60 Prozent der IT-Sicherheitsvorfälle in Unternehmen gehen auf den Faktor Mensch zurück. Ein Social Engineer macht sich das zunutze. Wie manipulierbar wir in bestimmten Situationen sind und welche Folgen das haben kann, zeigt eine reale Social Engineering Attacke.
In diesem Blogartikel berichten wir passend zur Weihnachtszeit wir davon.
Social Engineer als Nikolaus
Die Luft ist raus, alle Kollegen sehnen sich nach den Weihnachtsfeiertagen. Das ist die derzeitige Situation in fast allen Firmen. Nett, wenn der Chef am 6. Dezember noch einmal die Mannschaft motivieren will und einen Nikolaus als Überraschungsgast engagiert. Dumm nur, wenn der Nikolaus keine Geschenke dabei hat, sondern seinen Sack mit den Wertsachen der Mitarbeiter füllt. Das gibt’s nicht? Doch. Das Ganze ist eine IT-Security-Awareness-Maßnahme.
Das Systemhaus Erdmann GmbH & Co. KG stärkt die IT Security Awareness (IT-Sicherheitsbewusstsein) von Unternehmensmitarbeitern. Mit diversen Angeboten unterstützt der IT-Dienstleister aus Solingen Firmen dabei, IT-Sicherheitsvorfälle durch den Faktor Mensch zu verringern. Dafür muss jedoch erst einmal geklärt werden, ob überhaupt eine Gefahrenlage gegeben ist.
Deshalb mimt Systemhaus-Geschäftsführer und IT-SERVICE.NETWORK-Partner Tobias Erdmann auch gern mal selbst den Social Engineer – zum Beispiel als Nikolaus. Wenn Sie Tobias Erdmanns Nikolaus-Geschichte erfahren wollen, dann lesen Sie jetzt weiter.
Social Engineer engagieren
„Das ist ja eine nette Überraschung – der Nikolaus“, so fällt die Begrüßung der Empfangsdame aus, als Tobias Erdmann am 6. Dezember, zugegebener Maßen etwas nervös, als Nikolaus verkleidet an der gläsernen Eingangstür eines Unternehmens um Eintritt bittet. Mit offenen Armen wird ihm Einlass gewährt. Keine Frage, nicht mal der Anflug eines Zweifel: Das war garantiert eine Überraschung des Chefs. Der Social Engineer hat die erste Hürde genommen.
Ein paar „Hohos“ und Nordpol-Geschichten weiter streift der Nikolaus durch die Abteilungen. Sein Jute-Sack ist prall gefüllt mit kleinen Schokoladen-Nikoläusen. Die tauscht er unbemerkt gegen Smartphones und Tablets aus. Wer misstraut schon dem Weihnachtsmann? Hier und da sagt Santa mal ein Weihnachtsgedicht auf, schwärmt von seinen fleißigen Elfen und seinem rotnasigem Rentier, das inbrünstig seinen Schlitten zieht.
Nur die vielen Plätzchen hindern ihn dieses Jahr daran, durch den Schornstein zu steigen. Tobias Erdmann überzeugt als Social Engineer. Eine Stunde später verabschiedet er sich. Der weißbärtige Mann zieht von dannen – mit fetter Beute.
Führen Sie in Ihrem Unternehmen fingierte Social-Engineering-Angriffe durch
Die Nikolaus-Geschichte ist eine von vielen, die Tobias Erdmann in seiner Rolle als Social Engineer zu erzählen hat. Er hat sich schon als neuer, unbedarfter Kollege in Firmen eingeschlichen – ganz ohne Zugangskontrollkarte oder Mitarbeiterausweis. Selbst seine Kaffee-Verköstigung hat er trickreich gesichert – ganz ohne Wertkarte oder Bargeld: „Ach, Mist, ich habe meine Karte und mein Portemonnaie vergessen, kannst Du mir wohl eben einen Kaffee ziehen?“
Und schon steht Tobias Erdmann da, mit einem heißen Röstkaffee in den Händen und spioniert durch die Gänge der fremden Firma – natürlich alles in Absprache mit der Geschäftsführung. Das alles geht auch per Telefon, via Phishing-Emails oder mit bewusst platzierten USB-Sticks. „Wer steckt nicht einen USB-Stick ein, wenn da so etwas wie Gehaltsliste draufsteht?“, kommentiert Ermann und zeigt damit die uns allen innewohnenden moralischen Abgründe auf.
Social Engineer zur Sensibilisierung von menschlicher Schwachstelle
Sie wollen selbst Ihre Mitarbeiter für IT-Sicherheit sensibilisieren? Beim IT-Kompetenzverbund IT-SERVICE.NETWORK finden Sie den passenden IT-Dienstleister in Ihrer Nähe. Tobias Erdmann zeigt mit seinen Social Engineering Attacken, dass IT-Sicherheit nicht nur technisch gedacht werden darf: „Was IT-Security betrifft, ist der Mensch der größte Risikofaktor. Er kann aber auch die beste Firewall sein – wenn denn die Mitarbeiter dahingehend sensibilisiert werden. Und damit meine ich nicht, Mitarbeiter paranoid zu schulen“, erklärt der Security-Awareness-Spezialist Erdmann.
Für eine Human-Hacking-Methode wie diese sei zwar nicht jede Chefetwage offen, „aber die, die es sind und uns engagieren, sind geradezu enttäuscht, wenn wir nix finden“, schildert Erdmann seine Erfahrungen.
Social Engineering – im Regelfall keine Übung
Wer sich jetzt noch weiter zu dem Thema Social Engineering sowie zu entsprechenden Gegenmaßnahmen informieren möchte, dem sei der Blog-Artikel Social Hacking – Wie man die „Schwachstelle Mensch“ erfolgreich behebt ans Herz gelegt. In einem weiteren Blogpost zum Social Engineering gehen wir auf die zehn beliebte Social-Engineering-Methoden im Überblick ein.
Auf die allzeit beliebteste Social-Engineering-Methode, dem CEO-Betrug bzw. CEO-Fraud, gehen wir in zwei Blogposts ein und greifen mit unserem Artikel E-Mail von @ceopvtmail.com – BKA warnt Firmen vor CEO-Betrug ein Fallbeispiel hierzu exemplarisch auf. Wenn Ihr Unternehmen nicht nur als Test Opfer von einem Social Engineer oder anderen Cyber-Betrugsmaschen ist, können Sie sich an die Zentrale Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes für die Wirtschaft wenden.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung