Industriespionage

Wie sich Mitarbeiter vor Social Engineering schützen

28.08.2013
Peter Ilg ist freier Journalist in Aalen.
Alle technischen Vorkehrungen gegen das Ausspionieren von Firmeninformationen helfen nichts, wenn der Mensch nicht sensibilisiert ist. Er ist die Sicherheitslücke, weil von Natur aus vertrauensvoll. Deshalb ist Social Engineering die erfolgreichste Quelle für Werksspionage. Was tun?
Thorsten Holz warnt vor Social-Engineering-Attacken.
Thorsten Holz warnt vor Social-Engineering-Attacken.
Foto: Ruhr-Universität Bochum

"Achtung: wichtige Nachricht". Jedem ist diese Betreffzeile in einer E-Mail bekannt. Und die allermeisten löschen sie gleich weg, weil sie wissen: Dahinter steckt nichts Gutes. Die Absenderadresse ist unbekannt, die Betreffzeile plump. Aber stellen Sie sich vor, Sie bekommen von der Buchhaltung eine Mail, mit der Bitte, Ihre Reisekostenabrechnung zu überprüfen - wer zweifelt daran schon, wenn die Geschäftsreise gar nicht lang zurückliegt. Ein Klick auf das Attachement genügt und schon hat sich ein bösartiger Anhang auf dem PC eingenistet. "Damit ist ein permanenter Zugriff auf das System möglich, sobald der Nutzer online ist", sagt Professor Thorsten Holz, Inhaber des Lehrstuhls für Systemsicherheit an der Ruhr-Universität Bochum. Der infizierte Rechner des arglosen Mitarbeiters ist nun das Sprungbrett ins Unternehmensnetz.

Als Social Engineering bezeichnet man einen Angriff, der nicht auf einen Computer gerichtet ist, sondern dessen Benutzer, mit dem Ziel, Login-Daten oder Passwörter auszuspähen. Den Kontakt stellen die Angreifer per Mail, am Telefon, in der Kneipe oder durch einen Besuch in der Firma her. "Bei technischen Angriffen mittels Software-Programmen können zwar auf einen Schlag tausende Computer angegriffen werden, die Erfolgschancen sind aber gering. Bei Social Engineering liegen sie deutlich höher, an die erhofften Informationen zu kommen", sagt Holz. Er schätzt, dass von 50 gezielt gerichteten Mails etwa 15 angeklickt und in einer oder zwei der Anhang geöffnet wird. Dass Unternehmen keine Auskunft darüber geben wollen, ob ihre Mitarbeiter auf Angreifer hereingefallen sind, hat einen guten Grund: Angreifbar zu sein, schadet dem guten Ruf einer Firma.

Eine gute Geschichte als "halbe Miete"

Erwarten Sie immer das Unerwartete...
Erwarten Sie immer das Unerwartete...
Foto: Fotolia.de/Tomasz Trojanowski

"Eine gute Gesichte und gründliche Recherche über das Opfer sind es schließlich, die dem Eindringling Tür und Tor öffnet", weiß Stefan Schumacher, geschäftsführender Direktor des Magdeburger Instituts für Sicherheitsforschung. Das Institut beleuchtet Sicherheitsfragen aus pädagogisch/psychologischer Sicht und berät Unternehmen bei Umsetzung und Etablierung unternehmensweiter IT-Sicherheitsstrategien. Zudem greift es Unternehmen in deren eigenen Auftrag an, um Schwachstellen aufzudecken. "Schützenswert ist jede Firma jeglicher Branche. Doch Unternehmen, in denen es etwas zu holen gibt, sind logischerweise am meisten gefährdet", so Schumacher. Innovative Mittelständler mit High-Tech-Produkten stehen ganz oben auf der Angriffsliste. Über die ausgespähten Passwörter versuchen die Angreifer an Forschungsergebnisse, Entwicklungen der Kalkulationen zu kommen. "Meist sind es internationale Wettbewerber, die sich mit leicht beschafftem Wissen einen großen Wettbewerbsvorsprung verschaffen wollen. Und häufig agieren die Angreifer im Auftrag asiatischer oder russischer Firmen und deren Nachrichtendienste.

"Man kann jeden Menschen täuschen und manipulieren", sagt der Bildungswissenschaftler Schumacher. Doch das gelinge am Montag, am Dienstag aber schon nicht mehr, "weil die Motivation zu handeln, rasch kippt". Motivation weckt man durch Sensibilisierung. Der wichtigste Grund, um Social Engineering Einhalt zu gebieten, ist der Erhalt des Arbeitsplatzes. Und der ist nur sicher, wenn alle vertraulichen Informationen bei den Mitarbeitern sicher sind.

Werte kennen und schützen

Auch die Firma Cetus Consulting aus Schüttorf berät Unternehmen in Sicherheitsfragen und bietet Schulungen an. Online oder Vis-à-vis. "Von der Putzfrau bis zum Vorstand muss sich jeder darüber bewusst sein, welche Werte in den IT-Systemen gespeichert sind und dass deren Diebstahl existenzgefährdet sein kann", sagt Geschäftsführer Frederik Humpert-Vrielink. Er hat bei Kunden auch schon erlebt, dass Social Engineering nicht immer geplant, sondern mitunter reiner Zufall ist: ein Vertriebsmitarbeiter eines Unternehmens telefonierte an der Bahnhofsraststätte mit einem Kollegen über Details einer Ausschreibung für ein Projekt. Drei Tage später hatte ein Wettbewerber den Zuschlag - dessen Vertriebsmitarbeiter hörte das Telefonat mit.

Ob wohl der unbewusst ausspionierte Mitarbeiter nach einer Schulung anders gehandelt hätte? "Mein Bauchgefühl sagt ja", so Humpert-Vrielink. Statistisch belegen lässt sich seine Vermutung aber nicht, da Unternehmen ungern über solche Vorfälle sprechen.

Fünf Regeln gegen das Ausspionieren

  1. Gesundes Misstrauen: Trotz aller Gebote der Höflichkeit sollte immer ein gesundes Misstrauen vorhanden sein.

  2. Alles, was nicht öffentlich ist, ist vertraulich: Alle Informationen des Arbeitgebers, die nicht öffentlich sind, gelten als vertraulich. Die Weitergabe an Fremde ist untersagt, es sei denn, dies ist im Einzelfall vom Vorgesetzten ausdrücklich gewünscht.

  3. Keine Interna auf Reisen preisgeben: Im Flugzeug oder in der Bahn sollte die Nutzung von Laptop und Handy auf ein Minimum beschränkt werden. Insbesondere in Großraumwagen oder in Flugzeugen sollten keine vertraulichen Gespräche geführt werden. Der Feind hört mit.

  4. Vertrauliche Informationen nur bei Anruf nennen: Vertrauliches sollte nicht am Telefon preisgeben werden. Wenn es dennoch nötig ist, rufen Sie den Ansprechpartner zurück - dann können Sie sich halbwegs sicher sein, dass der Richtige am anderen Ende mithört.

  5. Fremde Personen auf dem Betriebsgelände immer ansprechen: Fremde Personen ohne Besucher- oder Dienstausweis auf dem Betriebsgelände sind eine potenzielle Gefahr. Sprechen Sie diese Personen immer an, denn es könnten Informationsbeschaffer sein. (Quelle: Cetus Consulting)

„Die meisten werden Opfer ihrer Hilfsbereitschaft “

Petra Barzin kennt die Tricks der Social Engineers...
Petra Barzin kennt die Tricks der Social Engineers...
Foto: Secorvo

Um heraus zu finden, wie freizügig Mitarbeiter mit Informationen umgehen, beauftragen Unternehmen Experten wie Petra Barzin. Die IT-Beraterin greift dann ganz gezielt an. Social Engineering hat kaum etwas mit Technik zu tun. Bei ihren Tricks setzt Barzin auf psychologische Effekte. Wir haben uns mit ihr unterhalten.

CW: Frau Barzin, sie greifen gezielt Mitarbeiter von Firmen an, um auf das Firmengelände zu kommen oder an Passwörter für Computer zu gelangen. Warum tun sie das?

BARZIN: Ich mache das im Auftrag von Unternehmen, bei denen wir eine Awareness-Kampagne durchführen. Die Firmen haben gern zu Beginn der Aufklärungskampagne über Sicherheit einen Knalleffekt, um das Thema bei ihren Mitarbeitern interessant zu machen.

CW: Um was geht es echten Angreifern?

BARZIN: Allen wollen Informationen stehlen. Das machen sie aus zweierlei Gründen: Entweder wollen sie an Geld kommen, indem sie die Firma erpressen oder Informationen Mitbewerbern verkaufen. Eine andere Motivation ist häufig, weil man verärgert ist. Der Angreifer war beschäftigt in der Firma, wurde schlecht behandelt oder gekündigt und will sich nun rächen, indem er Informationen veröffentlicht, um dem Ruf der Firma zu schaden.

CW: Mal benutzen Sie das Telefon, in anderen Fällen schreiben Sie Mails, oder klingeln an der Pforte, um ihr Ziel zu erreichen. Welche ist die erfolgreichere Methode und auf welche Masche fallen Mitarbeiter am leichtesten herein?

BARZIN: Die Methode ist nicht ausschlaggebend. Entscheidend ist das Auftreten des Angreifers. An die Hilfsbereitschaft zu appellieren ist ein erfolgversprechender Weg. Wenn ich mit einem großen Karton als Frau auf einen Pförtner zulaufe, wird er mir eher die Tür aufhalten, als nach meinem Firmenausweis fragen. Extrem dominant und selbstbewusst aufzutreten ist eine andere Erfolgsmasche, beispielsweise den Chef herauskehren und Stress machen. Dann machen die Leute, was man von ihnen verlangt.

CW: Wie erfolgreich sind Sie mit Ihren Angriffen?

BARZIN: Jeder fünfte Mitarbeiter reagierte in den ersten zwei Tagen auf Phishing-Mails. Jeder dritte dieser Mitarbeiter gibt sein Passwort preis.

CW: Wie tarnen Sie sich?

BARZIN: Beispielsweise als IT-Mitarbeiter mit der Begründung, dass ein neues IT-System eingeführt wurde und deshalb dort Benutzername und Passwörter erstmals eingegeben werden müssen.

CW: Warum funktioniert Social Engenieering so gut?

BARZIN: Weil der Mensch anderen Menschen zunächst vertraut. Wir sind dazu erzogen, freundlich, höflich und hilfsbereit zu sein. Diese Eigenschaften begünstigen Social-Engineering-Angriffe, die Angreifer nutzen diese Eigenschaften aus.

CW: Wie können Mitarbeiter dann sensibilisiert werden?

BARZIN: Mit der Botschaft „Obwohl es unhöflich ist die Tür vor der Nase zuzuschlagen, auf eine Mail nicht zu antworten oder eine Bitte nicht nachzukommen, müsst ihr das doch manchmal tun, indem ihr kritisch nachdenkt und nachfragt“. Bei Social Engeineering geht es um Psychologie.

CW: Wie reagieren die Mitarbeiter darauf, wenn sie erfahren, dass mit ihnen Katz und Maus gespielt wurde?

BARZIN: Meistens nicht gut. Sie stehen dem Projekt negativ gegenüber und sind daher nur schwer zu sensibilisieren. Sie denken, vorgeführt worden zu sein.

CW: Opfert man mit solchen Social-Engineering-Angriffen wenige, um viele zu erreichen?

BARZIN: Ich rate eher von solchen Knalleffekten bei Awareness-Kampagnen ab. Ziel einer solchen Kampagne ist eine Verhaltensänderung. Um diese zu erreichen, müssen positive Emotionen geweckt werden. Die betroffenen und daher negativ eingestellten Leute kann man nicht umstimmen.

Zur Person

Petra Barzin, 41, Studium der Informatik in Darmstadt, anschließend fünf Jahre in einem Forschungsinstitut in Darmstadt, Schwerpunkt Sicherheitstechniken. Seit 2005 bei Secorvo in Karlsruhe als Beraterin mit den Schwerpunkten Public Key Infrastrukturen, sichere Softwareentwicklung und Security Awareness Kampagnen. Secorvo hat rund 20 Mitarbeiter und bietet Beratung in IT-Sicherheit und Datenschutz. (sh)

Zur Startseite