training und coaching
46
wirtschaft + weiterbildung
07/08_2017
die Möglichkeit der Überprüfung weg,
was es den Angreifern natürlich leichter
macht. Manchmal stieß die Psychologin
bei den Interviews auch auf eine gewisse
Technikarroganz. „Einige haben beson-
ders hervorgehoben, wie gut sie mit der
Technik umgehen können, hatten aber
keine Ahnung, wie „Social Engineering“
funktioniert und wie sie selbst dabei re-
agieren“, erinnert sie sich. Da sei manch-
mal sehr wenig Bewusstsein vorhanden
gewesen und manche konnten nicht ein-
mal zwischen Hilfsbereitschaft und Na-
ivität unterscheiden. Andere wiederum
seien regelrecht beleidigt gewesen und
wollten nicht wahrhaben, dass auch sie
so einfach manipulierbar sind. Anhand
der Studie haben die Autoren die Gefähr-
dung verschiedener Typen und ihre Emp-
fänglichkeit für Awareness-Maßnahmen
herausgearbeitet. So bewegen sich die
„versierten Netzjunkies“ zwar souverän
auf dem neuesten Stand der Technik, sind
jedoch mit „Social Engineering“ überfor-
dert, haben aber trotzdem nur eine ge-
ringe Offenheit für die Gefahren.
Oftmals sei die eigene Betroffenheit der
beste Weg, jemanden für das Thema zu
sensibilisieren, weiß IE-Professor Esteves,
der sich daher manchmal in die Accounts
seiner Studenten einhackt und ihnen
dann präsentiert, wie viele Informationen
er über sie gefunden hat. Berater Pokoy-
ski hat dafür die Aktion „Bluff me please“
entwickelt, bei der die Mitarbeiter eines
Unternehmens die Angriffe eines „Social
Engineers“ per Telefon bestellen können
– natürlich ohne dass sie wissen, wann
genau der in Aktion tritt. „Intern wird
das als Mutprobe verkauft und danach
individuell mit dem Mitarbeiter bespro-
chen“, erklärt er. Generell sei der Awa-
reness- und Kommunikationsbedarf bei
den Mitarbeitern für einen vertraulichen
Austausch hoch. „Die angebotenen Tele-
fongespräche waren superschnell weg“,
erinnert sich der Agenturchef.
Auch wer bereits Opfer eines Angriffs ge-
worden sei, brauche einen geschützten
Raum, wo er sein Erlebnis verarbeiten
könne. Möglich sei das zum Beispiel im
Rahmen eines moderierten Erfahrungs-
austauschs. Dabei sollte auch klar kom-
muniziert werden, dass jeder zum Opfer
werden könne und nicht vorsätzlich dem
Unternehmen schade.
Ein großes Risiko liegt bei den
Top-Managern
Dabei könne gerade Anerkennung als
soziales Einfalltor die größten Scham-
gefühle auslösen. Schließlich wird dem
Betroffenen dann bewusst, dass der An-
greifer nur deshalb so nett war, weil er
einen perfiden Plan hatte und nicht, weil
er Interesse an seiner Person hatte. Daher
dürfte die Dunkelziffer von „Social-
Engineering“-Angriffen auch viel höher
sein, als die bei technischen Angriffen.
„Die üblichen IT-Hotlines genügen nicht
für ein umfassendes Reporting“, mahnt
Pokoyski. „Die sind meist so IT-getriggert,
dass sich Opfer dort nicht gut aufgehoben
fühlen.“
IE-Professor Esteves sieht eines der größ-
ten Risiken bei den Top-Managern. „Die
haben oftmals überhaupt kein Sicher-
heitsbewusstsein“, staunt der Spanier. So
beobachte er oft, wie sich Manager völ-
lig unbekümmert in den VIP-Lounges an
den Flughäfen in das WLAN einloggen.
Doch ein öffentliches WLAN sei eines
der größten Sicherheitsrisiken. Zwar gebe
es in vielen Unternehmen klare Regeln
und manchmal müssten die Mitarbeiter
sogar jede Woche ihr Passwort ändern.
Nur beim Top-Management würden oft-
mals Ausnahmen gemacht. „Das ist völlig
absurd“, so der IT-Experte. „Diejenigen,
die am meisten verletzbar sind, sind am
wenigsten vorsichtig.“ Dabei müssten
Manager die ersten sein, die die Regeln
beachten und mit guten Beispiel voran-
gehen. „Wenn die Top-Manager das nicht
vorleben, gelingt es auch nicht, ein Si-
cherheitsbewusstsein im Unternehmen
zu implementieren“, mahnt der Professor.
Doch nicht nur beim eigenen Verhalten
gibt es Nachholbedarf. Die meisten Vor-
stände wüssten nichts über die Cyberan-
griffe auf ihr Unternehmen. Das sei für sie
Sache der IT-Abteilung. Aber IT-Sicherheit
müsse Chefsache sein und Top-Manager
müssten sich regelmäßig über die Vor-
fälle informieren lassen. Bisher gebe es
in den meisten Unternehmen nieman-
dem im Vorstand, der für Datensicherheit
zuständig sei. „Da besteht ein dringen-
der Handlungsbedarf“, so der Professor.
Schließlich seien die Gefahren für ein
Unternehmen enorm, wobei der Reputa-
tionsschaden manchmal sogar schwerer
wiege als der finanzielle Verlust.
Auch die Trainings zu IT-Sicherheit müss-
ten stärker auf das Management und we-
niger auf technische Details ausgerichtet
werden. „Es ist wichtiger, Bewusstsein
dafür zu schaffen als technische Details
zu behandeln.“ Zudem argumentieren
viele Top-Manager beim Thema Datensi-
cherheit gern mit den Kosten und fragen
nach dem Return on Investment. „Klar
kostet es viel und man sieht den Nutzen
nicht“, sagt Esteves. „Erstens weiß man
nie, wann ein Angriff kommt. Und erst
wenn er kommt, lohnt sich die Investi-
tion.“ Man dürfe daher nicht mit den Kos-
ten argumentieren, sondern müsse IT-Si-
cherheit wie eine Einbruchsversicherung
sehen. Die zahle man schließlich auch,
wenn keiner einbricht.
Kritisch sieht der Experte auch den Um-
gang der Unternehmen mit erfolgten An-
griffen. „Die meisten versuchen weiter,
den Vorfall zu verschweigen und gefähr-
den damit auch andere“, mahnt Esteves.
Denn es gebe immer mehr kombinierte
Attacken. So wurde im Mai der Telefon-
konzern O2 gehackt. Er versuchte das zu
verschweigen. Doch den Hackern ging es
letztlich gar nicht um die Daten des Te-
lekommunikationskonzerns. Die wurden
nur benötigt, um darüber Zugang zu den
Bankdaten der Kunden zu bekommen. So
wurden zwei Unternehmen zur selben
Zeit gehackt. „Unternehmen müssen bes-
ser zusammenarbeiten“, mahnt der Pro-
fessor. Auch am adäquaten Krisenmana-
gement und einer Kommunikationsstra-
tegie bei Cyberattacken fehle es häufig.
Die größte Gefahr sieht Esteves inzwi-
schen jedoch bei den Smartphones. „Das
sind die echten Sicherheitsbomben“, be-
hauptet er.
Bärbel Schwertfeger
R
„Wer Angriffe von Betrügern verschweigt, der
gefährdet damit auch andere.“
José Esteves
