Der Datendieb führt die Hand
Wirtschaftskriminelle und -spione versuchen zunehmend, sich über die Manipulation von Beschäftigten Zugang zu Daten, Know-how und Geld zu verschaffen. Unternehmen müssen deshalb ihre soziale Abwehr stärken und in die Firewall Mensch investieren.
Kennen Sie den Enkeltrick? Jemand ruft einen Rentner an und gibt sich als entfernter Verwandter in Schwierigkeiten aus. Er bringt ihn durch rhetorisches Geschick und emotionale Appelle dazu, eine hohe Summe Bares abzuheben und einem Abholer zu übergeben, weil die Notlage nur so beseitigt werden kann. Dann, oh Wunder, verlieren sich die Spuren von Anrufer und Geld. Jetzt gibt es den CEO-Trick. Unbekannte kontaktieren Mitarbeiter eines Unternehmens, angeblich im Auftrag der Geschäftsführung.
Mit einer E-Mail, die vom Chef stammen soll, bewegten Abzocker einen Beschäftigten zur Überweisung von einer Million Euro. Im Schreiben war von Geheimverhandlungen für eine Übernahme die Rede. Parallel erhielt der Mann von einer zweiten E-Mail-Adresse vom angeblichen Firmenanwalt die Transaktionsdaten Viele Mitarbeiter wurden schon zur Marionette eines geschickt vorgehenden Täters mit der Verpflichtung zum Stillschweigen. Angesichts der aktuellen Unternehmenssituation erschien dem Opfer der Sachverhalt plausibel. Es veranlasste die Zahlung.
Wirtschaftskriminelle verfeinern nicht nur ihre technischen Methoden, um Geld, Zugangsdaten oder Know-how zu stehlen. Sie gehen auch mit ausgefeilteren sozialen Strategien ans Werk. Der CEO-Trick zählt zu den Maschen, die IT-Sicherheitsexperten unter dem Stichwort Social Engineering zusammenfassen. Dabei bringt der Angreifer rechtmäßige Nutzer von Daten dazu, sie freiwillig herzugeben. Das schafft er mit der geschickten Kombination echter Informationen über Personen und Unternehmen in einem realistischen Szenario. Vielfältige Möglichkeiten zur unverfänglichen Kontaktanbahnung etwa in sozialen Netzwerken lassen die Gefahr steigen. „Die eigenen Mitarbeiter sind für Unternehmen die wichtigste Ressource, aber oft auch das größte Risiko“, warnt Professor Dieter Kempf, bis 2015 Präsident des Digitalverbands BITKOM – manche öffneten IT-Eindringlingen unabsichtlich Tür und Tor. Laut einer BITKOM-Studie sah sich bereits ein Fünftel der befragten Unternehmen Social-Engineering-Attacken ausgesetzt.
Die lassen sich nur mit Sensibilisierung abwehren. Wer sich vor Social Engineering schützen will, muss in die Firewall Mensch investieren. Alle bislang genutzten technischen Verteidigungsmaßnahmen bleiben zwar wichtig. Zudem müssen Mitarbeiter aber über die Spielarten des Social Engineering aufgeklärt werden, um merken zu können, ob sie ausgehorcht oder zu unlauteren Handlungen bewegt werden sollen. Social-Engineering-Angreifer schöpfen per E-Mail, Telefon oder in sozialen Netzwerken alle verfügbaren Informationen ab, bevorzugt vertrauliche: Zahlen und Details zum Betrieb, Log-in- und Kontodaten, persönliche Informationen der Mitarbeiter. So stehlen sie Identitäten oder schaffen plausibel scheinende digitale Personen, um an Geld, Waren und Dienstleistungen zu kommen. Auch Industriespionage kann das Ziel sein oder der Versuch, die Reputation einer Firma zu beschädigen. Manchmal werden Informationen genutzt, um jemanden zu erpressen, damit er den Zugriff auf weitere Datensysteme ermöglicht.
DER MENSCH WIRD ZUR FIREWALL
Daher müssen Mitarbeiter in Gesprächen zurückhaltend mit Informationen umgehen, die kaum der Öffentlichkeit zugänglich sind. Das erschwert das Abgreifen heikler Details – und gilt sogar im Betrieb: Ausspäh- und Manipulationsversuche können auch von Kollegen oder Personen mit Zugang zum Firmengelände ausgehen. „Es gibt keine gefährlicheren Täter als die von innen“, so Karl Stefan Schotzko, Geschäftsführer des Verbands für Sicherheit in der Wirtschaft Baden-Württemberg. Dazu zählen Dienstleister, Praktikanten, Diplomanden und Aushilfen. „Zum Teil werden die mit Werksausweisen durchgewinkt.“ Niemand sollte anderen den Zugriff auf seinen Rechner und seine Daten erlauben – vor allem keinem Unbekannten, der angeblich aus dem zweiten Stock kommt und nur etwas prüfen soll, etwa im Auftrag der IT.
Zur Sensibilisierung für Social Engineering zählt die Aufklärung darüber, dass Angreifer sich in sozialen Netzwerken und bei Messen das Vertrauen von Mitarbeitern erschleichen und ihnen im fachlichen Austausch Interna entlocken. Ausgerüstet mit diesem Insiderwissen, können sie die nächste Attacke starten und andere Beschäftigte des Unternehmens leichter davon überzeugen, dass sie dazugehören. So gelingt es ihnen oft, Passwörter abzufragen oder jemanden dazu zu bringen, hinter der Firewall einen fremden USB-Stick ans Firmennetz anzuschließen – und schon ist eine Spähsoftware im System.
SICHERHEIT BRAUCHT KLARE REGELN
Gesundes Misstrauen dient der Abwehr von Social-Engineering-Attacken. Der Firmenchef muss der Belegschaft einimpfen, dass die kritische Grundhaltung auch ihm gegenüber gilt. In die Karten spielt Betrügern – wie eingangs geschildert – die Angst der Beschäftigten, Vorgesetzten mit übertriebenen Nachfragen zur Last zu fallen oder als fantasielos zu gelten, weil sie bei unkonventionellen Lösungen für außergewöhnliche Herausforderungen nicht mitziehen wollen. Jeder Unternehmer sollte daher Sicherheitsmechanismen schaffen, die festlegen, wie bei hohen Summen oder vertraulichen Informationen die Rechtmäßigkeit einer Aktion zu belegen ist. Und warum nicht auch die Anweisung erteilen, im Zweifel den Firmenchef persönlich im Urlaub morgens um halb vier aus dem Bett zu klingeln? Eine schlaflose Nacht lässt sich bestimmt leichter verschmerzen als der Verlust von einer Million Euro.
SOCIAL ENGINEERING
Hier müssen Mitarbeiter für Angriffe sensibilisiert werden
Telefon: Stehen Identität und Aufgabe des Anrufers eindeutig fest? Selbst wenn er sich scheinbar auskennt, sollten Beschäftigte beim geringsten Zweifel direkt in der zuständigen Abteilung nachfragen, ob sie tatsächlich Informationen herausgeben und Anweisungen ausführen dürfen.
Computer: Fremde USB-Sticks sollten nicht an Rechner angeschlossen, Links nur nach Rücksprache mit der IT angeklickt werden – selbst wenn sie vermeintlich von Kollegen kommen. Betrüger verbreiten auf diesem Weg Schadsoftware und hoffen, dass jemand sie unbeabsichtigt aktiviert.
Soziale Netzwerke: Profile bei Xing und Facebook sind Angriffspunkte. Vorsicht ist bei Kontaktaufnahme durch Fremde geboten. Auch bei flüchtigen Bekannten, etwa von Messen, stellt sich die Frage: Was will man über mich und den Betrieb erfahren, wofür ließe sich das Wissen nutzen?
Lauschangreifer: In Gespräche in der Öffentlichkeit gehören keine Details aus Unternehmen oder Privatleben. Zuhörer gewinnen sonst Insiderwissen, das hilft, anderen Mitarbeitern Vertrautheit mit der Organisation zu suggerieren und so deren Misstrauen zu beseitigen.
Kollegen: Oft sind Wirtschaftskriminelle schon im Unternehmen, etwa als Praktikant oder Hausmeister getarnt. Mitarbeiter könnten den Wechsel zur Konkurrenz planen. Deshalb darf keinem Kollegen der Zugang zu Informationen ermöglicht werden, auf die er selbst keinen Zugriff hat.
Quelle: DATEV Trialog, Herausgeber: DATEV eG, Nürnberg, Ausgabe 2/2016. Text: Midia Nuri.