33
01/18 personalmagazin
Bei Fragen wenden Sie sich bitte an
tionen zu kommen, weil es an normale
menschliche Bedürfnisse andockt“, sagt
Psychologin Matas. „Das ist dasselbe
Prinzip wie beim Heiratsschwindler
oder Enkeltrick.“ Nur wer wisse, dass es
„Social Engineering“ gebe, könne sich
auch zur Wehr setzen. „Die meisten Ha-
ckerangriffe funktionieren aufgrund von
menschlichen Faktoren“, bestätigt auch
José Esteves, Professor für Informations-
systeme und digitale Innovation an der
IE Business School in Madrid. Haupt-
einfallstor sei „Social Engineering“, ein
weiteres der menschliche Irrtum: „Men-
schen machen Fehler“, so Esteves, der
selbst einmal Hacker war. Sie schauen
bei einer vermeintlichen E-Mail ihrer
Bank nicht genau hin und klicken auf
einen Link. „Hacker nützen es aus, dass
Menschen nicht so sehr auf Details ach-
ten und oft in Eile sind“, erklärt der Pro-
fessor.
Hacker warten geduldig auf Chancen
Also erfinden Hacker ein Szenario und
behaupten in einer E-Mail zum Beispiel,
das Passwort sei aufgrund eines Up-
dates der Datenbank ungültig, oder sie
geben sich als der IT-Dienstleister des
Unternehmens aus. Dabei seien Hacker
oftmals sehr geduldig. „Die wissen,
eines Tages macht einer einen Fehler
und dann nützen sie die gestohlene
Identität“, so der Experte. Oder es wird
ein USB-Stick – vielleicht noch mit der
Aufschrift „Gehälter“ – im Unternehmen
platziert. „Zwar sagen alle, dass sie den
Stick nie nutzen würden, aber einer tut
es dann doch und das ganze Unterneh-
men wird gehackt“, so Professor Esteves.
Hacker seien keineswegs immer nur
verschrobene Einzelgänger. Viele hätten
hervorragende kommunikative Fähig-
keiten, die sie gezielt nutzen. „Die wer-
den meist eher am Anfang eingesetzt“,
sagt der Professor und empfiehlt Unter-
nehmen, sich stärker in die Köpfe von
Hackern zu versetzen und ihr Vorgehen
zu verstehen. Bei Interviews mit 23 er-
fahrenen Hackern fand er Einstellungen,
die bei einemAngriff genutzt werden. So
geht es bei der Erkundung zunächst da-
rum, die Schwachstellen zu finden und
Zugang zu den Daten zu bekommen. In
der zweiten Phase steht dann die opti-
male Ausbeutung im Mittelpunkt. Im
Extremfall übernimmt der Hacker das
System und nutzt es als Basis für wei-
tere Angriffe auf andere Unternehmen.
„Social Engineering“ und technisches
Expertenwissen gehen daher Hand in
Hand.
Awareness-Kampagnen helfen
„Unternehmen brauchen mehr Be-
wusstsein für die menschlichen Schwä-
chen“, fordert Pokoyski. So hat er zum
Beispiel eine umfangreiche „Social-
Engineering“-Kampagne für die Deut-
sche Telekom entwickelt. Dazu gehörte
unter anderem ein eigenes Sicherheits
portal, auf dem die Mitarbeiter Melde-
wege, Infomaterial, FAQs, diverse Fly-
er, eine Art Selbsttest („Bluff-o-Meter“)
oder einen Film abrufen konnten.
Wichtig sei es gewesen, die Mitarbei-
ter dafür zu sensibilisieren, wie „Social
Engineers“ an Informationen kommen,
erklärt Pokoyski. Und da gebe es immer
raffiniertere Methoden. Besonders per-
fide ist der sogenannte CEO-Betrug. Ein
Anrufer gibt sich als Chef aus, der sich
gerade auf Geschäftsreise befindet, ganz
dringend Geld braucht und den Mitar-
beiter entweder auffordert, sofort Geld
auf ein Konto zu überweisen oder die
Zugangsdaten herauszugeben. Da wer-
de dann manchmal sogar die Stimme
des echten Chefs imitiert, weiß Pokoyski.
Ähnlich funktioniert es per E-Mail. Dabei
erforschen die Hacker zunächst, welche
Ansprache, welches Wording oder wel-
che Abkürzungen der Chef nützt oder
wie er unterschreibt.
Der Druck vom vermeintlichen Vorge-
setzten ist ein beliebtes Muster und für
viele Mitarbeiter ist es schwer, diesem
standzuhalten. So verlor der Nürnberger
Autozulieferer Leoni im Jahr 2016 durch
einen derartigen Angriff rund 40 Millio-
nen Euro. Dabei soll sich der Betrüger als
Leoni-Mitarbeiter ausgegeben und auf
seine „besonderen Befugnisse“ verwie-
sen haben. „Einige Unternehmen haben
es inzwischen ihren Controllern verbo-
ten, freitags Überweisungen zu tätigen,
um den Druck rauszunehmen“, sagt
Pokoyski. „Sicheres Verhalten kostet
Zeit und der Mitarbeiter ist immer das
schwächste Glied“, mahnt die Psycholo-
gin Matas. „Wer unter hohem Leistungs-
Social Engineering setzt am
Menschen an – und nutzt
dessen Schwachstellen aus.
