Social Engineering

Cyberattacke am Arbeitsplatz

11.08.2015
Peter Ilg ist freier Journalist in Aalen.

Auftragsarbeit Cyberattacke

Nach der Wahrnehmung des Security-Experten hätten Unternehmen wohl erkannt, dass Social Engineering eine große Bedrohung für sie ist. Deshalb beauftragen sie Unternehmen wie Secunet damit, fingierte Angriffe durchzuführen. "Tendenziell sind das große Unternehmen und Behörden, ab 5000 Mitarbeitern aufwärts", so Reimers. Damit die Privatsphäre gewahrt bleibt, offenbart Secunet dem Auftraggeber keine Namen von Mitarbeitern, die ihnen Tür und Tor öffnen. "Über die Tests wird dann in der Mitarbeiterzeitung berichtet, um zu sensibilisieren." Manche Unternehmen beauftragen Reimers mit Awareness-Kampagnen, die dasselbe Ziel haben. In diesen Schulungen erleben die Mitarbeiter, wie dreist Social Engineers vorgehen.

Ein Beispiel. Ein gutaussehende junge Dame mit schwerem Gepäck, die auf die Eingangspforte zuläuft und deren Mitarbeiterausweis halb verdeckt unter der luftigen Bluse steckt, hat große Chancen, dass ihr die Tür aufgehalten wird - ohne Kontrolle versteht sich. Auf dem Gelände verliert die Dame dann mit Trojanern präparierte USB-Sticks oder legt Zeitungen aus, denen CDs beigelegt sind. Auch die enthalten bösartige Codes.

Dass Schutz vor Social Engineering notwendig ist, belegt eine Studie des Hightech-Verbands Bitkom. Danach ist die Hälfte aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. "Social-Engineering-Angriffe sind meist so professionell, dass ein Angreifer sehr gute Chancen hat, erfolgreich zu sein. Daran ändert bislang auch nichts, dass die Mitarbeiter nach negativen Erfahrungen der Unternehmen immer mehr für das Thema sensibilisiert sind", sagt Marc Fliehe, IT-Sicherheitsexperte bei Bitkom. Etwa 20 Prozent der Befragten registrierten Fälle von Social Engineering.

Sensibilisierung gegen Social Engineering

Die Dunkelziffer ist sehr viel höher, denn "die meisten Angriffe werden nicht bemerkt", sagt Dirk Fox. Er ist Geschäftsführer bei Secorvo in Karlsruhe. Auch dieses Unternehmen ist spezialisiert auf IT-Sicherheit. Es führt allerdings keine Social-Engineering-Tests durch. "Ich halte es für gefährlich, das Vertrauen der Mitarbeiter auszunutzen, Misstrauen gegenüber Mitarbeitern aufzubauen und ihnen dann noch den Spiegel vorzuhalten. Andererseits erwartet man freundliches Auftreten gegenüber Kunden." Das passt seiner Meinung nach nicht zusammen. Awareness-Kampagnen aber bietet Secorvo auch an.

Social-Engineering-Angriffe sind nach Kenntnissen von Fox sehr erfolgreich. "Ein gut gemachter Angriff führt zu 100 Prozent zum Ziel." Das würden Tests belegen, die im Auftrag von Unternehmen durchgeführt wurden. Oder die einzelnen Fälle, in denen Mitarbeiter von Secorvo Social Engineering festgestellt haben. Zum Beispiel, als ein scheinbarer Lieferant mit dessen E-Mail-Adresse an die Buchhaltung schrieb, die Kontonummer habe sich geändert. Rechnungen sollen bitte künftig auf folgendes Konto überwiesen werden. Die aktuelle Rechnung war der Mail angeheftet. (fm)