bg-clear

Fachbeitrag

intersoft consulting services AG
26. November 2008
|Technology Review

IT-Risiko Social Engineering

Warum Geheimniskrämer der Firma nützen

Autor

Thorsten Logemann
Geschäftsführer der intersoft consulting services GmbH

Leseprobe

Wo IT-Sicherheit als Prozess erkannt wird, der über rein technische Vorkehrungen hinausgeht, rückt auch die Thematik des »Social Engineering« ins Blickfeld. Kevin Mitnick, ehemals berüchtigter Hackerstar, forderte deshalb in einem Interview der Technology Review: »Wir müssen die ›menschliche Firewall‹ stärken!«
Nicht nur der längst zum Unternehmensberater avancierte US-Amerikaner weiß: Um die Mitarbeiter eines Unternehmens vor versehentlicher Preisgabe von Geheimnissen an Unbefugte zu bewahren, ist Sensibilisierung auf allen Ebenen gefragt. Die Botschaft ist auch in deutschen Unternehmensberatungen angekommen.

Thorsten Logemann, Geschäftsführer der intersoft consulting services, sieht in der Strategie des Social Engineering eine gezielte Manipulation von Personen, um an gewünschte Informationen zu gelangen und eine nicht zu unterschätzende Methode des Angriffs auf IT-Systeme. Somit behält seine Hamburger Beratungsfirma für IT-Sicherheit, Datenschutz und IT-Compliance in Kundengesprächen auch die Möglichkeit von Datendiebstahl oder Datenmissbrauch über den Weg des Aushorchens gutgläubiger Mitarbeiter im Blick.

Doch wie kann es überhaupt dazu kommen, dass aus den eigenen Reihen - ohne es zu wollen und zu wissen - Firmengeheimnisse nach außen gelangen? »Wer es auf Datenklau mit Hilfe von ›Social Engineering‹ anlegt, beginnt mit der Recherche einfach zugänglicher Informationen und sucht in allen mehr oder weniger öffentlich zugänglichen Quellen« erläutert Logemann. Als Bespiele nennt er Google, aber auch Telefonlisten, Mitarbeiterlisten, Organigramme bis hin zu Prozessbeschreibungen aus dem Bereich des Supports.

Die gewonnenen Informationen sollen helfen, im Kontakt mit den Firmenmitarbeitern Vertrauen herzustellen. Logemann: »Der Täter klingt, als habe er Insiderinformationen, als gehöre er zur Firma und gibt sich auch als so jemand aus.« Mit dem so herstellbaren Vertrauensvorschuss wird zum Beispiel ein Mitarbeiter des auszuspionierenden Unternehmens angerufen und von dem getarnten Täter um eine oder mehrere Informationen gebeten. Diesen Weg ist auch der Ex-Hacker Mitnick gegangen, bevor er die Seiten wechselte: »Als ich (…) vor dem amerikanischen Kongress aussagte, führte ich aus, dass ich Passwörter und andere sensible Daten von Firmen oft dadurch bekam, dass ich mich als jemand anderes ausgab und einfach danach gefragt habe.«

Erste, einzelne Informationen dienen zum Beispiel dazu, die richtige Zielperson zu finden. Sie können direkt genutzt, aber auch mit anderen kombiniert werden. Jede weitere Information ergänzt nicht nur das Spionagepuzzle, es verbessert auch die Tarnung der falschen Identität, ermöglicht Vertrauensgewinn und damit die Ausbeutung desselben.

Ob jemand sein Vertrauen der falschen Person gibt, sei es der netten Stimme am Telefon oder dem freundlichen Herrn mit dem Klemmbrett unter dem Arm, hänge vor allem davon ab, wie geschickt manipuliert werde. Logemann: »Der Social Engineer hat sich auf Rückfragen eingestellt oder nimmt sie sogar vorweg, um die passenden Antworten zu geben. Er tritt dabei höflich und geschäftsmäßig auf und wiegt sein Opfer in Sicherheit.«

Hier helfen keine technischen Sicherheitsvorkehrungen. Der Unternehmensberater schlägt als Gegenmaßnahme »Sensibilisierung und Organisation« vor. Eine Awareness-Kampagne solle allerdings nicht bei den Kollegen der Telefonzentrale aufhören, sondern alle Mitarbeiter bis zur Führungsebene einschließen. »Anfällig für Täuschungen ist jeder«, sagt Thorsten Logemann. »Wir raten unseren Kunden möglichst einfache aber verbindliche Regeln einzuführen, die festlegen, wer was darf und wie Informationen zu behandeln sind. Es sind klare Verantwortungen zu schaffen und Informationen generell nur an diejenigen im Unternehmen weiterzugeben, die sie tatsächlich brauchen.« Wichtig sei, zunächst das Bewusstsein zu schaffen im Besitz wertvoller Informationen zu sein, und sich beim Umgang mit diesen – sei es beim Drucken, Kopieren, Telefonieren, Ablegen, Versenden, Konferieren, Delegieren – zu fragen, »Was wäre, wenn das jemand wüsste?«