training und coaching
44
wirtschaft + weiterbildung
07/08_2017
zu versetzen und ihr Vorgehen zu ver-
stehen. Bei Interviews mit 23 erfahrenen
Hackern fand er Einstellungen, die bei
einem Angriff genutzt werden. So geht es
bei der Erkundung zunächst darum, die
Schwachstellen zu finden und Zugang zu
den Daten zu bekommen. In der zweiten
Phase steht dann die optimale Ausbeu-
tung im Mittelpunkt. Im Extremfall über-
nimmt der Hacker das System und nutzt
es als Basis für weitere Angriffe auf an-
dere Unternehmen. „Social Engineering“
und technisches Expertenwissen gehen
daher Hand in Hand. So findet ein An-
greifer zum Beispiel heraus hat, dass ein
Lieferant den kompletten Zugang zum IT-
System eines Kunden hat. Er nutzt „So-
cial Engineering“, um von einem der Mit-
arbeiter des Lieferanten die Zugangsdaten
zu bekommen und dann wiederum die
Website des Unternehmens zu hacken.
Awareness-Kampagnen helfen
„Unternehmen brauchen mehr Bewusst-
sein für die menschlichen Schwächen“,
fordert Pokoyski, dessen Agentur Un-
ternehmen bei Awareness-Maßnahmen
berät. So hat er zum Beispiel eine um-
fangreiche „Social-Engineering“-Kampa-
gne für die Deutsche Telekom entwickelt.
Dazu gehörte unter anderem ein eigenes
Sicherheitsportal, auf dem die Mitarbeiter
Meldewege, Infomaterial, FAQs, diverse
Flyer, eine Art Selbsttest (Bluff-o-Meter)
oder einen Film abrufen konnten. „Bluff-
City“ war ein aufwendig produziertes in-
teraktives Video, in dem man zurückspu-
len und damit den Handlungsverlauf ver-
ändern konnte.
„Wenn man einen Fehler entdeckte, lief
die Geschichte quasi sicherer weiter“, er-
klärt Pokoyski. In dem Film ging es um
einen Mr. White, der eine wichtige Prä-
sentation halten musste. Über den Ge-
burtstag seiner Tochter verwickelten die
„Social Engineers“ ihn in ein Gespräch,
erfuhren dann übder den Namen seiner
Katze sein Passwort und blockierten den
Zugang zum Rechner. Zum Maßnahmen-
paket gehörte weiterhin das begehbare
Teppichspiel „Bluff and Hack“, bei dem
ein Team nur dann erfolgreich war, wenn
es bestimmte Informationen herausbe-
kommen hatte.
Wichtig sei es gewesen, die Mitarbeiter
dafür zu sensibilisieren, wie „Social Engi-
neers“ an Informationen kommen, erklärt
Pokoyski. Und da gebe es immer raffinier-
tere Methoden. Besonders perfide ist der
sogenannte CEO-Betrug. Ein Anrufer gibt
sich als Chef aus, der sich gerade auf Ge-
schäftsreise befindet, ganz dringend Geld
braucht und den Mitarbeiter entweder
auffordert, sofort Geld auf ein Konto zu
überweisen oder die Zugangsdaten her-
auszugeben. Da werde dann manchmal
sogar die Stimme des echten Chefs imi-
tiert, weiß Pokoyski. Ähnlich funktioniert
es per E-Mail. Dabei erforschen die Ha-
cker zunächst, welche Ansprache, wel-
ches Wording oder welche Abkürzungen
der Chef nützt oder wie er unterschreibt.
Der Druck vom vermeintlichen Vorge-
setzten ist ein beliebtes Muster und für
viele Mitarbeiter ist es schwer, diesem
standzuhalten. So verlor der Nürnberger
Autozulieferer Leoni im Jahr 2016 durch
einen derartigen Angriff rund 40 Milli-
onen Euro. Dabei soll sich der Betrüger
als Leoni-Mitarbeiter ausgegeben und auf
seine „besondere Befugnisse“ verwiesen
haben. „Einige Unternehmen haben es
inzwischen ihren Controllern verboten,
freitags Überweisungen zu tätigen, um
den Druck rauszunehmen“, sagt Pokoy-
ski. „Sicheres Verhalten kostet Zeit und
der Mitarbeiter ist immer das schwächste
Glied“, mahnt die Psychologin Matas.
„Wer unter hohem Leistungsdruck steht,
R
Typen und ihre Gefährdung
· Naive Dauersender lieben den ständigen Kontakt zu
bekannten und weniger bekannten Menschen. Fühlen sich
selber als zu unbedeutend, um für einen Social Engineer
interessant zu sein und bieten daher eine große Angriffs-
fläche.
· Vorsichtige Pragmatiker betrachten die Möglichkeiten der
modernen Kommunikation sorgfältig auf ihren Nutzen hin.
Social Engineering führt entweder zu selbstkritischen Ein-
sichten oder Resignation. Potenziell sehr offen für Aware-
ness.
· Skeptische Verweigerer bewegen sich kritisch in der Kom-
munikationslandschaft und machen keinesfalls überall
mit. Aber es besteht trotzdem ein hohes Risikopotenzial
aufgrund der Anfälligkeit in klassischen, analogen Kommu-
Überblick.
Ausgerechnet gute Software-Experten werden von allzu menschlichen Telefonanrufen
überfordert. Hier hilft ein Awareness-Training. Welche „Opfer“-Typen es gibt, hat das Beratungs
unternehmen Known Sense zusammengestellt:
nikations-Settings, wenn die Betrüger emotional werden.
Dieser Typ hat eine mittlere Awareness-Eignung.
· Versierte Netzjunkies bewegen sich souverän auf dem
neuesten Stand der Technik. Social Engineering über-
fordert sie durch allzu Menschliches. Hohes Risiko, aber
geringe Offenheit für die Gefahren.
· Unbekümmerte Mitläufer sind offen für Neuerungen,
wollen immer dabei sein. Social Engineering „versaut“
ihnen die schöne Kommunikationswelt und weckt Scham-
gefühle. Hohes Risiko, aber auch gut über Awareness zu
packen.
Veranstaltungstipp:
Am 14. September findet in Berlin die
Social-Engineering-Konferenz „Bluff City 2017“ statt
