INTERVIEW Schwachstellen in der Technik und beobachten, wo Technik, Mensch und Organisation im Einklang miteinander funktionieren müssen. Genau an diesen Stellen setzen sie an und zielen dabei auf die Mitarbeitenden ab. Sie betreiben ‹Social Engineering›. Das ist auch das, was wir machen, wenn wir die Sicherheit von Unternehmen analysieren. Man versucht, Mitarbeitende dazu zu bringen, Dinge zu tun, die sie sonst nicht tun würden. Man nutzt psychologische Effekte, um sie zu manipulieren. Dazu gibt es viele Techniken, die auch erfolgreiche Verkäufer anwenden, um ihr Gegenüber zum Kauf zu bewegen. Damit versucht man, soziale Abhängigkeit zu schaffen. Die Erfolgsquote der Angriffe wird mit solchen Methoden deutlich erhöht. Haben Sie ein Beispiel, wie sie das machen? Zuerst legen wir mit dem Kunden gemeinsam die Zielgruppe fest – die ganze Mitarbeiterbreite, eine Leitungsfunktion, oder der Support, der teilweise über höhere Privilegien verfügt und damit besonders attraktiv ist. Dann verfassen wir ein Drehbuch, entwickeln eine schlüssige Geschichte, wie der Angriff stattfinden soll. Beim Angriff auf eine Wasserversorgung könnte das so aussehen: Wir geben uns als Betreiber einer kritischen Infrastruktur aus. Im Internet finden wir heraus, welcher Lieferant für den Wasserversorger arbeitet. Dabei helfen uns beispielsweise Stelleninserate des Versorgers. Systeme, mit denen die gesuchten Personen umgehen können müssen, sind dort häufig aufgeführt. Damit hat man bereits eine Basis an Informationen. Dann könnte man versuchen, den Support des Lieferanten von der E-Mail-Adresse des Versorgers anzuschreiben und gleichzeitig anzurufen. Ein Anruf wirkt meist authentischer als eine geschriebene Mail. Die Telefonnummer und die Mailadresse zu fälschen – Mail-Spoofing – ist beides relativ einfach möglich. So hat man schon zwei Ebenen, auf denen man Vertrauen aufbauen kann. Das Szenario: Wir stellen in der Versorgung gerade einen neuen Mitarbeiter ein. Dafür benötigen wir einen Plan und Informationen zum Netzdesign, damit wir diese ausdrucken können – auf Papier lässt sich das einfach besser erklären. Über eine E-Mail stellen wir einen Link auf einen vermeintlichen DatenaustauschServer bereit, über den uns der Lieferanten-Support die Dokumente zur Verfügung stellen kann. Beim Besuch des angeblichen Datenaustausch-Servers könnte man den Computer des Lieferanten infiltrieren. Somit könnte man an die Informationen gelangen, wie der Fernzugriff für die Wasserversorgungen eingerichtet ist. Angriffe in dieser Form haben wir auch schon erfolgreich durchgeführt. In der Hitze des Gefechts will jeder helfen, niemand will die Spassbremse sein. So kommt man meist einen Schritt weiter. Kann man sich als Unternehmen überhaupt noch vor solchen Angriffen schützen? Wie kann ich Sicherheitsrisiken minimieren? Zunehmende Digitalisierung und Automatisierung machen KMUs natürlich verletzlich. Um hier nicht eine ‹low hanging fruit› für Angreifer zu sein, ist es insbesondere wichtig, die Mitarbeitenden zu sensibilisieren. Auf der technischen Seite muss man die Themen Bedienbarkeit und Sicherheit abwägen und versuchen, eine ideale Lösung zu finden. Das muss man von Zeit zu Zeit wieder neu «Cyberkriminelle setzen da an, wo Technik, Mensch und Organisation im Einklang miteinander funktionieren müssen. Dort betreiben sie ‹Social Engineering›.» 02| 2020 12 | 13 transfer
RkJQdWJsaXNoZXIy NTkxNzY=