Das Brett wird dort gebohrt, wo es am dünnsten ist…

2
Share.

Von Chris Eckert

«Wir haben doch jetzt Firewall, Virenschutz, machen jeden Tag ein Backup und haben einen IT-Security Verantwortlichen eingestellt, reicht das denn noch nicht? …Das passiert doch nur bei Firmen und Institutionen, die hochgeheime Technologieren entwickeln… wir haben ja keine Informationen, die andere interessieren! …Unsere IT-Sicherheit ist 100-prozentig und nicht angreifbar…»

Dies vorweg: Solche Aussagen höre ich auch im Jahre 2018 noch oft von Entscheidungsträgern der obersten Führungsebene bis hinunter zum Fachspezialisten, wenn ich nach dem Auftauchen irgendeines Sicherheitsproblems zur Problemerfassung, Lagebeurteilung und Suche nach dem Leck oder dem Verursacher eines Schadens angefragt werde.

Weitsichtige Zeitgenossen und Führungspersönlichkeiten, manche könnten auch sagen, es seien Pessimisten mit einem ketzerischen Ansatz, sagen heute: «Es gibt zwei Arten von Unternehmen. Die einen wurden schon gehackt die anderen wissen es noch nicht….»

In der Tat, seriöse Unternehmen fokussieren sich auf die Absicherung ihrer IT-Systeme gegen Cyberattacken, Datendiebstahl, Wirtschaftskriminalität und Industriespionage. Für Angreifer wird es daher immer schwieriger, auf technischem Weg ins Herz des Unternehmens oder der Institution einzudringen und vertrauliche Daten oder Informationen zu stehlen. Und genau aus diesem Grund konzentrieren sich die Angriffe immer häufiger auf das schwächste Glied jedes Sicherheitskonzepts: den Menschen. Jeder von uns kann somit unbewusst betroffen sein und damit den Schutz der Unternehmenswerte – in der Privatwirtschaft spricht man von den «Kronjuwelen» –  gefährden. Solche Angriffe nutzen die Hilfsbereitschaft, die Gutgläubigkeit oder die Unsicherheit von Menschen aus. Social Engineering wird also überall dort angewendet, wo Menschen der Schlüssel zu Geld oder interessanten Informationen sind. Nicht nur Unternehmen vom Kleinst-KMU bis zum Weltkonzern sind davon betroffen. Auch staatliche Einrichtungen und Behörden können ebenso wie Privatpersonen manipuliert und ausspioniert werden.

Social Engineering heisst die Gefahr, und sie ist heute eine der erfolgreichsten Angriffsmethoden. Sie hat das Ziel, Personen zu beeinflussen und bestimmte Verhaltensweisen hervorzurufen. Das Vorgehen basiert auf Lügen, der Vorgabe falscher Identitäten sowie erfundenen Geschichten. Eine weitere Definition lautet: Social Engineering ist die gezielte Nutzung psychologischer, taktischer und technischer Manipulationen, um jemanden zu Handlungen zu bewegen, die er nicht möchte oder etwas gerne tut, das er nie und nimmer vorhatte. Damit werden Mitarbeitende verleitet, Daten, Konzepte, interne Strukturen, Patente, Kundenlisten etc. preiszugeben oder sogar Zugriffe auf Ihre Systeme zu gewähren.

Social Engineering ist kein neues Phänomen, sondern mit einem englischen Begriff neu versehen worden. Seit es die Menschheit gibt, sind Geheimnisse vorhanden. Und genauso lange gibt es Menschen, die hinter die Geheimnisse der anderen kommen wollen, aus wirtschaftlichen, militärischen wissenschaftlichen, politischen Gründen oder um die Konkurrenz zu schwächen. Weshalb selbst etwas entwickeln, kaufen oder herstellen, wenn man es billiger und schneller beim Konkurrenten beschaffen kann? Mussten Kriminelle und Spione – man kann sie auch etwas weniger dramatisch als «Ausspäher» bezeichnen – beim Social Engineering früher viel Mut und schauspielerische Begabung mitbringen, sind heute zusätzlich Organisationstalent, Verständnis und Wissen in Elektronik und IT sowie Teamgeist gefragt.

Mit ein paar Thesen, die sich zum angeregten Denken eignen, schliesse ich meinen Eröffnungsblog:

«Die Schwachstelle Mensch kann mit der teuersten und besten IT-Sicherheit weder verhindert noch kompensiert werden»

«Der Schaden bei einem Vorfall ist um ein Vielfaches grösser als Präventions- und Abwehrmassnahmen»

«Die IT und die Elektronik spielen bei der Ausspähung oder illegalen Informationsbeschaffung nur eine Rolle unter vielen»

«Sicherheit ist Chefsache»

«Niemand soll sagen, das kann bei uns nicht vorkommen!»

…..Oder hier zum Schluss ein aktuelles Beispiel vom 19.02.2018, welches das Gegenteil beweist und Social Engineering in vollkommener Ausführung zeigt.

Im Pendlerblatt 20 Minuten nahm die Schweizer Armee Stellung.


Über den Autor

Chris Eckert ist seit fast 10 Jahren als Kriminalist und Geschäftsführer in den Bereichen IT-Forensik/IT-Sicherheit, Ermittlung und Kriminalprävention tätig. Er unterstützt und berät mit seiner Firma econplus GmbH mit Sitz in Zug Entscheidungsträger bei Bedrohungslagen und Geschäftsrisiken wie Cyberattacken, Industriespionage und Wirtschaftskriminalität. Die über 20 Jahre Führungs- und Einsatzerfahrung bei der Kriminalpolizei des Kantons Zürich sowie der Bundeskriminalpolizei runden seine Erfahrung ab.

In regelmässigen Abständen wird Chris Eckert einzelne Threads in diesem Blog posten. Er freut sich auf Ihre Kommentare, allfällige Fragen oder die direkte Anschrift per email hidden; JavaScript is required

Share.

2 Kommentare

    • Chris Eckert on

      Vielen Dank für den Kommentar mit Hinweis! Ja absolut, sehr gut aufgezeigtes und auf die Zielperson zugeschnittenes Social Engineering. Das gezielte und geplante Vorgehen während einer langen Phase mit Ziel Ausspähung findet in der Industrie- und Wirtschaftsspionage aber auch in der Wirtschaftskriminalität tatsächlich statt.
      Gruss Chris Eckert

Reply To Peter Fuchs Cancel Reply