(Bildquelle Fragen www.pixabay.com)

 (Freie kommerzielle Nutzung https://creativecommons.org)



7. Frage:

Was ist "Social Engineering" und was kann ich dagegen tun?

 

Antwort:

Was ist Social Engineering?

Von Social Engineering spricht man immer dann, wenn ein Angreifer, z.B. für Zwecke der Industriespionage, menschliche Eigenschaften ausnutzt um an Informationen zu kommen.Social Engineering Angriffe sind leider eine extrem effiziente Methode zur Informationsbeschaffung und zwar sehr oft ohne Einsatz von technischen Hilfsmitteln. Angreifer nutzen dafür natürliche menschliche Reaktionen aus, positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit, Dankbarkeit, Stolz auf die Arbeit und das Unternehmen oder weniger positive Aspekte wie Gutgläubigkeit, Respekt vor Autoritäten oder gar Bestechlichkeit und auch Eigenschaften wie Konfliktvermeidung und Liebesbedürfnis und der Wunsch, ein guter Teamplayer zu sein.

 

Sehenswerte Demonstration in diesem YouTube-Video: how to break into your account in 2 minutes.... Babygeschrei wird eingeblendet und der genervte Helpdesk Mitarbeiter setzt ohne jeden Nachweis der Identität das Passwort zurück. 

 

Hier können Sie den Clip ansehen:

Oft sind solche Angriffe eine Vorbereitung für einen Einbruch in das Firmennetz, z.B. indem auf diese Weise Benutzername und Passwort eines Mitarbeiters erschlichen werden oder indem das Imitieren eines Telecom-Technikers für ein Eindringen auf das Werksgelände genutzt wird.

 

Social Engineering kann aber auch mit Gesprächen im Wirtshaus beginnen, bei denen ein Mitarbeiter Vertrauliches ausplaudert (vielleicht erzählt er stolz, an welchen Angeboten er derzeit arbeitet oder was für eine tolle Technologie die Firma gerade entwickelt), oder über Anrufe beim Empfang oder einer Sekretärin als vorgeblicher Mitarbeiter einer anderen Niederlassung, bis hin zum Vorstand, der einem (falschen) Journalisten gern ein Interview über Zukunftspläne des Unternehmens gibt.

 

Traditionelle Schutzkonzepte

Traditionelle Schutzkonzepte (auch in den Büchern von Kevin Mitnick) gehen davon aus, dass es ausreichend ist, wenn das Unternehmen klare und stringente Sicherheitsregeln aufstellt und diese den Mitarbeitern vermittelt, wie z.B.

  • konsequentes Sperren von Bildschirmen beim Verlassen des Arbeitsplatzes, so dass Betriebsfremde die sich Zutritt zum Gebäude erschlichen haben, keine Zugriff auf das Computernetz haben
  • konsequentes Abräumen der Schreibtische am Ende des Arbeitstags
  • Zugangspassworte werden nur dann zurückgesetzt, wenn der unmittelbare Vorgesetzte dies anordnet oder der Mitarbeiter persönlich beim Helpdesk vorspricht
  • alle Mitarbeiter tragen deutlich sichtbar ihre Firmenausweise, Fremde sind leicht zu erkennen
  • alle Mitarbeiter nutzen ihre elektronische Zugangskarten
  • alle Besucher werden beim Empfang abgeholt und sind nie unbeaufsichtigt auf dem Firmengelände

Aber die Realität sieht dann zumeist trotzdem anders aus: es findet sich immer 1 Bildschirm, der unversperrt ist („ich werde doch meinen Kollegen vertrauen können“), das Abräumen der Schreibtische ist viel zu mühsam und wenn hinter mir noch jemand durch das Werkstor will, dann gebietet doch schon die Höflichkeit, dass ich ihm oder ihr die Tür aufhalte. Passworte werden sehr wohl auf Zuruf zurückgesetzt, wenn der Kollege nur genügend Druck macht und auf das dringende Projekt hinweist, das heute Abend noch erledigt werden muss. Und nach kurzer Zeit dürfen Gäste auch wieder allein auf dem Werksgelände „herumstreunen“. 

 

Das heißt, diese Regeln sind zwar gut und notwendig, aber der Wunsch, den Kollegen vertrauen zu können, die Bequemlichkeit, die Kundenfreundlichkeit, die Höflichkeit der Mitarbeiter untergräbt die Regeln sehr schnell wieder. Strenge Regeln, die aber in „Notsituationen“ nicht anwendbar sind, helfen niemandem, sondern verlagern das Problem und den Konflikt zwischen Einhaltung der Regeln und Kundenfreundlichkeit (Höflichkeit, Bequemlichkeit, „gute Kinderstube“, Respekt vor Autoritäten) nur auf den Mitarbeiter. 

 

Außerdem findet sich immer wieder ein neuer Schmäh, der von den bisherigen Regeln nicht abgedeckt wird.

 

 (Text und Wortlaut ist Eigentum von Herrn Philipp Schaumann Homepage:  www.sicherheitskultur.at  / Lizenz)


Wie einfallsreich Cyber-Kriminelle sind zeigt der anschließende YouTube-Video von QSO4YOU.tech von 2016 sehr deutlich (17:45 Minuten)

Getarnt als Bewerbung für eine tatsächlich ausgeschriebene Arbeitsstelle !!



Was ist zu tun?

Unverzügliche SOFORTMASSNAHMEN

Internet

 (der Link führt Sie direkt zu den noch unbekannten Schnellmaßnahmen)

Mit unserer Cyber-Risk Versicherung können wir Sie nicht vor einem Hacker-Angriff schützen, aber die finanziellen Folgen gemeinsam mit Ihnen tragen.

Ihre Frage ist nicht dabei? - zögern Sie nicht und rufen Sie mich doch bitte an Mobil: +43 680 128 80 60

oder schreiben Sie mir ein E-Mail an k.frauendorfer@irm-broker.com und ich rufe Sie zurück!