Herr Franz, was versteht man unter dem Begriff ‚Social Engineering‘ im Zusammenhang mit dem Thema Cybersecurity?
Tobias Franz: Als Social Engineering bezeichnet man das Ausnutzen von menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen oder auch Respekt vor Autoritäten, um sich über Mitarbeiter Zugang zu internen IT-Systemen eines Unternehmens zu verschaffen. Dabei versuchen Angreifer beispielsweise durch Mitarbeiter direkt an vertrauliche Informationen zu gelangen oder Schadsoftware in der internen IT auszuführen, um das dortige Netzwerk zu kompromittieren. Kurz gesagt, werden mit dem Begriff Social Engineering Angriffswege beschrieben, die nicht nur durch technische Schwachstellen zum Erfolg führen sollen, sondern die psychologische Ebene mit einbeziehen.
Wie gehen die Angreifer dabei vor?
Franz: Die bekannteste Methode, von der man auch in den Medien immer öfter hört, ist das Versenden von Phishing Mails, also E-Mails, die vertrauenserweckend wirken und den Empfänger z.B. zur Herausgabe von Informationen auffordern oder einen Link enthalten, über den eine Schadsoftware ins System geschleust wird. Es geht aber auch viel persönlicher, indem Angreifer direkten Zugang zu Gebäuden erlangen, um dort beispielsweise Netzwerk-Sniffer zu platzieren und so Zugriff auf das interne Netzwerk erhalten. Geräte zum Abfangen von Passwörtern sind auch sehr beliebt.
Sind Firmengebäude unzureichend vor dem Zutritt Unbefugter gesichert?
Franz: Man sollte meinen, fremde Personen fielen in Firmengebäuden schnell auf, aber hier zählt ganz klar: Dreistigkeit siegt. Je selbstbewusster und unauffälliger sich die Angreifer im Gebäude bewegen, desto geringer ist das Risiko angesprochen zu werden. Welcher Mitarbeiter möchte sich schon die Blöße geben und gegebenenfalls einen hochrangigen Geschäftspartner fragen, was er dort zu suchen hat? Da sagt man lieber nichts. Der erste wichtige Schritt zur Abwehr solcher Angriffsversuche ist die Schulung des Sicherheitsbewusstseins aller Mitarbeiter, so dass diese solche Situationen erkennen, im Ernstfall richtig einschätzen und entsprechend reagieren.