Social Engineer

Sicherheitsrisiko Mensch


6. Dezember 2017, von in IT-Sicherheit

60 Prozent der IT-Sicherheitsvorfälle in Unternehmen gehen auf den Faktor Mensch zurück. Ein Social Engineer macht sich das zunutze. Wie manipulierbar wir in bestimmten Situationen sind und welche Folgen das haben kann, zeigt eine reale Social Engineering Attacke – passend zur Weihnachtszeit.

social engineer, security awareness, social engineering attacke

Der Nikolaus hat nicht immer Geschenke dabei. Er könnte auch ein weihnachtlicher Social Engineer sein. Foto: pixabay.de/geralt – Gerd Altmann

Social Engineer als Nikolaus

Die Luft ist raus, alle Kollegen sehnen sich nach den Weihnachtsfeiertagen. Das ist die derzeitige Situation  in fast allen Firmen. Nett, wenn der Chef am 6. Dezember noch einmal die Mannschaft motivieren will und einen Nikolaus als Überraschungsgast engagiert. Dumm nur, wenn der Nikolaus keine Geschenke dabei hat, sondern seinen Sack mit den Wertsachen der Mitarbeiter füllt. Das gibt’s nicht? Doch. Das Ganze ist eine IT-Security-Awareness-Maßnahme.

Das Systemhaus Erdmann GmbH & Co. KG stärkt die IT Security Awareness  (IT-Sicherheitsbewusstsein) von Unternehmensmitarbeitern. Mit diversen Angeboten unterstützt der IT-Dienstleister aus Solingen Firmen dabei, IT-Sicherheitsvorfälle durch den Faktor Mensch zu verringern. Dafür muss jedoch erst einmal geklärt werden, ob überhaupt eine Gefahrenlage gegeben ist. Deshalb mimt Systemhaus-Geschäftsführer und  IT-SERVICE.NETWORK-Partner Tobias Erdmann auch gern mal selbst den Social Engineer – zum Beispiel als Nikolaus. Wenn Sie Tobias Erdmanns Nikolaus-Geschichte erfahren wollen, dann lesen Sie jetzt weiter.

Social Engineer nutzt menschliche Schwachstelle

„Das ist ja eine nette Überraschung – der Nikolaus“, so fällt die Begrüßung der Empfangsdame aus, als Tobias Erdmann am 6. Dezember, zugegebener Maßen etwas nervös, als Nikolaus verkleidet an der gläsernen Eingangstür eines Unternehmens um Eintritt bittet. Mit offenen Armen wird ihm Einlass gewährt. Keine Frage, nicht mal der Anflug eines Zweifel: Das war garantiert eine Überraschung des Chefs. Der Social Engineer hat die erste Hürde genommen.

Ein paar „Hohos“ und Nordpol-Geschichten weiter streift der Nikolaus durch die Abteilungen. Sein Jute-Sack ist prall gefüllt mit kleinen Schokoladen-Nikoläusen. Die tauscht er unbemerkt gegen Smartphones und Tablets aus. Wer misstraut schon dem Weihnachtsmann? Hier und da sagt Santa mal ein Weihnachtsgedicht auf, schwärmt von seinen fleißigen Elfen und seinem rotnasigem Rentier, das inbrünstig seinen Schlitten zieht. Nur die vielen Plätzchen hindern ihn dieses Jahr daran, durch den Schornstein zu steigen. Tobias Erdmann überzeugt als Social Engineer. Eine Stunde später verabschiedet er sich. Der weißbärtige Mann zieht von dannen – mit fetter Beute.

Social Engineering Attacken

Die Nikolaus-Geschichte ist eine von vielen, die Tobias Erdmann in seiner Rolle als Social Engineer zu erzählen hat. Er hat sich schon als neuer, unbedarfter Kollege in Firmen eingeschlichen – ganz ohne Zugangskontrollkarte oder Mitarbeiterausweis. Selbst seine Kaffee-Verköstigung hat er trickreich gesichert – ganz ohne Wertkarte oder Bargeld: „Ach, Mist, ich habe meine Karte und mein Portemonnaie vergessen, kannst Du mir wohl eben einen Kaffee ziehen?“ Und schon steht Tobias Erdmann da, mit einem heißen Röstkaffee in den Händen und spioniert durch die Gänge der fremden Firma – natürlich alles in Absprache mit der Geschäftsführung. Das alles geht auch per Telefon, via Phishing-Emails oder mit bewusst platzierten USB-Sticks. „Wer steckt nicht einen USB-Stick ein, wenn da so etwas wie Gehaltsliste draufsteht?“, kommentiert Ermann und zeigt damit die uns allen innewohnenden moralischen Abgründe auf.

Social Engineer: Denken Sie IT-Sicherheit nicht nur technisch

Tobias Erdmann zeigt mit seinen Social Engineering Attacken, dass IT-Sicherheit nicht nur technisch gedacht werden darf. „Was IT-Security betrifft, ist der Mensch der größte Risikofaktor. Er kann aber auch die beste Firewall sein – wenn denn die Mitarbeiter dahingehend sensibilisiert werden. Und damit meine ich nicht, Mitarbeiter paranoid zu schulen“, erklärt der Security-Awareness-Spezialist Erdmann. Für eine Social Engineering Attacke wie diese sei zwar nicht jede Chefetwage offen, „aber die, die es sind und uns engagieren, sind geradezu enttäuscht, wenn wir nix finden“, schildert Erdmann seine Erfahrungen.

Social Engineer engagieren

Sie wollen selbst Ihre Mitarbeiter für IT-Sicherheit sensibilisieren? Beim IT-Kompetenzverbund IT-SERVICE.NETWORK finden Sie den passenden IT-Dienstleister in Ihrer Nähe. Wenn Ihr Unternehmen nicht nur als Test Opfer von einem Social Engineer oder anderen Cyber-Betrugsmaschen ist, können Sie sich an die Zentrale Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes für die Wirtschaft wenden. Wer sich jetzt noch weiter zu diesem Thema und eine bestimmte so genannte Human-Hacking-Methode sowie Gegenmaßnahmen informieren möchte, dem sei der Blog-Artikel CEO-Fraud ans Herz gelegt. Ebenso greift der Artikel E-Mail von @ceopvtmail.com – BKA warnt Firmen vor CEO-Betrug eine immer wieder aktuelle Social Engineering Attacke auf.

comteess, 10. Dezember 2017 um 20:32

I’m impressed, I must say. Really hardly ever do I encounter a weblog that’s each educative and entertaining, and let me tell you, you’ve hit the nail on the head. Your idea is outstanding; the issue is one thing that not sufficient people are speaking intelligently about. I am very happy that I stumbled throughout this in my seek for something relating to this.

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.