Gastkommentar zu Social Hacking: Zielscheibe Mensch

Die besten Sicherheitslösungen helfen nichts, wenn die Anwender versagen, warnt Olaf Niemeitz, Geschäftsführer beim IT-Dienstleister Crocodial IT Security, der ab 2017 Axians IT Security heißen wird. Er empfiehlt Unternehmen deshalb, unbedingt auch ihre Mitarbeiter auf Social Hacking-Angriffe wie die »Chef-Masche« vorzubereiten.

Olaf Niemeitz ist Geschäftsführer von Crocodial IT Security
(Foto: Crcodial Security)

Viele Unternehmen fühlen sich nach eigenen Angaben gut gegen Gefahren aus dem Internet gewappnet. Dabei setzen sie IT-Security gleich mit technischer Sicherheit. Hard- und Software müssen natürlich gut zusammenarbeiten, aufeinander abgestimmt sein und dem aktuellen Stand entsprechen. Doch die beste Technik kann ganz einfach ausgehebelt werden, wenn Menschen Fehler machen oder sich nicht an Richtlinien halten – sie sind die größte Schwachstelle eines jeden Unternehmens. Das wissen auch Cyber-Kriminelle und überrumpeln sie mit klassischen Methoden des Social Hackings, auch Social Engineering genannt.

Das könnte in etwa so aussehen: Sie rufen die Mitarbeiter an, schicken ihnen E-Mails oder kommen gleich selbst vorbei, um ihnen Informationen zu entlocken. Dabei geben sie sich häufig als Techniker aus und verwirren ihre Opfer mit Fachbegriffen. Oder sie überhäufen diese mit im Vorfeld recherchierten Unternehmensinformationen und erwecken so den Anschein, sie seien ebenfalls betriebszugehörig. Dadurch werden arglose Mitarbeiter verführt, ihnen Zugangsdaten und andere vertrauliche Details mitzuteilen. Immer wieder gibt es Fälle, bei denen Angestellte auf diese Weise sogar große Geldsummen auf fremde Konten im Ausland überweisen.

Die Mitarbeiter für solche Risiken und Gefahren zu sensibilisieren, ist deshalb zunehmend zu einer Kernaufgabe der IT-Abteilungen geworden. Eine ganzheitliche Sicherheitsstrategie muss neben technischen Mitteln immer den Risikofaktor Mensch berücksichtigen. Deshalb gilt es, Sicherheitskompetenz und Risikobewusstsein der Mitarbeiter zu erhöhen. Klar festgelegte Prozesse für den Ernstfall sowie spezielle Trainings sind unerlässlich, wenn Unternehmen die Sicherheit ihrer Systeme erhöhen wollen. Es gilt zu verstehen, dass nicht nur die Technologie Zielscheibe von Angriffen sein kann.