Mitarbeiter-Manipulation: „Social Engineering ist viel älter als Cybersecurity und setzt beim Menschen an“

Heise Meets, der Entscheider-Talk. Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. Heise Business Services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik. Immer aktuell und nah am Geschehen.

Hallo liebe Zuhörer und Zuhörerinnen, herzlich willkommen bei einer neuen Folge von Heise Meets.

Ich bin Sebastian Gerstl von den Heise Business Services und heute sprechen wir im weiteren Sinne über

Cybersecurity. Gerade in der Zeit mit Digitalisierung und zunehmender Technisierung und IT in Unternehmen

wird ja immer wieder gewarnt, dass Cybersecurity immer wichtiger wird. Aber ein Aspekt wird da sehr häufig

vernachlässigt, denn egal wie gut die Antivirensoftware, die Logins oder die Firewalls sind. Eines der schwächsten Glieder in der gesamten

Verteidigungskette ist und bleibt oft der Mensch. Und egal wie gut die eigene Technik ist,

über Social Engineering kommen Cyberangreifer doch sehr häufig an sensible Daten und in das

Netzwerk hinein. Worum handelt es sich bei Social Engineering und warum ist das so gefährlich,

auch heute in der modernen Zeit noch im Jahr 2023? Zu diesem Zweck freue ich mich sehr,

einen Experten bei uns begrüßen zu dürfen, ganz speziell zum Thema Social Engineering. Es ist Dr.

Christian Schunk vom Fraunhofer Institut für Arbeitswirtschaft und Organisation, IAO. Herr

Schunk, herzlich willkommen bei uns bei heise.meets.

Ja, hallo. Freut mich sehr, hier zu sein.

Ja, ich habe es ja bereits in meinem Intro so ein bisschen angerissen, aber vielleicht können Sie

da mal etwas tiefer reingehen. Es wird ja Social Engineering als Aspekt der Cyber Security oft

massiv unterschätzt. Keine Firewall, keine Antivirensoftware kann da verlässlich davor schützen.

Aber worum handelt es sich jetzt konkret dabei, wenn wir von Social Engineering sprechen?

Ja, also Social Engineering ist im Grunde viel älter als Cyber Security und setzt bei Menschen an.

Als Menschen sind wir soziale Wesen, deswegen auch Social Engineering.

Und da haben wir typische menschliche Verhaltensweisen uns angeeignet,

die es uns erlauben, als Wesen in einer Gesellschaft gut zu funktionieren

und da reinzupassen und Zugehörigkeitsgefühle zu entwickeln und Menschen zu helfen.

Und gerade diese sozialen Verhaltensweisen werden dann angesprochen,

um Menschen zu beeinflussen, bestimmte Entscheidungen zu treffen

oder auch Menschen gezielt zu manipulieren.

Und was für Mechanismen kommen dabei zum Einsatz?

Also wo setzt dieses Social Engineering denn konkret an?

Nun, also wenn ich noch etwas aushole, es ist so, dass diese sozialen Verhaltensweisen

und das Beeinflussen einer Entscheidung, das ist ja erst mal gar nicht im Cyber Security

Kontext so interessant.

Wenn ich einfach sage oder sagen würde, wir möchten die Entscheidungsfindung von Menschen

beeinflussen, dann würden Sie vielleicht an Marketing denken, an Vertrieb, an Verkauf.

Aus diesem Bereich kommt auch die Forschung zu dem Thema Social Engineering.

Aus diesem Bereich, da wurde geschaut, welche Mechanismen funktionieren denn,

damit ich Menschen dazu bewegen kann, etwas zu kaufen oder etwas zu tun.

Und welche Mechanismen sind das? Das sind Mechanismen wie Hilfsbereitschaft.

Wir sind als Menschen erst mal gewillt, anderen Mitmenschen zu helfen.

Nun muss ich diese Hilfsbereitschaft vielleicht ein bisschen anstupsen.

Und dazu gibt es halt Techniken, die letztlich sozusagen dazu dienen,

die Wahrscheinlichkeit, dass man die richtige Entscheidung im Sinne dessen,

da die Entscheidung herbeiführen möchte, trifft.

Um diese Entscheidungsfindung anzutreiben, wird dann zum Beispiel darauf gesetzt,

dass wir Menschen Gefallen gerne wiedergeben.

Also wenn mir jemand etwas gibt, bin ich viel geneigter,

dem anderen Menschen auch in irgendeiner Form einen Gefallen zu erwidern.

Das sehen Sie im Supermarkt, da wird Ihnen ein kleines Stückchen Käse angeboten,

in der Hoffnung, dass Sie dann das große Stück Käse kaufen.

Das kann man halt dann beim Social Engineering anwenden,

um Menschen da zu bewegen, zu helfen oder halt auf einen Angriff,

sagen wir mal flapsig, reinzufallen.

Also es gibt Beispiele, wo zum Beispiel Angestellten

ein Schokoriegel gegeben wurde und die daraufhin ihr Passwort gesagt haben.

Das funktioniert natürlich dann nicht ganz so plump.

Ja, Sie können sich vielleicht vorstellen, da stehen Leute vor dem Geschäft und teilen Schokolade aus und wünschen erstmal einen schönen Arbeitstag

und sagen, jetzt hätten wir noch eine kleine Frage.

Wir machen eine Umfrage zur Passwort-Sicherheit und möchten mal wissen, welche Arten Passwörter denn benutzt werden.

Können Sie uns vielleicht mal Ihre sagen?

Das liegt natürlich nach dem ziemlich extremen Beispiel.

Ich meine, ja, das ist ein extremes Beispiel, aber es hat funktioniert.

Und diese Mechanismen, die funktionieren halt extrem gut.

Und das ist also die Forschung für eine Wirtschaftsforschung oder Verhaltenspsychologie,

sind diese Prinzipien dafür, dass sie halt die Wahrscheinlichkeit,

dass Menschen entsprechend reagieren, extrem steigern.

Das klingt jetzt plump vielleicht in diesem Beispiel mit dem Schokoriegel,

aber das geht natürlich subtiler.

Und da funktioniert es dann immer noch.

Ja, ich meine, etwas, das man in der letzten Zeit sehr häufig hört,

also auch in der Medienlandschaft, ist der sogenannte CEO-Fraud,

dass sich quasi ein Angreifer es fertig bringt, eine E-Mail so zu manipulieren,

dass sie so aussieht, als würde sie vom Geschäftsführer des Unternehmen kommen,

um zum Beispiel eine Geschäftsassistenz direkt zu einer Zahlung

einer größeren Summe zu veranlassen, weil sie eben das Gefühl hat,

ja, das kommt vom Chef, das wird ja schon stimmen.

Aber was gibt es dann noch für andere typische Beispiele?

Womit sehen sich denn Unternehmen relativ häufig konfrontiert?

Also abgesehen vom CEO-Fraud, der auf dem Prinzip übrigens jetzt der Autorität beruht.

Das ist auch eines dieser Social Engineering Prinzipien, die gut funktionieren, Autoritäten.

Ach ja, erklären Sie mal ein bisschen, so CEO-Fraud, wo setzt der an? Wie funktioniert der?

Der CEO-Fraud setzt da an, dass halt der CEO als eine Autorität wahrgenommen wird, dessen Anweisungen man befolgen wollte.

Und das ist nun auch wieder erst mal eine gewisse wünschenswerte Verhaltensweise im Unternehmen.

Die Unternehmen möchten natürlich schon, dass Aufträge von Vorgesetzten auch ausgeführt werden.

Das ist also ein gewünschtes Verhalten grundsätzlich.

Und das wird dann halt ausgenutzt.

Und das heißt also beim CEO-Fraud wird dann zum Beispiel ein Angestellter oder eine Angestellte aufgefordert,

für eine geheime Unternehmensübernahme Geld ins Ausland zu überweisen.

Und diese Person wird dann vielleicht noch gelobt, dass sie als besonders zuverlässig

kannt ist und zur absoluten Geheimhaltung verpflichtet, weil diese Übernahme halt

hochsensibel ist und erst mal erfolgen muss, bevor man darüber sprechen kann.

Und deswegen darf die Person sich auch nicht an Kollegen wenden.

Und so wird dann halt diese Person unter dem Prinzip der Autorität vielleicht noch

ein bisschen geschmeichelt und dann extrem auch unter Druck gesetzt im Sinne von

Geheimhaltung nicht mit Kollegen reden und dann muss das natürlich auch wahnsinnig schnell erfolgen,

denn sonst geht die Transaktion den Bach runter und dann ist der Chef halt unglücklich.

Und ja, das funktioniert erstaunlich gut.

Die Schäden in Deutschland mit diesem Trick gehen also in die,

haben die, ich glaube, die 100-Millionen-Grenze schon überschritten.

Weil es auch dann immer um große Summen geht.

Wenn es halt klappt, dann wären schnell mal mehrere hunderttausend Euro über.

Und wenn man darauf halt als Firmenchef seine Mitarbeiter nicht vorbereitet,

Gerade die, die in der Lage sind, solche Transaktionen zu machen,

ist natürlich die Wahrscheinlichkeit, dass solche Angriffe erfolgreich

durchgeführt werden können, relativ hoch.

Dazu kommt, dass mit modernen Techniken, wie

dass man zum Beispiel mit künstlicher Intelligenz

die Stimme vom Chef nachmachen kann.

Also da kann man also auch Anrufe faken und so weiter.

Oder halt sich die E-Mails mit ChatGPT oder so was schreiben lassen kann.

Wir hätten halt die Chance noch mal erhöht,

dass solche Sachen erfolgreich werden.

Lassen Sie uns auf das mit der KI noch mal später zurückkommen,

weil das ist mit Sicherheit auch noch mal ein ganz konkreter Aspekt.

Aber jetzt speziell in dem Aspekt CEO-Fraud,

da kommen ja gleich mehrere Sachen ins Spiel,

die auch mit der Gemütswelt des Angegriffenen spielen.

Da ist zum einen natürlich der Respekt.

Der Chef ist die Autorität, dem folgt man.

Vielleicht auch so ein bisschen Furcht mit dabei.

Man ist es ja in der Unternehmensstruktur nicht gewohnt,

dass man dem Chef aufs Gesicht zu widerspricht

oder ihm aufs Gesicht irgendwie Zweifel äußert.

Ist das denn richtig?

Man geht davon aus, wenn das direkt vom Chef kommt,

wird das schon seine Richtigkeit haben.

Dann haben wir es auch angesprochen, der Stolz.

Man wird da so als die Vertrauensperson rangezogen.

Man kann sich da jetzt bewähren, man kann sich da jetzt beweisen.

Oder man ist einfach so dermaßen im Stress und unter Arbeitsdruck,

dass das reinkommt und man will das gar nicht hinterfragen,

Man will das gar nicht aufhalten, man will sich auch selber nicht lang damit beschaffen,

man spielt das gleich mal wieder weiter.

Also da kommen ja mehrere Aspekte ins Spiel, die so im gewöhnlichen Arbeitsalltag eigentlich permanent vorherrschen.

Genau, das wird dann ausgenutzt.

Und um dagegen arbeiten zu können oder um einen Teil dieser wünschenswerten Arbeitsweisen zu erhalten,

aber gleichzeitig zu verhindern, dass sie ausgenutzt werden,

dafür muss man dann halt im Unternehmen sorgen, dass bestimmte Regeln zum Beispiel eingehalten werden.

Wenn also für manche Transaktionen Vier-Augen-Prinzip notwendig ist und die Angestellten das wirklich wissen,

dass das befolgt werden muss, und zwar immer und ausnahmslos,

dann ist halt jetzt so eine Bitte, das zu ignorieren,

stößt natürlich erst mal auf größere innere Widerstände,

als wenn man das in dem Unternehmen zwar dieses Prinzip gibt,

aber das immer wieder mal auf Anordnung vom Chef auch verletzt wird.

Also da gehört schon dazu, dass man erst mal das Personal schult und auf solche Arten von Angriffen aufmerksam macht, dass das vorkommen kann.

Und das zweite ist, dass man halt Regeln, die notwendig sind, dass solche Transaktionen nicht durchgeführt werden, auch wirklich konsequent einhält.

Sprich, also in Unternehmen, in denen man es gewohnt ist, dass der Chef mal direkt durchsticht

und diese Entscheidungshierarchie einfach mal selber durchstößt, ist die Wahrscheinlichkeit

oder die Gefahr, dass man einem solchen Angriff zum Opfer fällt, auch entsprechend höher?

Dann wäre das sicherlich, würde ich sagen, oder gehe ich davon aus, dass die Wahrscheinlichkeit

dafür deutlich höher ist.

Jetzt sind wir sehr lange auf den CEO-Fraud eingegangen, aber was für andere Aspekte,

das mit dem Schokoriegel war ja auch ein sehr extremes Beispiel, aber was für andere

typische Angriffe gibt es da für gewöhnlich?

Also die bekanntesten sind sicherlich die Phishing-E-Mails.

Die gibt es ja in ganz vielen Varianten.

Da werden halt Mitarbeiter aufgefordert,

irgendwelche Webseiten zu besuchen oder Dateien zu öffnen.

So nach dem Motto "Hallo, hier ist die IT,

wir wollen die Passwörter ändern.

Bitte gehen Sie auf diese sehr täuschend echt nachgemachte

Webseite des Unternehmens und geben Sie hier mal Ihr Passwort ein."

Ganz genau.

Das kann natürlich auch andere Formen haben.

Es kann das verlockende Jobangebot sein,

wo sich das Gehalt verdoppelt und zusätzlich noch tolle Benefits gibt,

wie ein E-Auto oder E-Scooter oder sowas.

Und dann wird man halt aufgefordert, irgendwie eine Datei zu öffnen.

Oder man wird auch, vielleicht kann es sein, dass man über LinkedIn angeschrieben wird.

Und dann chattet man über LinkedIn und irgendwann kommt eine E-Mail.

Und das geht dann in Richtung Dir, ja.

Und natürlich auch wieder geschmeichelt zu sein.

Dann steht da, ach, jetzt kann man, der Inhalt kann nicht angezeigt werden,

bitte mal Makros aktivieren.

Ist die Versuchung halt groß, ja.

Und gerade gegen diese Phishing-E-Mails, da gibt es nun schon auch sehr effiziente Kampagnen,

wo auch in Unternehmen die Mitarbeiter E-Mails kriegen.

Wenn man dann auf den Link klickt, kriegt man irgendwie ein Lernvideo zu sehen.

Und da kann man auch Statistik treiben, wie anfällig man ist.

Und das kann man also mittlerweile nicht perfekt,

aber da gibt es schon gute Ansätze, um das Problem ein bisschen einzugrenzen.

Aber ein anderer Angriffsvektor, der sehr gut funktioniert, ist das gute alte Telefon.

Da rufen halt Leute an, die sagen, sie seien IT oder sie seien Human Resources und so weiter und so fort.

In großen Firmen, wo man die Leute vielleicht auch nicht persönlich kennt,

können die mit allen möglichen Anfragen kommen.

Da kann es sein, dass gefragt wird nach anderen Mitarbeitern oder Informationen zu anderen Mitarbeitern.

Und das klingt dann vielleicht auch etwas harmlos, weil vielleicht nur ein Name oder nur eine Personalnummer.

Und oft nach so einem Anruf fühlt man sich vielleicht noch gut, weil wieder irgendeine Story vorgespielt wird, die auf Hilfsbereitschaft anspielt.

Und man sagt, dem habe ich geholfen, lehnt sich zurück und hat die Episode schon vergessen.

Nun ist es so, dass diese Angreifer oft mehrstufig vorgehen und halt vier, fünf Leute im Unternehmen anrufen und so langsam die Information aggregieren

und dann vielleicht ganz gezielt auf das eigentliche Opfer später dann eingehen können.

Und gut, was hatten wir?

Den Anruf von der IT, von Human Resources.

Ja, also auch die Anrufe von der IT können halt sehr vielfältige Formen haben, dass man...

Gehen Sie auf diese Webseite oder öffnen Sie mal die Kommandozeile und geben Sie folgende folgende Befehle ein.

Ganz genau. Aber auch da selten direkt.

Also immer erst vielleicht auch ein Vorgeplänkel, dass sie sagen, wir tun ihnen vor allem zum Beispiel,

was könnte das sein? Ihre Mitarbeiterkarte oder Zugangskarte, da gibt es ein Problem.

Sind Sie reingekommen? Ja, bin heute reingekommen.

Oh, dann sind Sie vielleicht nicht betroffen.

Aber sicherheitshalber lassen Sie uns doch einmal dies und das kontrollieren.

Solche Spielarten.

Und genau, also das sehr selten kommt es vor, dass man persönlich angesprochen wird.

Aber dass es erst mal über soziale Medien, über E-Mail, übers Telefon eine Ansprache erfolgt, ist durchaus möglich.

Ein anderes Ziel kann natürlich dann sein, das geht dann eher in Richtung Industrie-Spionage,

dass man wirklich versucht, an Betriebsgeheimnisse heranzukommen.

An die neue Marketing-Kampagne, die geplant ist, an Unterlagen dazu oder an Konstruktionszeichnungen für irgendwelche neuen Komponenten.

Auch da werden immer diese Prinzipien genutzt, um zu appellieren.

Also zum Beispiel, Ihr Kollege hat mir auch schon geholfen in einer ähnlichen Situation.

Und man lässt noch den Namen fallen, den man halt auf der Webseite gefunden hat.

Oder man sucht einen unzufriedenen Mitarbeiter, der irgendwie dann so das Gefühl hat, jetzt kann er seinem Unternehmen was auswischen.

Die Variante gibt es wahrscheinlich auch.

Das kommt auch, aber meistens in den Fällen ist es, glaube ich, eher, dass die, die es schon intern, das irgendwie...

Die haben bereits immer.

Die brauchen dann gar nicht mehr von außen noch dazu aufgefordert werden, sondern die

macht es meistens, glaube ich, ist da wirklich so eine Art Insider-Threat in dem Sinne, dass

die Leute dem Unternehmen nicht mehr wohl wollen und halt von sich aus aktiv werden.

Sie haben ja erwähnt, dass sehr viel über das Telefon auch heute noch geschieht.

Das ist ja alles andere als ein neuer Weg.

Ich meine, selbst in den 70er Jahren, so ein berüchtigter Hacker wie Kevin Mitnick hat

er schon damals gesagt, er ist in den 70er Jahren meistens, sein erster Weg war, zum

Telefon zu greifen und die Leute anzurufen und in erster Linie mehr oder weniger direkt nach ihren Passwörtern zu fragen.

Also diese Art des Hackings ist ja fast schon älter als der Büro-PC an sich.

Auf jeden Fall, ja. Das ist, also wie gesagt, ich würde fast sagen, es ist so alt, wie Menschen als soziale Wesen funktionieren,

dass man versucht, in irgendeinem Einsatz dieser Techniken halt Menschen, wie gesagt, in der Entscheidungsfindung zu beeinflussen.

Das sitzt halt wirklich tief.

Da wundert man sich doch, wie dann anhand der ganzen

fortschrittlichen Technologie und IT, die wir haben,

so eine alte oder uralte Methode

immer noch so gefährlich sein kann in der modernen Zeit.

Ja, also man muss natürlich auch sagen,

die Technik ist auch nicht perfekt.

Immer noch nicht oder wahrscheinlich wird sie es auch nie sein.

Aber sie ist halt sehr, sehr, sehr, sehr gut.

Und man kann natürlich als Angreifer,

in der Regel, wenn man nicht wirklich ein gezieltes Ziel hat,

dann ist es einfach ein Spiel der Wahrscheinlichkeiten.

Was funktioniert am besten?

Und da kann ich natürlich irgendwelche Ports scannen

oder nach bekannten Schwachstellen suchen.

Wenn die frisch sind, finde ich die hier und da

und dann kann ich halt auch die Technik überwinden,

wenn diese Schwachstellen nicht rechtzeitig gepatcht wurden.

Was durchaus sein kann, wenn das halt so Zero-Day-Exploits sind,

kann ich damit ganz gut weiterkommen.

Und insofern kann man dann halt die Technik ausnutzen.

Aber der Standardtechnisch ist sehr hoch

und es wird halt immer schwieriger.

Und gleichzeitig ist es ja auch wahrscheinlich so,

in Zeiten immer fortschrittlicher oder immer komplizierter

erscheinender IT hat der Anwender selber

wahrscheinlich nicht so viel Ahnung oder Durchblick

und verlässt sich dann drauf, dass wenn etwas von der IT

oder von Human Resources kommt,

dass da jemand ist mit mehr Know-how, dem man vertrauen kann,

an dem man sich, also der einem das dann schon erklärt.

Also dass sich der Anwender überfordert führt mit der IT,

mit den ganzen Sicherheitsmaßnahmen und genau deswegen verletzlich wird.

Ja, also auf jeden Fall spielt das eine große Rolle.

Letztlich haben wir halt unsere Interaktionen in der realen Welt gelernt.

Und so ein flacher Bildschirm vor uns mit irgendwelchen Fenstern, die sich da öffnen und

Sachen, die da im Hintergrund passieren, ist halt für viele Nicht-ITler einfach eine fremde Welt,

von der sie nicht viel verstehen müssen und vielleicht auch nicht verstehen brauchen,

um ihren Job gut zu erledigen.

Und insofern ist es halt schwierig dafür,

Intuition und Verständnis zu entwickeln.

Und auch diese mangelnde Intuition, dieses mangelnde Verständnis

kann man dann halt wieder ausnutzen,

weil Angegriffene sich vielleicht nicht immer bewusst sind,

was jetzt eine bestimmte Aktion von ihnen wirklich bewirkt.

Und es kann halt durchaus sein, dass dann man schiebt halt

einen USB-Schlüssel, den man gefunden oder irgendwie geschenkt bekommen hat,

in Computer und auf einmal popt ganz schnell ein Fenster auf und ist wieder weg.

Das ist schneller, als man reagiert und dann ist schon was passiert.

Fast schneller, als man reagiert und man hat viel zu tun.

Man vergisst das dann auch sehr schnell.

Manchmal kann man es auch sogar technisch unterdrücken,

dass halt dieses Fenster noch nicht immer mehr aufpopt.

Das sind halt so Sachen, auf die anzusprechen,

halt wir nicht trainiert sind und dann ist es halt besser,

man schult Mitarbeiter so, dass sie, dass es halt auch da die Wahrscheinlichkeit

verringert wird, dass solche Sachen erfolgreich sind. Und letztlich, da denke

ich ähnlich wie Marketing-leute. Man muss sich halt, letztlich ist es ein Spiel der

Wahrscheinlichkeiten, dass was funktioniert und nicht, das nicht

funktioniert. Und im Marketing optimiert man die Wahrscheinlichkeiten und genauso

muss man halt in der IT-Sicherheit, technisch und bei Menschen die

Wahrscheinlichkeit reduzieren, dass etwas funktioniert. Und denn 100-prozentig

geht halt nicht, was absichern. Und insofern muss man sich halt fragen, bei der Technik machen wir

das schon ziemlich gut und bei Menschen vielleicht sehe ich persönlich noch Entwicklungspotenzial.

Ja, man kriegt das ja meistens mit, wenn es heißt, hier man muss sich vor Cybersecurity

schützen, dann heißt es ja, wir schulen unsere Mitarbeiter bei Passwortsicherheit,

wir führen zwei-Faktor-Autorisierung ein oder Multifaktor-Autorisierung, wir machen

so ein Sensitivitätstraining, was Phishing-E-Mails betrifft.

Aber der Faktor Mensch wird ja deswegen nicht eliminiert.

Wir haben es ja auch schon gehabt mit Aufkommen der KI.

Wenn jetzt KI die Stimme des Chefs nachahmen kann,

wenn die E-Mails immer täuschender, immer echter wirken,

als würden sie tatsächlich aus der internen Organisation kommen,

dann hilft das beste Passwort-Training nicht,

wenn man auf solche Lücken reinfällt,

also auf solche Tricks und Tücken reinfällt.

Also wo kann man das am besten adressieren?

Man kann jetzt auch schlecht eine Misstraue-alles-und-jedem-Strategie fahren.

Also wie sollte man an solche Problematiken reingehen?

Liegt das vielleicht auch an der Unternehmensstruktur, an der Organisationsstruktur, wo was wie durchläuft?

Oder werden vielleicht Angestellte mit Security-Trainings auch eher überfordert,

als dass sie dann sich zu sehr auf die technische Seite verlassen und dann eher auf der sozialen Ebene angreifbar werden?

Also wo kann man da ansetzen? Wo liegen die größten Gefahren und die Baustellen, die innerhalb eines Unternehmens adressiert werden müssten, um solche Gefahren zumindest zu minimieren?

Also grundsätzlich ist es so wie bei der IT-Sicherheit auch. Man muss sich erst mal als Unternehmen fragen, was sind meine Schlüsselfähigkeiten, was sind meine Schlüsselassets, die ich habe, was muss ich schützen?

Und darauf aufbauend muss man halt dann gucken, wie schütze ich das?

Technischer Ebene und auf Ebene der Mitarbeiter.

Und wenn wir uns jetzt auf Social Engineering angucken, ist es halt hauptsächlich auf Ebene der Mitarbeiter.

Da kann ich dann, wenn ich weiß, was ich schützen möchte, kann ich halt auch gucken,

welche Mitarbeiter nehmen da Schlüsselrollen ein, welche Mitarbeitergruppen.

Und kann dann beginnen, diese Gruppen gezielt zu schulen.

Und gleichzeitig kann ich mir angucken, Sie haben die Organisationsstrukturen angesprochen.

Wie läuft meine Organisation? Wie tickt meine Organisation? Welche Kultur haben wir?

Wie unterstützt die Organisationsstruktur unser Geschäftsmodell?

Wenn ich das verstanden habe, kann man dann einen Schritt zurückgehen und analysieren

und sich fragen, mit welchen dieser Werkzeuge eines Social Engineers kann ich denn gerade hier besonders gut vorgehen?

Wo ist die Wahrscheinlichkeit wieder höher, dass ein Angriff funktioniert und nicht?

und kann dann halt gucken, darauf muss ich meine Mitarbeiter ganz besonders vorbereiten.

Und insofern kann man so ein bisschen so einen "Boil the Ocean"-Effekt verhindern,

also dass man sozusagen den ganzen, also alles halt versucht zu adressieren,

was halt weder finanziell Sinn macht, noch praktikabel ist.

Der erste Schritt ist eine Analyse.

Und im zweiten Schritt kann man sich dann halt überlegen,

was muss ich den Mitarbeitern beibringen.

Und letztlich sehe ich das, so dass gerade der Bereich Social Engineering, weil der ja wirklich gar nicht nur bei der IT-Sicherheit eine Rolle spielt,

sondern überhaupt im ganzen sozialen Miteinander.

Wie gesagt, diese Techniken werden halt auch im Marketing ausgenutzt und wenn Ihnen jemand ein Auto verkaufen möchte, wahrscheinlich auch.

Insofern ist da eigentlich auch ein Mehrwert dabei, Mitarbeitern das mal zu zeigen und vielleicht auch ein Stück weit erleben zu lassen.

Und auch auf diese Prinzipien wirklich ganz gezielt vorzubereiten,

die das ein bisschen ausprobieren zu lassen vielleicht auch.

Das heißt, mit so einem Tag Schulung können dann die Mitarbeitenden,

ja auch, glaube ich, für Privatleben was mitnehmen.

Nicht nur für das Unternehmen, sondern ja, auch wenn man dann zu Hause ist.

Und andere Spielarten des Social Engineering,

da jetzt vielleicht im Privatleben halt gerade eine Rolle spielt, vor allem bei

Älteren sind ja solche Sachen wie der Enkeltrick, der Polizistentrick, solche,

diese Art von Spielweisen, auch da Mitarbeitende darauf aufmerksam zu

machen und die gehen dann nach Hause und haben das gelernt und geben das

vielleicht auch noch mal an ihre Eltern weiter oder an andere Verwandte, die

die vielleicht da eher vulnerable sind. Ich denke, das ist also ein Mehrwert für Mitarbeitende,

der über wirklich das, was sie im Unternehmen machen, hinausgeht. Und das ist auch etwas,

was, glaube ich, Spaß machen kann. Weil man halt wirklich da nicht nur für die IT-Sicherheit

etwas lernt, was ja immer etwas als dröge und lästig und arbeitsbehindert wahrgenommen

wird, sondern man kann wirklich auch etwas fürs Leben lernen. Und vielleicht merkt man

dann beim Autokauf, was da gerade abläuft.

Dass man dann auch im Privatleben vielleicht das Auto für ein paar tausend Euro billiger kriegen kann.

Vielleicht. Oder halt merkt, der freundliche Verkäufer ist ein guter Verkäufer.

Gerade dann, wenn sowas wie dieses Prinzip, dass wenn man einen Gefallen bekommt, man diesen Gefallen zurückgeben muss.

Das ist ja auch was, was man erhalten möchte. Auf jeden Fall. Das ist wichtig.

Dieses Geben und Nehmen.

Dieses Geben und Nehmen unterstützt. Aber man muss halt dann reagieren, wenn das Nehmen

unverhältnismäßig ist im Vergleich zum Geben.

Dass man erkennt, jetzt wird man gerade gelockt und jetzt will gerade jemand einem mehr nehmen,

als man selber bekommen hat.

Richtig. Und in der Regel viel mehr. Und genau wenn man das realisiert,

und dann kann man halt auch üben, wie gehe ich jetzt damit um?

Und dann kann man auch dem Gegenüber direkt sagen, also hör mal,

Das steht in keinem Verhältnis hier.

Das kann man auch ganz ehrlich sagen.

Denn das ist ja auch noch, die spielen ja damit, dass es einem unangenehm ist.

Es wird einem einfach gemacht, Ja zu sagen, und es ist unangenehm, Nein zu sagen.

Und auch das muss man ein bisschen lernen, dass man halt merkt,

nee, das ist jetzt nicht unangenehm, Nein zu sagen, sondern es ist richtig, dass ich Nein sage.

Das hat das Gegenüber verdient, dass ich Nein sage

und vielleicht auch die Gefallen entgegennehme, ohne was zurückzugeben, weil das halt mit der Absicht war, das auszunutzen.

Und insofern würde ich sagen, könnten Unternehmen dadurch, dass sie in dem Bereich Mitarbeiter trainieren,

wirklich auch für Mitarbeiter einen Mehrwert schaffen, der weit über die IT-Sicherheit des Unternehmens hinausgeht.

Das klingt ja wirklich so, als wäre ein in den 30er Jahren, also in den 1930er Jahren

geschriebenes Buch wie "How to Win Friends and Influence People" von Dale Carnegie, also

wie man Freunde macht und Leute beeinflusst, auch heute noch eine sehr empfehlenswerte

Standardlektüre, eigentlich für jeden Angestellten in einem Unternehmen.

Ja, oder auch berühmt von Cialdini´s Buch "Influence", in dem auch diese Prinzipien

erklärt werden.

Genau, also das ist unter dem Blickwinkel gesehen, glaube ich, könnte man da wirklich fast ein Fun Event draus machen für Mitarbeiter.

Ja, das klingt fast so. Aber das Fraunhofer IAO selber bietet ja auch Direktschulungen und Kurse zum Thema Social Engineering an,

dass man sich da so ein bisschen vorbereitet und wappnet. Also an wen richtet sich das, beziehungsweise was wird da ganz konkret vermittelt?

Also wir machen das auf unterschiedliche Art und Weise.

Teilweise können uns Unternehmen einladen.

Dann machen wir das für die Mitarbeiter des Unternehmens oder ausgewählte Mitarbeitergruppen.

Da kann man dann auch erst gucken, für welche Gruppen ist das vielleicht am interessantesten.

Oder wir bieten das auch bei uns am Fraunhofer IAO an,

wo Unternehmen einige Mitarbeiter zu uns schicken können.

Und worum es da geht, ist auch so ein bisschen das Erleben.

Wie fühlt man sich in so einer Situation?

Vielleicht auch die Techniken selber mal ein bisschen ausprobieren.

Wir zeigen Beispiele.

Wie soll ich sagen, das eine ist die intellektuelle Ebene,

also das intellektuell zu verstehen, wie Techniken eingesetzt werden.

Auf der anderen Seite ist das Ziel, ein Bauchgefühl zu entwickeln.

Das es einem vielleicht auch ermöglicht, wenn man einen Fehler gemacht hat,

oder halt im Nachhinein möglichst schnell noch auf dieses Bauchgefühl

anzusprechen und zu reagieren und die IT zu informieren.

Also natürlich am besten den Angriff gleich abzuwehren,

aber wie gesagt, auch im Nachhinein noch schnell aktiv zu werden,

dass man also sowohl emotional als auch intellektuell

vorbereitet ist, dass so was passieren kann.

Und ja, die Techniken halt ein bisschen zu kennen, zu lernen,

auch was Open Source Intelligence ist, wie sich Social

Ingenieure, wenn sie wollen oder Angreifer, wenn sie wollen,

sich wirklich vorbereiten können auf ein bestimmtes Gespräch.

Da habe ich dann zum Beispiel auch einem Hiwi von uns mal den Auftrag gegeben,

das mal ein Profil für mich anzulegen.

Da kann ich mir vorstellen, dass das dann sehr interessant sein kann,

was da dann drin steht, was man dann über sich selber zu lesen bekommt.

Richtig, ja. Ich hatte am Ende einen Stammbaum mit Fotos.

Oh je.

Und auch zum Beispiel wurde mein Publikationsnetzwerk analysiert.

Und daraus ergeben sich dann die Gruppen von wissenschaftlichen Kontakten auf meines Lebens.

Teilweise wurde das dann auch dargestellt mit den Fotos von Mitautoren, Koautoren.

Ja, da kann man also wirklich aus öffentlich verfügbaren Informationen sehr viel rausholen.

Auf sowas gehen wir dann auch ein, um einfach Menschen zu zeigen,

wie gut Leute vorbereitet sein können, wenn sie vorbereitet sein wollen.

Das klingt schon so, als könnte es auch geradezu erschreckende Ausmaße annehmen.

Ja, ich glaube, wir könnten da noch sehr lange drüber reden, aber mit einem Blick auf die Uhr,

wir kommen langsam ans Ende unserer Zeit.

Liebe Zuhörer, liebe Zuhörerinnen, Sie haben es jetzt wahrscheinlich gehört und mitgenommen.

Entwickeln Sie ein gutes Bauchgefühl, entwickeln Sie ein gutes Gespür dafür,

was Ihr Gesprächspartner möchte und was Sie Ihrem Gesprächspartner geben können.

Sorgen Sie vielleicht dafür auch, dass da ein entsprechendes Gespür im Unternehmen

oder unter Ihren Mitarbeitern besteht.

Vertrauen ist gut, ein gutes Bauchgefühl und sicherheitshalber nochmal nachhaken und nachfragen an dritter Stelle ist besser.

Auch wenn die Zeit drückt und auch wenn man sich besonders eingeschüchtert oder besonders gebauchpinselt fühlt,

es lohnt sich immer, glaube ich, da nochmal an entsprechender Stelle innerhalb des eigenen Unternehmens nochmal nachzuhaken

oder dafür zu sorgen, dass es im eigenen Unternehmen eine entsprechende Nachhackstelle gibt.

In jedem Fall, Herr Dr. Christian Schunk, vielen herzlichen Dank für Ihre Ausführungen und Einblicke.

Und liebe Zuhörer und Zuhörerinnen, ich hoffe, Sie haben sehr viele gute Eindrücke auch mitnehmen können aus dieser Folge.

Und ich darf Sie hoffentlich an dieser Stelle in Zukunft wieder begrüßen bei heise meets.

Vielen lieben Dank.

Vielen lieben Dank, Herr Gerstel.

Das war heise meets, der Entscheider-Talk. Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie.