Tobias Franz von TÜV Trust IT zu Social Engineering
"Dreistigkeit siegt"
Cyberangreifer werden immer kreativer beim Ausnutzen von Sicherheitslücken in IT-Systemen. Eine Vielzahl an Methoden, um an Informationen zu gelangen, bietet das Social Engineering. Dabei wird der Faktor Mensch als potenzielle Schwachstelle genutzt. Wie Angreifer dabei vorgehen erläutert Tobias Franz, bei TÜV Trust IT für den Bereich Social Engineering verantwortlich.
©Song_about_summer/stock.adobe.comHerr Franz, was versteht man unter dem Begriff 'Social Engineering' im Zusammenhang mit dem Thema Cybersecurity?
Tobias Franz: Als Social Engineering bezeichnet man das Ausnutzen von menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen oder auch Respekt vor Autoritäten, um sich über Mitarbeiter Zugang zu internen IT-Systemen eines Unternehmens zu verschaffen. Dabei versuchen Angreifer beispielsweise durch Mitarbeiter direkt an vertrauliche Informationen zu gelangen oder Schadsoftware in der internen IT auszuführen, um das dortige Netzwerk zu kompromittieren. Kurz gesagt, werden mit dem Begriff Social Engineering Angriffswege beschrieben, die nicht nur durch technische Schwachstellen zum Erfolg führen sollen, sondern die psychologische Ebene mit einbeziehen.
Wie gehen die Angreifer dabei vor?
Franz: Die bekannteste Methode, von der man auch in den Medien immer öfter hört, ist das Versenden von Phishing Mails, also E-Mails, die vertrauenserweckend wirken und den Empfänger z.B. zur Herausgabe von Informationen auffordern oder einen Link enthalten, über den eine Schadsoftware ins System geschleust wird. Es geht aber auch viel persönlicher, indem Angreifer direkten Zugang zu Gebäuden erlangen, um dort beispielsweise Netzwerk-Sniffer zu platzieren und so Zugriff auf das interne Netzwerk erhalten. Geräte zum Abfangen von Passwörtern sind auch sehr beliebt.
Sind Firmengebäude unzureichend vor dem Zutritt Unbefugter gesichert?
Franz: Man sollte meinen, fremde Personen fielen in Firmengebäuden schnell auf, aber hier zählt ganz klar: Dreistigkeit siegt. Je selbstbewusster und unauffälliger sich die Angreifer im Gebäude bewegen, desto geringer ist das Risiko angesprochen zu werden. Welcher Mitarbeiter möchte sich schon die Blöße geben und gegebenenfalls einen hochrangigen Geschäftspartner fragen, was er dort zu suchen hat? Da sagt man lieber nichts. Der erste wichtige Schritt zur Abwehr solcher Angriffsversuche ist die Schulung des Sicherheitsbewusstseins aller Mitarbeiter, so dass diese solche Situationen erkennen, im Ernstfall richtig einschätzen und entsprechend reagieren.
In den Unternehmen fehlt es also oft an diesem Bewusstsein?
Franz: Teilweise schon, was aber nicht am Unwillen oder an fehlendem Interesse der Mitarbeiter liegt. Oft hatten die Menschen schlicht noch keine Berührungspunkte mit dem Thema und sind gerne bereit, sich fortzubilden. Wir führen daher regelmäßig Awareness-Schulungen durch, in denen wir das Basis-Knowhow vermitteln, was nötig ist, um mögliche Angriffsversuche auf der menschlichen Ebene zu erkennen. Jetzt, wo viele Kollegen im Homeoffice arbeiten und vermehrt auf sich gestellt sind, ist das Thema sogar noch aktueller geworden. Denn die Auslagerung von Informationen in die privaten Heimnetzwerke eröffnet Angreifern neue Möglichkeiten. Hier bieten wir auch Online-Crashkurse an, um den Mitarbeitern die wichtigsten Kenntnisse zu vermitteln.
Cyberangreifer werden immer kreativer beim Ausnutzen von Sicherheitslücken in IT-Systemen. Eine Vielzahl an Methoden, um an Informationen zu gelangen, bietet das Social Engineering. Dabei wird der Faktor Mensch als potenzielle Schwachstelle genutzt. Wie Angreifer dabei vorgehen erläutert Tobias Franz, bei TÜV Trust IT für den Bereich Social Engineering verantwortlich.
©Song_about_summer/stock.adobe.comHerr Franz, was versteht man unter dem Begriff 'Social Engineering' im Zusammenhang mit dem Thema Cybersecurity?
Tobias Franz: Als Social Engineering bezeichnet man das Ausnutzen von menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen oder auch Respekt vor Autoritäten, um sich über Mitarbeiter Zugang zu internen IT-Systemen eines Unternehmens zu verschaffen. Dabei versuchen Angreifer beispielsweise durch Mitarbeiter direkt an vertrauliche Informationen zu gelangen oder Schadsoftware in der internen IT auszuführen, um das dortige Netzwerk zu kompromittieren. Kurz gesagt, werden mit dem Begriff Social Engineering Angriffswege beschrieben, die nicht nur durch technische Schwachstellen zum Erfolg führen sollen, sondern die psychologische Ebene mit einbeziehen.
TÜV TRUST IT GmbH
Dieser Artikel erschien in IT&Production 7 (September) 2021 - 06.09.21.Für weitere Artikel besuchen Sie www.it-production.com
