Von Chris Eckert

«Wir haben doch jetzt Firewall, Virenschutz, machen jeden Tag ein Backup und haben einen IT-Security Verantwortlichen eingestellt, reicht das denn noch nicht? …Das passiert doch nur bei Firmen und Institutionen, die hochgeheime Technologieren entwickeln… wir haben ja keine Informationen, die andere interessieren! …Unsere IT-Sicherheit ist 100-prozentig und nicht angreifbar…»

Dies vorweg: Solche Aussagen höre ich auch im Jahre 2018 noch oft von Entscheidungsträgern der obersten Führungsebene bis hinunter zum Fachspezialisten, wenn ich nach dem Auftauchen irgendeines Sicherheitsproblems zur Problemerfassung, Lagebeurteilung und Suche nach dem Leck oder dem Verursacher eines Schadens angefragt werde.

Weitsichtige Zeitgenossen und Führungspersönlichkeiten, manche könnten auch sagen, es seien Pessimisten mit einem ketzerischen Ansatz, sagen heute: «Es gibt zwei Arten von Unternehmen. Die einen wurden schon gehackt die anderen wissen es noch nicht….»

In der Tat, seriöse Unternehmen fokussieren sich auf die Absicherung ihrer IT-Systeme gegen Cyberattacken, Datendiebstahl, Wirtschaftskriminalität und Industriespionage. Für Angreifer wird es daher immer schwieriger, auf technischem Weg ins Herz des Unternehmens oder der Institution einzudringen und vertrauliche Daten oder Informationen zu stehlen. Und genau aus diesem Grund konzentrieren sich die Angriffe immer häufiger auf das schwächste Glied jedes Sicherheitskonzepts: den Menschen. Jeder von uns kann somit unbewusst betroffen sein und damit den Schutz der Unternehmenswerte – in der Privatwirtschaft spricht man von den «Kronjuwelen» –  gefährden. Solche Angriffe nutzen die Hilfsbereitschaft, die Gutgläubigkeit oder die Unsicherheit von Menschen aus. Social Engineering wird also überall dort angewendet, wo Menschen der Schlüssel zu Geld oder interessanten Informationen sind. Nicht nur Unternehmen vom Kleinst-KMU bis zum Weltkonzern sind davon betroffen. Auch staatliche Einrichtungen und Behörden können ebenso wie Privatpersonen manipuliert und ausspioniert werden.

Social Engineering heisst die Gefahr, und sie ist heute eine der erfolgreichsten Angriffsmethoden. Sie hat das Ziel, Personen zu beeinflussen und bestimmte Verhaltensweisen hervorzurufen. Das Vorgehen basiert auf Lügen, der Vorgabe falscher Identitäten sowie erfundenen Geschichten. Eine weitere Definition lautet: Social Engineering ist die gezielte Nutzung psychologischer, taktischer und technischer Manipulationen, um jemanden zu Handlungen zu bewegen, die er nicht möchte oder etwas gerne tut, das er nie und nimmer vorhatte. Damit werden Mitarbeitende verleitet, Daten, Konzepte, interne Strukturen, Patente, Kundenlisten etc. preiszugeben oder sogar Zugriffe auf Ihre Systeme zu gewähren.

Social Engineering ist kein neues Phänomen, sondern mit einem englischen Begriff neu versehen worden. Seit es die Menschheit gibt, sind Geheimnisse vorhanden. Und genauso lange gibt es Menschen, die hinter die Geheimnisse der anderen kommen wollen, aus wirtschaftlichen, militärischen wissenschaftlichen, politischen Gründen oder um die Konkurrenz zu schwächen. Weshalb selbst etwas entwickeln, kaufen oder herstellen, wenn man es billiger und schneller beim Konkurrenten beschaffen kann? Mussten Kriminelle und Spione – man kann sie auch etwas weniger dramatisch als «Ausspäher» bezeichnen – beim Social Engineering früher viel Mut und schauspielerische Begabung mitbringen, sind heute zusätzlich Organisationstalent, Verständnis und Wissen in Elektronik und IT sowie Teamgeist gefragt.

Mit ein paar Thesen, die sich zum angeregten Denken eignen, schliesse ich meinen Eröffnungsblog:

«Die Schwachstelle Mensch kann mit der teuersten und besten IT-Sicherheit weder verhindert noch kompensiert werden»

«Der Schaden bei einem Vorfall ist um ein Vielfaches grösser als Präventions- und Abwehrmassnahmen»

«Die IT und die Elektronik spielen bei der Ausspähung oder illegalen Informationsbeschaffung nur eine Rolle unter vielen»

«Sicherheit ist Chefsache»

«Niemand soll sagen, das kann bei uns nicht vorkommen!»

…..Oder hier zum Schluss ein aktuelles Beispiel vom 19.02.2018, welches das Gegenteil beweist und Social Engineering in vollkommener Ausführung zeigt.

Im Pendlerblatt 20 Minuten nahm die Schweizer Armee Stellung.

Autor: Chris Eckert

Chris Eckert ist Founding Partner der Swiss Business Protection AG sowie Inhaber der econplus GmbH. Er verfügt über mehr als 30 Jahre kriminalistische Erfahrung, erworben bei der Kantonspolizei Zürich sowie der Bundeskriminalpolizei. Seit über 12 Jahren ist er selbständig. Als Kriminalist, CSO / CISO a.i. in den Bereichen Informationssicherheit, Forensik und Kriminalprävention stellt er seine Erfahrung konzeptionell, strategisch und operativ zur Verfügung. Daneben ist er als Dozent in den Fachbereichen Social Engineering, Informationssicherheit und Business Protection tätig.