Wie sich Mitarbeiter vor Social Engineering schützen

"Achtung: wichtige Nachricht". Jedem ist diese Betreffzeile in einer E-Mail bekannt. Und die allermeisten löschen sie gleich weg, weil sie wissen: Dahinter steckt nichts Gutes. Die Absenderadresse ist unbekannt, die Betreffzeile plump. Aber stellen Sie sich vor, Sie bekommen von der Buchhaltung eine Mail, mit der Bitte, Ihre Reisekostenabrechnung zu überprüfen - wer zweifelt daran schon, wenn die Geschäftsreise gar nicht lang zurückliegt. Ein Klick auf das Attachement genügt und schon hat sich ein bösartiger Anhang auf dem PC eingenistet. "Damit ist ein permanenter Zugriff auf das System möglich, sobald der Nutzer online ist", sagt Professor Thorsten Holz, Inhaber des Lehrstuhls für Systemsicherheit an der Ruhr-Universität Bochum. Der infizierte Rechner des arglosen Mitarbeiters ist nun das Sprungbrett ins Unternehmensnetz.

Als Social Engineering bezeichnet man einen Angriff, der nicht auf einen Computer gerichtet ist, sondern dessen Benutzer, mit dem Ziel, Login-Daten oder Passwörter auszuspähen. Den Kontakt stellen die Angreifer per Mail, am Telefon, in der Kneipe oder durch einen Besuch in der Firma her. "Bei technischen Angriffen mittels Software-Programmen können zwar auf einen Schlag tausende Computer angegriffen werden, die Erfolgschancen sind aber gering. Bei Social Engineering liegen sie deutlich höher, an die erhofften Informationen zu kommen", sagt Holz. Er schätzt, dass von 50 gezielt gerichteten Mails etwa 15 angeklickt und in einer oder zwei der Anhang geöffnet wird. Dass Unternehmen keine Auskunft darüber geben wollen, ob ihre Mitarbeiter auf Angreifer hereingefallen sind, hat einen guten Grund: Angreifbar zu sein, schadet dem guten Ruf einer Firma.

Eine gute Geschichte als "halbe Miete"

"Eine gute Gesichte und gründliche Recherche über das Opfer sind es schließlich, die dem Eindringling Tür und Tor öffnet", weiß Stefan Schumacher, geschäftsführender Direktor des Magdeburger Instituts für Sicherheitsforschung. Das Institut beleuchtet Sicherheitsfragen aus pädagogisch/psychologischer Sicht und berät Unternehmen bei Umsetzung und Etablierung unternehmensweiter IT-Sicherheitsstrategien. Zudem greift es Unternehmen in deren eigenen Auftrag an, um Schwachstellen aufzudecken. "Schützenswert ist jede Firma jeglicher Branche. Doch Unternehmen, in denen es etwas zu holen gibt, sind logischerweise am meisten gefährdet", so Schumacher. Innovative Mittelständler mit High-Tech-Produkten stehen ganz oben auf der Angriffsliste. Über die ausgespähten Passwörter versuchen die Angreifer an Forschungsergebnisse, Entwicklungen der Kalkulationen zu kommen. "Meist sind es internationale Wettbewerber, die sich mit leicht beschafftem Wissen einen großen Wettbewerbsvorsprung verschaffen wollen. Und häufig agieren die Angreifer im Auftrag asiatischer oder russischer Firmen und deren Nachrichtendienste.

"Man kann jeden Menschen täuschen und manipulieren", sagt der Bildungswissenschaftler Schumacher. Doch das gelinge am Montag, am Dienstag aber schon nicht mehr, "weil die Motivation zu handeln, rasch kippt". Motivation weckt man durch Sensibilisierung. Der wichtigste Grund, um Social Engineering Einhalt zu gebieten, ist der Erhalt des Arbeitsplatzes. Und der ist nur sicher, wenn alle vertraulichen Informationen bei den Mitarbeitern sicher sind.

Werte kennen und schützen

Auch die Firma Cetus Consulting aus Schüttorf berät Unternehmen in Sicherheitsfragen und bietet Schulungen an. Online oder Vis-à-vis. "Von der Putzfrau bis zum Vorstand muss sich jeder darüber bewusst sein, welche Werte in den IT-Systemen gespeichert sind und dass deren Diebstahl existenzgefährdet sein kann", sagt Geschäftsführer Frederik Humpert-Vrielink. Er hat bei Kunden auch schon erlebt, dass Social Engineering nicht immer geplant, sondern mitunter reiner Zufall ist: ein Vertriebsmitarbeiter eines Unternehmens telefonierte an der Bahnhofsraststätte mit einem Kollegen über Details einer Ausschreibung für ein Projekt. Drei Tage später hatte ein Wettbewerber den Zuschlag - dessen Vertriebsmitarbeiter hörte das Telefonat mit.

Ob wohl der unbewusst ausspionierte Mitarbeiter nach einer Schulung anders gehandelt hätte? "Mein Bauchgefühl sagt ja", so Humpert-Vrielink. Statistisch belegen lässt sich seine Vermutung aber nicht, da Unternehmen ungern über solche Vorfälle sprechen.

Fünf Regeln gegen das Ausspionieren

1. Gesundes Misstrauen: Trotz aller Gebote der Höflichkeit sollte immer ein gesundes Misstrauen vorhanden sein.

2. Alles, was nicht öffentlich ist, ist vertraulich: Alle Informationen des Arbeitgebers, die nicht öffentlich sind, gelten als vertraulich. Die Weitergabe an Fremde ist untersagt, es sei denn, dies ist im Einzelfall vom Vorgesetzten ausdrücklich gewünscht.

3. Keine Interna auf Reisen preisgeben: Im Flugzeug oder in der Bahn sollte die Nutzung von Laptop und Handy auf ein Minimum beschränkt werden. Insbesondere in Großraumwagen oder in Flugzeugen sollten keine vertraulichen Gespräche geführt werden. Der Feind hört mit.

4. Vertrauliche Informationen nur bei Anruf nennen: Vertrauliches sollte nicht am Telefon preisgeben werden. Wenn es dennoch nötig ist, rufen Sie den Ansprechpartner zurück - dann können Sie sich halbwegs sicher sein, dass der Richtige am anderen Ende mithört.

5. Fremde Personen auf dem Betriebsgelände immer ansprechen: Fremde Personen ohne Besucher- oder Dienstausweis auf dem Betriebsgelände sind eine potenzielle Gefahr. Sprechen Sie diese Personen immer an, denn es könnten Informationsbeschaffer sein. (Quelle: Cetus Consulting)

„Die meisten werden Opfer ihrer Hilfsbereitschaft “

Um heraus zu finden, wie freizügig Mitarbeiter mit Informationen umgehen, beauftragen Unternehmen Experten wie Petra Barzin. Die IT-Beraterin greift dann ganz gezielt an. Social Engineering hat kaum etwas mit Technik zu tun. Bei ihren Tricks setzt Barzin auf psychologische Effekte. Wir haben uns mit ihr unterhalten.

CW: Frau Barzin, sie greifen gezielt Mitarbeiter von Firmen an, um auf das Firmengelände zu kommen oder an Passwörter für Computer zu gelangen. Warum tun sie das?

BARZIN: Ich mache das im Auftrag von Unternehmen, bei denen wir eine Awareness-Kampagne durchführen. Die Firmen haben gern zu Beginn der Aufklärungskampagne über Sicherheit einen Knalleffekt, um das Thema bei ihren Mitarbeitern interessant zu machen.

CW: Um was geht es echten Angreifern?

BARZIN: Allen wollen Informationen stehlen. Das machen sie aus zweierlei Gründen: Entweder wollen sie an Geld kommen, indem sie die Firma erpressen oder Informationen Mitbewerbern verkaufen. Eine andere Motivation ist häufig, weil man verärgert ist. Der Angreifer war beschäftigt in der Firma, wurde schlecht behandelt oder gekündigt und will sich nun rächen, indem er Informationen veröffentlicht, um dem Ruf der Firma zu schaden.

CW: Mal benutzen Sie das Telefon, in anderen Fällen schreiben Sie Mails, oder klingeln an der Pforte, um ihr Ziel zu erreichen. Welche ist die erfolgreichere Methode und auf welche Masche fallen Mitarbeiter am leichtesten herein?

BARZIN: Die Methode ist nicht ausschlaggebend. Entscheidend ist das Auftreten des Angreifers. An die Hilfsbereitschaft zu appellieren ist ein erfolgversprechender Weg. Wenn ich mit einem großen Karton als Frau auf einen Pförtner zulaufe, wird er mir eher die Tür aufhalten, als nach meinem Firmenausweis fragen. Extrem dominant und selbstbewusst aufzutreten ist eine andere Erfolgsmasche, beispielsweise den Chef herauskehren und Stress machen. Dann machen die Leute, was man von ihnen verlangt.

CW: Wie erfolgreich sind Sie mit Ihren Angriffen?

BARZIN: Jeder fünfte Mitarbeiter reagierte in den ersten zwei Tagen auf Phishing-Mails. Jeder dritte dieser Mitarbeiter gibt sein Passwort preis.

CW: Wie tarnen Sie sich?

BARZIN: Beispielsweise als IT-Mitarbeiter mit der Begründung, dass ein neues IT-System eingeführt wurde und deshalb dort Benutzername und Passwörter erstmals eingegeben werden müssen.

CW: Warum funktioniert Social Engenieering so gut?

BARZIN: Weil der Mensch anderen Menschen zunächst vertraut. Wir sind dazu erzogen, freundlich, höflich und hilfsbereit zu sein. Diese Eigenschaften begünstigen Social-Engineering-Angriffe, die Angreifer nutzen diese Eigenschaften aus.

CW: Wie können Mitarbeiter dann sensibilisiert werden?

BARZIN: Mit der Botschaft „Obwohl es unhöflich ist die Tür vor der Nase zuzuschlagen, auf eine Mail nicht zu antworten oder eine Bitte nicht nachzukommen, müsst ihr das doch manchmal tun, indem ihr kritisch nachdenkt und nachfragt“. Bei Social Engeineering geht es um Psychologie.

CW: Wie reagieren die Mitarbeiter darauf, wenn sie erfahren, dass mit ihnen Katz und Maus gespielt wurde?

BARZIN: Meistens nicht gut. Sie stehen dem Projekt negativ gegenüber und sind daher nur schwer zu sensibilisieren. Sie denken, vorgeführt worden zu sein.

CW: Opfert man mit solchen Social-Engineering-Angriffen wenige, um viele zu erreichen?

BARZIN: Ich rate eher von solchen Knalleffekten bei Awareness-Kampagnen ab. Ziel einer solchen Kampagne ist eine Verhaltensänderung. Um diese zu erreichen, müssen positive Emotionen geweckt werden. Die betroffenen und daher negativ eingestellten Leute kann man nicht umstimmen.

Zur Person

Petra Barzin, 41, Studium der Informatik in Darmstadt, anschließend fünf Jahre in einem Forschungsinstitut in Darmstadt, Schwerpunkt Sicherheitstechniken. Seit 2005 bei Secorvo in Karlsruhe als Beraterin mit den Schwerpunkten Public Key Infrastrukturen, sichere Softwareentwicklung und Security Awareness Kampagnen. Secorvo hat rund 20 Mitarbeiter und bietet Beratung in IT-Sicherheit und Datenschutz. (sh)

Industriespionage in Deutschland
Die Security-Firma Corporate Trust hat zusammen mit Brainloop und dem TÜV Süd knapp 600 Unternehmen zu ihren Erfahrungen mit Industriespionen befragt. Zumeist antwortete der Geschäftsführer oder ein Vorstandsmitglied. Die Autoren der Studie "Industriespionage 2012 Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar" werten das als Indiz dafür, dass Security heutzutage Chefsache ist.

Jedes fünfte Unternehmen war bereits Spionageziel
Gut jedes fünfte Unternehmen wurde in den vergangenen drei Jahren zumindest einmal Opfer von Industriespionage. Gegenüber der vergangenen Erhebung aus dem Jahr 2007 hat sich der Wert leicht erhöht. Damals gaben 18,9 Prozent der Befragten mindestens einen Vorfall zu Protokoll.

Viele Verdachtsfälle
Ein erklecklicher Teil der Firmen hat die Vermutung, dass es bereits einen Fall von Industriespionage gab. Unterm Strich hat sich demnach mehr als jedes zweites Unternehmen in den vergangenen drei Jahren mit Industriespionage auseinandersetzen müssen.

Mittelstand ist besonders betroffen
Wird die Zahl der Spionagefälle mit der Zahl der Befragten aus kleinen, mittelständischen und großen Unternehmen korreliert, dann zeigt sich, dass verhältnismäßig oft werden mittelständische Firmen angegriffen werden.

Spionageziel Fertigung
Gefährdet sind insbesondere Unternehmen aus den Fertigungsbranchen und Finanzdienstleister.

Angriffe lassen sich orten
Die meisten Unternehmen können die Vorfälle lokalisieren, nur weniger blieben diesbezüglich ratlos zurück. Bei der Auswertung zeigt sich, dass große Gefahr vor allem in Europa und Nordamerika besteht.

Zumeist Schäden bis zu 100.000 Euro
Das Groß der Schäden beläuft sich auf Beträge zwischen 10.000 und 100.000 Euro. Sehr große finanzielle Verlust gibt es insbesondere in Konzernen zu beklagen.

Immenser Gesamtschaden
Wenngleich die einzelnen Vorfälle selten Riesensummen verschlingen, summiert sich der Gesamtschaden zu der imposanten Zahl von jährlich rund 4,2 Milliarden Euro. Im Vergleich zur Studie 2007 (2,8 Milliarden Euro) entspricht dies einem Anstieg um 50 Prozent.

Die Gefahr lauert im eigenen Haus
Oft sind die eigenen Mitarbeiter die Industriespione, wenngleich sie oft unbewusst Informationen weitergeben. Doch insgesamt zeigt sich, dass überall Gefahrenquellen lauern.

Die Einfallstore
Ein beliebtes Mittel der Spione sind Hackerangriffe. Während 2007 nur bei 14,9 Prozent aller Fälle ein Hackerangriff als konkrete Spionagehandlung zugrunde lag, waren es 2012 bereits 42,4 Prozent.

Die Folgekosten
Die finanziellen Schäden entstehen in der Regel durch Rechtstreitigkeiten und Imageschäden. Mehr als ein Drittel der Befragten berichtet von konkreten Umsatzeinbußen.

Mitarbeiter werden ausgespäht
Meistens sitzt der Täter im eigenen Haus. Externe Hacker arbeiten zudem häufig mit internen Mitarbeitern zusammen oder spähen Angestellte im Internet aus (Social Engineering) aus.

Sicherheit ist Chefsache
In vielen Firmen werfen die Geschäftsführer einen kritischen auf die Prozesse und Einrichtungen. Erwartbar war, dass auch die IT-Abteilungen eine bedeutende Rolle spielen, verfügen sie doch über das erforderliche technische Know-how.

Passwortschutz ist Standard
Passwort-geschützten IT-Systeme sind heute Standard in vielen Unternehmen, anders sieht es bei der Verschlüsselung aus.

Defizite werden nicht behoben
Obwohl den meisten Unternehmen bekannt ist, dass mobile Datenträger und Geräte besonders gefährdet sind, treffen wenige Firmen entsprechende Vorkehrungen.

Attacken Steueranlagen
Angriffe auf Steuerungsanlagen gefährden die Produktion. Der bekannteste Fall ist der Wurm Stuxnet, doch auch abseits der öffentlichkeitswirksamen Angriffe gibt es offenbar viele vergleichbare Vorfälle.

Umweltschäden drohen
Attacken auf die Steueranlagen können enorme Folgen zeigen. Fast immer ziehen sie finanzielle Verluste nach sich, häufig drohen bei entsprechenden Angriffen aber auch Umweltschäden.

Die gefährliche Seite der Mobility
Der Job der Security-Verantwortlichen wird nicht einfacher. Der Trend zum mobilen Endgerät erschwert die Absicherung der Installationen, und mit der Verbreitung leistungsstarker Smartphones sinkt zudem das Bewusstsein der Mitarbeiter für die IT-Sicherheit.

Was tun gegen Social Engineering?
Nacharbeiten sind in allen Segmenten erforderlich. Auf die relativ neue Bedrohung durch geschicktes Ausspähen von Mitarbeiter in sozialen Netzen habe viele Unternehmen noch keine Antwort gefunden.