Wie kommen Hacker an geheime Informationen? Indem sie fragen. Social Engineering ist die Kunst, Mitarbeiter dazu zu bringen, freiwillig Vertrauliches preiszugeben. Expertin Ivona Matas erzählt im Interview, wie Unternehmen sich und ihre Mitarbeiter schützen können.
Wollen Sie den Menschen das Mitgefühl austreiben, Frau Matas?
Ivona Matas: Nein, sicher nicht! Menschliche Eigenschaften wie Hilfsbereitschaft, Leichtgläubigkeit oder auch Harmoniestreben sind sowohl im privaten wie auch im beruflichen Kontext wichtig und sollen auch weiterhin bestehen. Dennoch ist den wenigsten bewusst, dass eben diese Eigenschaften im beruflichen Kontext ausgenutzt werden können und dadurch großer Schaden entstehen kann. Sie deshalb aber „abzuschaffen“, ist zu kurz gedacht und würde auch gar nicht funktionieren!
Matas: Zuständig für die IT-Sicherheit ist oftmals die IT-Abteilung. Deren Mitarbeiter wollen Probleme mit der richtigen technischen Ausstattung lösen. Social Engineering taucht auf diesem Horizont überhaupt nicht auf – obwohl Zahlen belegen, dass geschätzt 80 Prozent aller technischen Hacking-Angriffe mit Informationen arbeiten, die mithilfe von Social Engineering „erbeutet“ wurden.
Der Mensch ist also das größte IT-Sicherheitsrisiko?
Matas: Wer so provokant fragt, erzeugt Widerstand: „Ich gebe doch keine relevanten Informationen oder Passwörter weiter!“ Das stimmt ja auch. Die Ausnahme: Ich merke gar nicht, dass ich Passwörter verrate. Weil der angebliche Kollege aus der IT-Abteilung, der mich anruft und diese Information fordert, eben doch kein Kollege ist – sondern ein Hacker, der meine Leichtgläubigkeit ausnutzt. Deshalb frage ich die Mitarbeiter auch immer, welche ihrer persönlichen Eigenschaften ein gutes Einfallstor für Social Engineers sein könnten. Das finden viele Menschen spannend, im Sinne von „Erkenne dich selbst“: Wie ticke ich? Worauf springe ich an? Es geht also nicht darum, ein Drohszenario zu vermitteln, sondern bei jedem Einzelnen mehr Bewusstsein und damit Wachsamkeit zu entwickeln.
Inwieweit kann der Arbeitgeber helfen, Wachsamkeit zu entwickeln und aufrechtzuerhalten?
Matas: Zum einen ist dieses Sicherheitsrisiko, das „Human Hacking“, den meisten gar nicht bewusst. Die Verantwortung dann jedoch nur dem Mitarbeiter zuzuschieben, greift zu kurz. Nicht nur der einzelne Mitarbeiter, auch die Unternehmenskultur entscheidet über den Sicherheitsstandard – auch das ist für viele Unternehmen ein spannender Punkt. Um das an einem Beispiel zu illustrieren: Der Mitarbeiter bekommt eine Mail von seinem Chef, die ihm komisch vorkommt. Ruft er den Chef an und fragt nach? Oder gilt Nachfragen als unschicklich? Im zweiten Fall führt er lieber aus, was in der Mail steht … und hofft, dass es wirklich der Chef war, der sie geschrieben hat.
Wäre es dann nicht schlauer, wenn Unternehmen eine neutrale Stelle einrichten würden, an die sich Mitarbeiter wenden können?
Matas: Hilfreich ist, wenn jedem Mitarbeiter bekannt ist, an wen er sich im Fall von Unklarheit oder einem „Bauchgefühl“ wenden kann. Aber auch hier greift die Unternehmenskultur. Denn was passiert, wenn ich etwas melde? Egal ob ich versehentlich doch auf den Mail-Anhang geklickt habe oder mir das Telefonat mit der angeblichen Kollegin im Nachhinein etwas merkwürdig scheint. Wird mein „Gefühl“ ernst genommen? Werde ich als Täter gesehen, dann halte ich mich lieber zurück und hoffe, dass nichts Schlimmes passieren wird.
Die Kollegen sollten also eher gelobt werden für ihre Aufmerksamkeit und Ehrlichkeit?
Matas: Auf jeden Fall, denn die Kollegen müssen eine weitere Hürde überwinden: Scham. Um das zu erklären: Wenn Ihnen jemand das Handy entwendet, dann rufen Sie „Haltet den Dieb!“, denn der Dieb führt ja erkennbar Böses im Schilde. Aber die nette Kollegin am Telefon ist eben: nett. Freundlich. Aufgeschlossen. Sie kennt sich offenbar aus, teilt ihre Informationen und schon kommt man selbst ins Plaudern … Und wenn sich dann herausstellt, dass es gar keine Kollegin war, sondern ich einem Social Engineer aufgesessen bin, schäme ich mich. Umso wichtiger ist es für das Unternehmen, um diese Ängste und Vorbehalte zu wissen und es den Mitarbeitern so leicht wie möglich zu machen, jeden Verdacht zu melden.
Die Wachsamkeit des Einzelnen stößt also dort an Grenzen, wo sie zu negativen Konsequenzen führen kann.
Matas: Ja – und wo sie mit der Unternehmenskultur kollidiert: Wo scheinbare „Fehler“ bestraft werden, ist Offenheit schwierig. Das ändert sich, sobald Mitarbeiter für ihre Aufmerksamkeit und Wachsamkeit gelobt und als „Opfer“ eines Social Engineers betrachtet werden. Im besten Fall ändert sich durch das Verständnis, wie wichtig IT-Sicherheit und wie gefährlich Social Engineering ist, allmählich die gesamte Unternehmenskultur.
Kommt diese Botschaft an bei den Unternehmen?
Matas: Eher langsam, aber wir sehen durchaus positive Veränderungen. Denn besseren technischen Schutz für meine IT-Systeme kann ich bestellen und einbauen und dann funktioniert die Technik – aber diese Technik reicht eben nicht aus, um alle Gefahren erfolgreich abzuwehren. Beim Thema Social Engineering ist der Schutz leider nicht so einfach zu installieren. Hier geht es um Aufklärung, Verhaltensänderungen und psychologische Themen. Damit fremdeln viele Manager, da ist noch immer viel Überzeugungsarbeit zu leisten. Doch die Offenheit wächst und damit auch die Sicherheit.