in vertrauliche Unternehmensinformationen bekommen.

Welche juristischen Feinheiten müssen Unternehmen beachten?

Der Auftraggeber kann seine Zustimmung nur für Bereiche erteilen, die sich unter seiner Hoheit befinden. Es muss vor Beginn der Sicherheitsanalysen und Penetrationstests auf beiden Seiten Klarheit über den Testgegenstand bestehen. Das ist vor allem wichtig, wenn es sich um Systeme handelt, die von Dritten betrieben werden - etwa Teile der IT-Infrastruktur oder des Rechenzentrums.

Woran erkennt man einen seriösen Anbieter?

Ein seriöser Anbieter klärt seinen Auftraggeber im Vorfeld über mögliche Risiken für den laufenden Betrieb auf und besteht auf einem für beide Seiten verbindlichen Vertrag. Unnötig zu sagen, dass der Pentester erst mit der Arbeit beginnt, wenn der Auftraggeber seine ausdrückliche Zustimmung für die Analysen und Tests erteilt hat, und dass er das Vorgehen eng mit dem Auftraggeber abstimmt. Es empfiehlt sich, nicht mit Hackern zusammenzuarbeiten, die eine kriminelle Vergangenheit haben. Eine Hilfestellung bei der Auswahl eines geeigneten Anbieters bieten auch Zertifizierungen wie die von CREST.

Ist die Sicherheit mit der Behebung aller Schwachstellen wiederhergestellt?

Die IT-Abteilung wird natürlich alles daran setzen, aufgedeckte Schwachstellen gemeinsam mit dem Pentester so schnell wie möglich zu schließen. Zusätzlich muss untersucht werden, ob kriminelle Hacker die Schwachstellen bereits ausgenutzt haben, zum Beispiel indem sie Fernsteuerungssoftware installieren, um eine dauerhafte Kontrolle über das System zu erhalten. Solche Programme lassen sich sogar von Experten schwer ausfindig machen. Da kaum ein Softwaresystem über einen längeren Zeitraum unverändert bleibt und ständig neue Schwachstellen und Angriffsmethoden bekannt werden, ist es unabdingbar, die Pentesting-Attacken in regelmäßigen Abständen oder nach größeren Änderungen der Systeme zu wiederholen.

Können Pentests den laufenden IT-Betrieb beeinträchtigen?

Je nach Art und Umfang kann die Arbeit des Ethical Hackers zu Störungen des IT-Betriebs führen. Er sollte daher immer über Notfallnummern erreichbar sein. Zudem sollte der Dienstleister den Kunden über mögliche Risiken für den laufenden Betrieb im Vorfeld aufklären und die Tests z.B. nachts oder am Wochenende durchführen. Besonders riskante Angriffsmethoden oder kritische Systeme lassen sich aus dem Vertrag ausschließen oder auf Testsystemen durchführen. Allerdings sollte man die Risiken sorgfältig gegeneinander abwägen: Ein Test, der hochkritische Systeme außer Acht lässt, ist nur bedingt aussagekräftig.

Wie lässt sich Ethical Hacking im Unternehmen kommunizieren?

Das kommt darauf an - etwa auf die Intention der Geschäftsleitung: Will sie mit Hilfe der externen Tester die eigene IT-Abteilung auf den Prüfstand stellen? Oder ist die IT-Abteilung über den Auftrag informiert und verspricht sich davon Unterstützung? Von solchen Fragen hängt es ab, wie man einen Ethical-Hacker-Einsatz intern kommuniziert.

Wie groß ist die Nachfrage nach Pentesting?

Der Bedarf steigt. Durch die zunehmende Vernetzung werden betrügerische Hackerangriffe immer häufiger - und immer gefährlicher. Diese Botschaft ist in den meisten Unternehmen und Behörden mittlerweile angekommen. Früher wurden Pentesting-Dienste vorwiegend von Unternehmen, die mit sensiblen Daten arbeiten, in Anspruch genommen - etwa von Finanzdienstleistern oder E-Commerce-Anbietern. Mit dem Internet der Dinge und der fortschreitenden Vernetzung müssen sich jedoch auch andere Branchen verstärkt vor Hackerangriffen schützen. Ethical Hacking ist daher für alle Unternehmen eine probate Methode, mögliche Sicherheitslücken eines Produktes oder Angebots vor dem Markteintritt zu erkennen.

Wie Sie Social Engineering erkennen
Social Engineering bekämpfen
Die Gefahren durch Social Engineering treffen sogar erfahrene IT-Profis. Auch wenn es keine Standard-Gegenmittel gibt, geht es in erster Linie darum, die Methoden der Angreifer zu verstehen. Dann ist der Kampf schon halb gewonnen. Wir zeigen sieben perfide Wege, über die Social Engineers an ihre Daten und ihr Geld wollen.
Der "vergessene" USB-Stick
Oops, da hat doch glatt jemand einen Stick liegengelassen. Na, wollen wir mal schnell schauen, wem er gehört - also am besten eben an den Rechner gesteckt ... <br /><br />Dieser alte Bauerntrick ist immer noch einer der erfolgreichsten Angriffe auf Unternehmen. Auch wenn Microsoft beispielsweise das automatische Starten von Anwendungen auf USB-Sticks unter Windows unterbindet, helfen kreative, Neugier weckende Dateinamen enorm, unvorsichtige Mitarbeiter zum Klicken zu bewegen. Unternehmen bleibt nur, USB-Ports komplett zu sperren oder - sinnvoller - ihre Mitarbeiter entsprechend zu schulen.
Perfekt gefälschte Phishing-Mails
Den meisten Phishing-Mails sieht man ihre Herkunft: Schlecht formatiert, grausame Ausdrucksweise, billiges Zum-Klicken-Auffordern. Dennoch gibt es immer wieder Exemplare, die vortäuschen, von der Bank, der Krankenkasse, der Versicherung oder der Personalabteilung zu kommen und die ängstliche Mitarbeiter schnell am Haken haben. Dann genügt ein Klick, un das gesamte Unternehmensnetz ist infiziert. Dabei ist es gar nicht so schwer, Phishing-Mails zu erkennen - und seien sie noch so gut gemacht. Sobald das Ziel der Mail ist, einen Link zu klicken, persönliche Daten zu überprüfen oder einzugeben, sollte die Mail ganz schnell in Ablage P landen.
Mails von "Freunden" und "Kollegen"
Im Gegensatz zum generischen Phishing richtet sich Spear Phishing ganz gezielt gegen Einzelne oder eine kleine Gruppe von Menschen. Beliebt unter Angreifern ist es, in sozialen Netzen nach Opfern Ausschau zu halten, sie nach ihren Hobbys und Tätigkeiten auszuspionieren. Anschließend werden maßgefertigte Phishing-Mails entworfen und versendet - hier stimmt die Anrede, der Name der adressierten Firma und häufig auch der Anhang, der als Brief eines Arbeitskollegen oder flüchtigen Bekannten getarnt wird. Der Erfolg dieser Aktion ist natürlich höher als beim generischen Phishing. Was hilft? Konsequentes Misstrauen, persönliches Nachfragen beim vermeintlichen Absender und das Ignorieren aller E-Mail-Anhänge.
Telefonanrufe
Talentierte Angreifer schaffen es spielend, per Telefon persönliche Informationen aus einem Menschen herauszukitzeln, ohne dass dieser es überhaupt mitbekommt. Wer also von der "IT-Abteilung" angerufen wird, um ein Passwort zu verifizieren oder von der "Versicherung", seine Adresse zu bestätigen, sollte vor allem eins tun: Sich die Nummer aufschreiben und den sofortigen Rückruf anbieten. Alternativ den Anrufer über die Dinge ausfragen, die der bereits wissen müsste, wenn er der ist, für den er sich ausgibt. Grundsätzlich gilt: Sensible Informationen, vor allem Passwörter, niemals per Telefon weitergeben!
Physische Sicherheit des Büros
Ziehen Sie die typische Kleidung einer Firma an, tun Sie so, als gehörten Sie dazu und schmuggeln Sie sich in die Mitarbeitergruppe, die gerade aus der Raucherpause zurück ins Innere des Unternehmensgebäudes bummelt. Zack, schon sind Sie drin!<br /><br /> Da kann die Technik noch so sicher sein, gegen solches unbefugtes Eindringen sind vor allem große Unternehmen oft schlecht gefeilt, weil dort eben nicht jeder jeden kennt. Bläuen Sie Ihren (Empfangs-)Mitarbeitern ein, dass sie nach gefälschten Mitarbeiterausweisen Ausschau halten und sich gerade unbekannte Personen genauer ansehen.
Der freundliche Supportmitarbeiter
Ihn hatten wir schon beim Punkt "Telefonanrufe". Der Fake-Anruf aus dem IT-Support oder direkt vom Hersteller, weil das letzte Update des Betriebssystems noch final verifiziert werden muss, etwas mit der Systemkonfiguration nicht stimmt oder der bestellte neue Rechner gleich kommt und vorher noch etwas am alten System zu tun ist. Sobald jemand den Fremdzugriff (Remote Access) auf Ihren Computer haben möchte, sollte er einen guten Grund haben. Und nein, Microsoft ruft niemanden persönlich an, um etwas bei Windows zu korrigieren. Sagen Sie das den Mitarbeitern!
So schützen Sie sich vor Social Engineering
Die Psychotricks des Social Engineering
Moderne Social-Engineering-Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar. Wir zeigen Ihnen, mit welchen Psychotricks die Cyberkriminellen arbeiten.
Grundlegende Bedürfnisse
Beim Social Engineering geht es nicht um technische Machbarkeiten und Möglichkeiten. Der Social Engineer greift über grundlegende Bedürfnisse an. Hilfsbereitschaft. Leichtgläubigkeit, Neugier, (Wunsch nach) Anerkennung - er baut Druck auf und verbreitet Angst. Weil viele Menschen nach dem Motto "bloß kein Streit" verfahren, ist diese Strategie oft erfolgreich.
Soziale Eigenschaften
Unsere sozialen Eigenschaften können unsere sozialen Einfalltore sein. Nicht nur die Einschätzung Fremder bereitet vielen Menschen Probleme. Meist sind sie auch nicht in der Lage, ihre eigenen kommunikativen Stärken einzuschätzen. Ist es die Anerkennung oder womöglich Druck, mittels derer die Angreifer zum Ziel kommen?
Der Reiz des Verbotenen
Beim Social Engineering versuchen Angreifer Mitarbeiter von Unternehmen auszuhorchen oder zu Fehlhandlungen zu verleiten. Sie dazu zu bringen, Dinge zu tun, die sie nicht tun sollten. Ziel der Angreifer ist es, an Informationen zu gelangen, um Wirtschaftsspionage zu betreiben oder Geld zu ergaunern.
Digitale Kommunikation
Der souveräne Umgang mit Kommunikationsmedien und –kanälen führt zunehmend zu einer Auflösung der Unterscheidung von analoger und digitaler Kommunikation. Analoge Kommunikation bedient sich verschiedener Kanäle: verbal (Sprachinhalt), non-verbal (Körpersprache, Mimik, Gestik, Kleidung, Duft) und para-verbal (Sprechgeschwindigkeit, Stimmlage, Lautstärke). Digitale Kommunikation beschränkt sich häufig auf den Inhalt und Videotelefonie gaukelt vor, dass alle Sinne beteiligt sind. Das sind sie nicht. Deshalb ist digitale Kommunikation ein Risiko im Kontext von Social Engineering.
Falsche Tatsachen
Märchen bieten gestern wie heute geeignete Bilder fürs Social Engineering. In ‚Der Wolf und die sieben Geißlein‘ werden sogar Methoden beschrieben, die denen eines Social Engineers ähneln, beispielsweise geweißte Pfoten und erhöhte Stimme. Wenn wir uns dem Thema Social Engineering stellen, wird uns bewusst, dass Menschen sich im Verlaufe einer Entwicklung als ganz andere entpuppen können als vormals geglaubt. So anders, dass sich unsere Situation schlagartig und drastisch verändern kann.
Wirksamer Schutz vor Social Engineering
Basierend auf den Studienergebnissen setzt ein sinnvoller und funktionierender Schutz vor Social Engineering auf drei Ebenen an: 1. Bewusstsein für das eigene Kommunikationsverhalten entwickeln 2. Identifikation von relevanten sozialen Eigenschaften 3. Entwicklung einer geeigneten Sicherheits- und Unternehmenskultur