Home   >   News   >   Fehlendes Sicherheitsbewusstsein im Unternehmen öffnet Angreifern buchstäblich die Tür.
Fehlendes Sicherheitsbewusstsein im Unternehmen öffnet Angreifern buchstäblich die Tür.

Cyberangriffe werden immer komplexer, gleichzeitig zeigen Angreifer eine wachsende Kreativität beim Ausnutzen von Sicherheitslücken in IT-Systemen. Eine Vielzahl an Methoden, um an Informationen zu gelangen, bietet das Social Engineering, bei dem der Faktor Mensch als potenzielle Schwachstelle genutzt wird. Tobias Franz ist bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA für den Bereich Social Engineering verantwortlich. Wie er zu seinem Job gekommen ist und was der bekannte Spruch „Dreistigkeit siegt“ mit dem Thema zu tun hat, verrät Herr Franz im Interview.

Herr Franz, was versteht man unter dem Begriff „Social Engineering“ im Zusammenhang mit dem Thema Cybersecurity?

Als Social Engineering bezeichnet man das Ausnutzen von menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen oder auch Respekt vor Autoritäten, um sich über Mitarbeiter Zugang zu internen IT-Systemen eines Unternehmens zu verschaffen. Dabei versuchen Angreifer beispielsweise durch Mitarbeiter direkt an vertrauliche Informationen zu gelangen oder Schadsoftware in der internen IT auszuführen, um das dortige Netzwerk zu kompromittieren. Kurz gesagt werden mit dem Begriff Social Engineering Angriffswege beschrieben, die nicht nur durch technische Schwachstellen zum Erfolg führen sollen, sondern die psychologische Ebene mit einbeziehen.

Wie genau gehen die Angreifer dabei vor?

Die bekannteste Methode, von der man auch in den Medien immer öfter hört, ist das Versenden von Phishing Mails, also E-Mails, die vertrauenserweckend wirken und den Empfänger zum Beispiel zur Herausgabe von Informationen auffordern oder einen Link enthalten, über den eine Schadsoftware ins System geschleust wird. Es geht aber auch viel persönlicher, indem Angreifer direkten Zugang zu Gebäuden erlangen, um dort beispielsweise Netzwerksniffer zu platzieren und so Zugriff auf das interne Netzwerk erhalten. Geräte zum Abfangen von Passwörtern sind auch sehr beliebt.

Sind Firmengebäude nicht in der Regel ausreichend vor dem Betreten Unbefugter gesichert?

Man sollte meinen, fremde Personen fielen in Firmengebäuden schnell auf, aber hier zählt ganz klar: Dreistigkeit siegt. Je selbstbewusster und unauffälliger sich die Angreifer im Gebäude bewegen, desto geringer ist das Risiko angesprochen zu werden. Welcher Mitarbeiter möchte sich schon die Blöße geben und gegebenenfalls einen hochrangigen Geschäftspartner zu fragen, was er dort zu suchen hat? Da sagt man lieber nichts. Der erste wichtige Schritt zur Abwehr solcher Angriffsversuche ist die Schulung des Sicherheitsbewusstseins aller Mitarbeiter, so dass diese solche Situationen erkennen, im Ernstfall richtig einschätzen und entsprechend reagieren.

In den Unternehmen fehlt es also oft an diesem Bewusstsein?

Teilweise schon, was aber nicht am Unwillen oder an fehlendem Interesse der Mitarbeiter liegt. Oft hatten die Menschen schlicht noch keine Berührungspunkte mit dem Thema und sind gerne bereit, sich fortzubilden. Wir führen daher regelmäßig Awareness-Schulungen durch, in denen wir das Basis-Knowhow vermitteln, was nötig ist, um mögliche Angriffsversuche auf der menschlichen Ebene zu erkennen. Jetzt, wo viele Kollegen im Home-Office arbeiten und vermehrt auf sich gestellt sind, ist das Thema sogar noch aktueller geworden. Denn die Auslagerung von Informationen in die privaten Heimnetzwerke eröffnet Angreifern neue Möglichkeiten. Hier bieten wir auch Online-Crashkurse an, um den Mitarbeitern die wichtigsten Kenntnisse zu vermitteln.

Und wann hatten Sie selbst den ersten Kontakt mit diesem Thema?

Ich habe mich während des Informatikstudiums schon früh in Richtung Informationssicherheit orientiert und weil mich die Thematik gereizt hat, habe ich mich dabei auf sicherheitstechnische Analysen spezialisiert, die auch hier bei der TÜV TRUST IT nun schon seit vier Jahren zu meinem Arbeitsalltag gehören. Mit der Zeit habe ich an immer mehr Social-Engineering-Projekten für unsere Kunden gearbeitet und schließlich die Verantwortung für den Bereich übernommen, was mir richtig viel Spaß macht, weil die Voraussetzungen bei jedem Kunden anders sind und daher kein Projekt wie das andere ist. Wir müssen uns immer auf etwas Neues einstellen und die aktuellen Entwicklungen im Auge behalten. Denn die Angreifer schlafen auch nicht und feilen an ihren Vorgehensweisen. Es ist dieses „Katz und Maus“-Spiel, was den gewissen Reiz in meinem Job ausmacht.

Wer sich für einen Job im Social Engineering Bereich interessiert, sollte demnach bereit sein, sich selbst ebenso ständig weiterzuentwickeln.

Das ist auf jeden Fall eine wichtige Voraussetzung. Sowohl auf technischer Ebene als auch bei der Kreativität der Angreifer werden die Herausforderungen immer komplexer. Da heißt es, am Ball zu bleiben. Man muss motiviert sein, sein Ziel zu erreichen und dabei möglichst kreativ vorgehen, Verständnis für die Technik aber auch für die Denkweise der Angreifer haben. Als Basis ist ein Studium wie in meinem Fall sicher nicht schlecht, über eine entsprechende Ausbildung, Schulungen und Zertifizierungen kann man aber genauso erfolgreich in diesem Bereich arbeiten.

Vielen Dank für das Interview, Herr Franz!

Zur Newsübersicht