35
01/18 personalmagazin
Bei Fragen wenden Sie sich bitte an
fung weg, was es den Angreifern natür-
lich leichter macht. Manchmal stieß die
Psychologin Matas bei den Interviews
auch auf eine gewisse Technikarroganz.
„Einige haben besonders hervorgehoben,
wie gut sie mit der Technik umgehen
können, hatten aber keine Ahnung, wie
‚Social Engineering‘ funktioniert und
wie sie selbst dabei reagieren“, erinnert
sie sich. Da sei manchmal sehr wenig Be-
wusstsein vorhanden gewesen und man-
che konnten nicht einmal zwischen Hilfs-
bereitschaft und Naivität unterscheiden.
Andere wiederum seien regelrecht be-
leidigt gewesen und wollten nicht wahr-
haben, dass auch sie so einfach manipu-
lierbar sind. Anhand der Studie haben
die Autoren die Gefährdung verschiede-
ner Typen und ihre Empfänglichkeit für
Awareness-Maßnahmen herausgearbei-
tet (die verschiedenen Opfertypen finden
Sie in unserer App). So bewegen sich die
„versierten Netzjunkies“ zwar souverän
auf dem neuesten Stand der Technik,
haben aber trotzdem nur eine geringe
Offenheit für die Gefahren und sind mit
„Social Engineering“ überfordert.
Oft sei die eigene Betroffenheit der bes
te Weg, jemanden für das Thema zu sensi-
bilisieren, weiß IE-Professor Esteves, der
sich daher manchmal in die Accounts sei-
ner Studenten einhackt und ihnen dann
präsentiert, wie viele Informationen er
über sie gefunden hat. Berater Pokoyski
hat dafür die Aktion „Bluff me please“
entwickelt, bei der die Mitarbeiter eines
Unternehmens die Angriffe eines „Social
Engineers“ per Telefon bestellen können
– natürlich ohne dass sie wissen, wann
genau der in Aktion tritt. „Intern wird
das als Mutprobe verkauft und danach
individuell mit dem Mitarbeiter bespro-
chen“, erklärt er. Generell sei der Aware
ness- und Kommunikationsbedarf bei
den Mitarbeitern für einen vertraulichen
Austausch hoch. „Die angebotenen Tele-
fongespräche waren superschnell weg“,
erinnert sich der Agenturchef. Auch wer
bereits Opfer eines Angriffs geworden
sei, brauche einen geschützten Raum,
wo er sein Erlebnis verarbeiten könne
– etwa bei einem moderierten Erfah-
rungsaustausch. Dabei sollte auch klar
kommuniziert werden, dass jeder zum
Opfer werden könne und nicht vorsätz-
lich dem Unternehmen schade.
Großes Risiko bei den Topmanagern
Dabei könne gerade Anerkennung als
soziales Einfallstor die größten Scham-
gefühle auslösen. Schließlich wird dem
Betroffenen dann bewusst, dass der
Angreifer nur deshalb so nett war, weil
er einen perfiden Plan hatte und nicht,
weil er Interesse an seiner Person hatte.
Daher dürfte die Dunkelziffer von So
cial-Engineering-Angriffen auch viel hö-
her sein als die bei technischen Angrif-
fen. „Die üblichen IT-Hotlines genügen
nicht für ein umfassendes Reporting“,
mahnt Pokoyski. „Die sind meist so IT-
getriggert, dass sich Opfer dort nicht gut
aufgehoben fühlen.“
IE-Professor Esteves sieht eines der
größten Risiken bei den Topmanagern.
„Die haben oftmals überhaupt kein Si-
cherheitsbewusstsein“, staunt der Spani-
er. So beobachte er oft, wie sich Manager
völlig unbekümmert in den VIP-Lounges
an den Flughäfen in dasWLAN einloggen.
Doch ein öffentliches WLAN sei eines der
größten Sicherheitsrisiken. Zwar gebe
es in vielen Unternehmen klare Regeln.
Nur beim Topmanagement würden oft
Ausnahmen gemacht. „Das ist völlig ab-
surd“, so der IT-Experte. „Diejenigen, die
am meisten verletzbar sind, sind am we-
nigsten vorsichtig.“ Dabei müssten Mana-
ger die Ersten sein, die mit gutemBeispiel
vorangehen. „Wenn die Topmanager das
nicht vorleben, gelingt es auch nicht, ein
Sicherheitsbewusstsein imUnternehmen
zu implementieren“, mahnt der Profes-
sor. Doch nicht nur beim eigenen Verhal-
ten gibt es Nachholbedarf. Die meisten
Vorstände wüssten nichts über die Cy-
berangriffe auf ihr Unternehmen. Das
sei für sie Sache der IT-Abteilung. Aber
IT-Sicherheit müsse Chefsache sein und
Topmanager müssten sich regelmäßig
über die Vorfälle informieren lassen. Bis-
her gebe es in den meisten Unternehmen
niemanden im Vorstand, der für Datensi-
cherheit zuständig sei. „Da besteht drin-
gender Handlungsbedarf“, so Esteves.
Schließlich seien die Gefahren für ein
Unternehmen enorm, wobei der Reputa-
tionsschaden manchmal sogar schwerer
wiege als der finanzielle Verlust.
Auch die Trainings zu IT-Sicherheit
müssten stärker auf das Management
und weniger auf technische Details aus-
gerichtet werden. Zudem argumentieren
viele Topmanager beim Thema „Datensi-
cherheit“ gern mit den Kosten und fragen
nach dem Return on Investment. „Klar
kostet es viel und man sieht den Nutzen
nicht“, sagt Esteves. „Erstens weiß man
nie, wann ein Angriff kommt. Und erst
wenn er kommt, lohnt sich die Investi-
tion.“ Man dürfe daher nicht mit den
Kosten argumentieren, sondern müsse
IT-Sicherheit wie eine Einbruchsversi-
cherung sehen. Die zahle man schließlich
auch, wenn keiner einbricht.
Kritisch sieht der Experte auch den
Umgang der Unternehmen mit erfolgten
Angriffen. „Die meisten versuchen wei-
ter, den Vorfall zu verschweigen und
gefährden damit auch andere“, mahnt
Esteves. Denn es gebe immer mehr
kombinierte Attacken. So wurde im Mai
2017 der Telefonkonzern O2 gehackt. Er
versuchte das zu verschweigen. Doch
den Hackern ging es letztlich gar nicht
um die Daten des Telekommunikations-
konzerns. Die wurden nur benötigt, um
darüber Zugang zu den Bankdaten der
Kunden zu bekommen. So wurden zwei
Unternehmen zur selben Zeit gehackt.
„Unternehmen müssen besser zusam-
menarbeiten“, fordert der Professor.
Auch am adäquaten Krisenmanagement
und einer Kommunikationsstrategie bei
Cyberattacken fehle es häufig.
Die größte Gefahr sieht Esteves inzwi-
schen jedoch bei den Smartphones. „Das
sind die echten Sicherheitsbomben“, be-
hauptet er.
BÄRBEL SCHWERTFEGER
ist freie Journa-
listin in München.
