IT-Sicherheit

Social Engineer

Sicherheitsrisiko Mensch

social engineer, security awareness, social engineering attacke
Der Nikolaus hat nicht immer Geschenke dabei. Es könnte auch ein weihnachtlicher Social Engineer sein. Foto: pixabay.de/geralt – Gerd Altmann

60 Prozent der IT-Sicherheitsvorfälle in Unternehmen gehen auf den Faktor Mensch zurück. Ein Social Engineer macht sich das zunutze. Wie manipulierbar wir in bestimmten Situationen sind und welche Folgen das haben kann, zeigt eine reale Social Engineering Attacke.

In diesem Blogartikel berichten wir passend zur Weihnachtszeit wir davon.

social engineer, security awareness, social engineering attacke

Der Nikolaus hat nicht immer Geschenke dabei. Er könnte auch ein weihnachtlicher Social Engineer sein. Foto: pixabay.de/geralt – Gerd Altmann

Social Engineer als Nikolaus

Die Luft ist raus, alle Kollegen sehnen sich nach den Weihnachtsfeiertagen. Das ist die derzeitige Situation  in fast allen Firmen. Nett, wenn der Chef am 6. Dezember noch einmal die Mannschaft motivieren will und einen Nikolaus als Überraschungsgast engagiert. Dumm nur, wenn der Nikolaus keine Geschenke dabei hat, sondern seinen Sack mit den Wertsachen der Mitarbeiter füllt. Das gibt’s nicht? Doch. Das Ganze ist eine IT-Security-Awareness-Maßnahme.

Das Systemhaus Erdmann GmbH & Co. KG stärkt die IT Security Awareness  (IT-Sicherheitsbewusstsein) von Unternehmensmitarbeitern. Mit diversen Angeboten unterstützt der IT-Dienstleister aus Solingen Firmen dabei, IT-Sicherheitsvorfälle durch den Faktor Mensch zu verringern. Dafür muss jedoch erst einmal geklärt werden, ob überhaupt eine Gefahrenlage gegeben ist.

Deshalb mimt Systemhaus-Geschäftsführer und  IT-SERVICE.NETWORK-Partner Tobias Erdmann auch gern mal selbst den Social Engineer – zum Beispiel als Nikolaus. Wenn Sie Tobias Erdmanns Nikolaus-Geschichte erfahren wollen, dann lesen Sie jetzt weiter.

Social Engineer engagieren

„Das ist ja eine nette Überraschung – der Nikolaus“, so fällt die Begrüßung der Empfangsdame aus, als Tobias Erdmann am 6. Dezember, zugegebener Maßen etwas nervös, als Nikolaus verkleidet an der gläsernen Eingangstür eines Unternehmens um Eintritt bittet. Mit offenen Armen wird ihm Einlass gewährt. Keine Frage, nicht mal der Anflug eines Zweifel: Das war garantiert eine Überraschung des Chefs. Der Social Engineer hat die erste Hürde genommen.

Ein paar „Hohos“ und Nordpol-Geschichten weiter streift der Nikolaus durch die Abteilungen. Sein Jute-Sack ist prall gefüllt mit kleinen Schokoladen-Nikoläusen. Die tauscht er unbemerkt gegen Smartphones und Tablets aus. Wer misstraut schon dem Weihnachtsmann? Hier und da sagt Santa mal ein Weihnachtsgedicht auf, schwärmt von seinen fleißigen Elfen und seinem rotnasigem Rentier, das inbrünstig seinen Schlitten zieht.

Nur die vielen Plätzchen hindern ihn dieses Jahr daran, durch den Schornstein zu steigen. Tobias Erdmann überzeugt als Social Engineer. Eine Stunde später verabschiedet er sich. Der weißbärtige Mann zieht von dannen – mit fetter Beute.

Führen Sie in Ihrem Unternehmen fingierte Social-Engineering-Angriffe durch

Die Nikolaus-Geschichte ist eine von vielen, die Tobias Erdmann in seiner Rolle als Social Engineer zu erzählen hat. Er hat sich schon als neuer, unbedarfter Kollege in Firmen eingeschlichen – ganz ohne Zugangskontrollkarte oder Mitarbeiterausweis. Selbst seine Kaffee-Verköstigung hat er trickreich gesichert – ganz ohne Wertkarte oder Bargeld: „Ach, Mist, ich habe meine Karte und mein Portemonnaie vergessen, kannst Du mir wohl eben einen Kaffee ziehen?“

Und schon steht Tobias Erdmann da, mit einem heißen Röstkaffee in den Händen und spioniert durch die Gänge der fremden Firma – natürlich alles in Absprache mit der Geschäftsführung. Das alles geht auch per Telefon, via Phishing-Emails oder mit bewusst platzierten USB-Sticks. „Wer steckt nicht einen USB-Stick ein, wenn da so etwas wie Gehaltsliste draufsteht?“, kommentiert Ermann und zeigt damit die uns allen innewohnenden moralischen Abgründe auf.

Social Engineer zur Sensibilisierung von menschlicher Schwachstelle

Sie wollen selbst Ihre Mitarbeiter für IT-Sicherheit sensibilisieren? Beim IT-Kompetenzverbund IT-SERVICE.NETWORK finden Sie den passenden IT-Dienstleister in Ihrer Nähe. Tobias Erdmann zeigt mit seinen Social Engineering Attacken, dass IT-Sicherheit nicht nur technisch gedacht werden darf: „Was IT-Security betrifft, ist der Mensch der größte Risikofaktor. Er kann aber auch die beste Firewall sein – wenn denn die Mitarbeiter dahingehend sensibilisiert werden. Und damit meine ich nicht, Mitarbeiter paranoid zu schulen“, erklärt der Security-Awareness-Spezialist Erdmann.

Für eine Human-Hacking-Methode wie diese sei zwar nicht jede Chefetwage offen, „aber die, die es sind und uns engagieren, sind geradezu enttäuscht, wenn wir nix finden“, schildert Erdmann seine Erfahrungen.

Social Engineering – im Regelfall keine Übung

Wer sich jetzt noch weiter zu dem Thema Social Engineering sowie zu entsprechenden Gegenmaßnahmen informieren möchte, dem sei der Blog-Artikel Social Hacking – Wie man die „Schwachstelle Mensch“ erfolgreich behebt ans Herz gelegt. In einem weiteren Blogpost zum Social Engineering gehen wir auf die zehn beliebte Social-Engineering-Methoden im Überblick ein.

Auf die allzeit beliebteste Social-Engineering-Methode, dem CEO-Betrug bzw. CEO-Fraud, gehen wir in zwei Blogposts ein und greifen mit unserem Artikel E-Mail von @ceopvtmail.com – BKA warnt Firmen vor CEO-Betrug ein Fallbeispiel hierzu exemplarisch auf. Wenn Ihr Unternehmen nicht nur als Test Opfer von einem Social Engineer oder anderen Cyber-Betrugsmaschen ist, können Sie sich an die Zentrale Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes für die Wirtschaft wenden.

Geschrieben von

Weiterlesen

Fragen zum Artikel? Frag den Autor
1 Kommentar

comteess, 10. Dezember 2017 um 20:32

I’m impressed, I must say. Really hardly ever do I encounter a weblog that’s each educative and entertaining, and let me tell you, you’ve hit the nail on the head. Your idea is outstanding; the issue is one thing that not sufficient people are speaking intelligently about. I am very happy that I stumbled throughout this in my seek for something relating to this.

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen