26.10.12

Social Engineering

Vorsicht Werksspion! Gefahren für Unternehmen

Auch einfache Arbeitnehmer geraten ins Visier krimineller Kundschafter. Social Engineering nennen Experten diese Tour.

Von Tobias Hanraths und Andrea Pawlik
Foto: dpa Themendienst
Detektiv
Spionage-Angriffe seien oft wenig ausgefeilt, eher plump, sagen Experte

Die Situation ist ganz alltäglich: "Nein, tut mir leid, mein Chef ist mit seinen Kindern unterwegs." "Ach toll, wie alt sind die beiden denn?" Eine nette Plauderei am Telefon. Oder? Hinter solch vermeintlich harmlosen Fragen verbirgt sich vielleicht eine besondere Variante der Firmen- oder Industriespionage, genannt Social Engineering.

Die Angreifer versuchen, durch das Ausnutzen menschlicher Schwächen an wichtige Informationen zu gelangen, erklärt Christian Schaaf von der Sicherheitsfirma Corporate Trust. In dem oben erzählten Beispiel sind das zum Beispiel Namen und Geburtsjahr der Kinder, aus denen sich vielleicht das Computerpasswort des Chefs zusammenbauen lässt. "Dem Opfer wird gezielt das Gefühl vermittelt, dass eigentlich nichts Schlimmes passieren kann."

Ins Visier der Spione geraten vor allem Industrieunternehmen aller Art, etwa aus der Auto- oder Luftfahrtindustrie. "Im Grunde alle Firmen, die etwas machen, was kein anderer kann", erklärt Professorin Melanie Volkamer, die am Darmstädter Center for Advanced Security Research (CASED) über das Thema Social Engineering forscht.

Angegriffen werden nicht nur hochrangige Mitarbeiter, sondern gerade auch Arbeitnehmer, die im Abwimmeln unerwünschter Anfragen ungeübt sind. "Da steht dann auf einer Messe vielleicht auch mal der Entwickler am Stand und nicht der geschulte Pressesprecher", erklärt Sicherheitsexperte Schaaf eine bekannte Variante. "Der ist natürlich sehr stolz auf sein Produkt und möchte es unbedingt zeigen." Zum Problem wird das, wenn ein geschickter Angreifer dann an die Techniker-Ehre appelliert und ihm so Geheimnisse entlockt - etwa mit einem Satz wie: "Aber das kann ihr Produkt nicht, oder?"

"Klar, der Ingenieur in diesem Beispiel fühlt sich geschmeichelt", sagt die Hamburger Diplom-Psychologin und Unternehmensberaterin Andrea Danker. "Ich glaube aber auch, dass unsere Mitteilsamkeit mit dem Gesellschaftswandel zu tun hat. Wir sind durch die Social-Media-Kultur so viel und so schnell im Austausch. Früher hat man sich viel mehr Gedanken darüber gemacht, was man preisgibt."

Und noch einen weiteren Umstand sieht Danker als Einfallstor für Aushorcher: "Die Bindung an den Arbeitgeber ist oft sehr locker geworden, die Mitarbeiter gehen schneller wieder weg, es fehlt an Loyalität zum Unternehmen. Warum sollte man dann nicht versuchen, sich vor allem selbst zu profilieren?" Oft sei es aber einfach die Unbedarftheit des Mitarbeiters. Andrea Danker: "Ist er stolz auf sein Unternehmen? Oder unzufrieden? Das kann man im Gespräch schnell herausfinden und denjenigen genau an diesem Punkt zu fassen kriegen."

Hilfreich ist, sich Strategien zum Loswerden eventueller Angreifer zu überlegen, sagt Forscherin Melanie Volkamer: "Viele scheuen sich, am Telefon einfach 'Nein' zu sagen, weil sie das als unhöflich empfinden." Stattdessen könnten sie aber zum Beispiel "Da muss ich erst kurz meinen Kollegen fragen" sagen. Das schreckt Angreifer oft genauso ab. Auch Psychologin Danker plädiert dafür, sich einen Moment Bedenkzeit zu verschaffen, bevor man losplaudert - etwa, indem man erst einmal sehr vage in seiner Antwort bleibt: "Das Alter der Kinder? So genau weiß ich das gar nicht." Während der Mitarbeiter sich kurz zurücknimmt, könne er im Geiste kurz checken, wie verdächtig der Anrufer und seine Frage sind.

Wichtig ist aber vor allem, dass der Arbeitgeber klare Regeln zum Umgang mit Geheimnissen aufstellt, sagt Professorin Volkamer. Angestellte müssten genau wissen, an wen sie was herausgeben dürfen - und sich im Zweifel auch darauf berufen können: "Ich muss wissen, dass mir kein Ärger droht, wenn ich mich an Regeln halte." Denn auch das sei eine typische Masche beim Social Engineering. "Angreifer nutzen diese Unsicherheit aus: 'Gut, dann geben Sie mir das Passwort nicht - dann müssen Sie aber dafür geradestehen!'"

Industriespione lauern allerdings nicht nur am Telefon und am Arbeitsplatz. "Es ist heute viel leichter für Angreifer, an Informationen zu kommen", warnt Melanie Volkamer. So stellen Firmen zum Beispiel ihre Organigramme ins Netz oder posten Interna in sozialen Netzwerken. Angreifer können sich darüber mit vermeintlichem Insiderwissen versorgen und glaubwürdiger wirken. Außerdem nehmen immer mehr Angestellte ihre Arbeit mit nach Hause oder mit in den Zug, wo das Notebookdisplay leicht für andere einzusehen ist.

Übertreiben sollte man es mit der Vorsicht aber auch nicht, findet Christian Schaaf: "Totales Misstrauen ist die verkehrte Reaktion - das Leben soll ja auch noch Spaß machen." Zu viel Vorsicht kann auch das Klima in einem Unternehmen vergiften. Arbeitnehmer müssten aber wissen, was beim Social Engineering möglich und üblich ist. Viele Attacken könne man so schon leicht abwehren, sagt der Experte: "Angriffe sind nur selten extrem ausgefeilt, sondern oft sogar ziemlich plump."

Diplom-Psychologin Andrea Danker rät Unternehmen dazu, ihre Mitarbeiter für das Thema zu sensibilisieren und ihnen immer wieder deutlich zu machen, wie wichtig die Sicherheit der Firmeninterna ist. Zum Beispiel, wenn Mitarbeiter auf eine Messe geschickt werden: "Sie sollen daran denken, dort mit Unbekannten nicht zu sehr ins Detail zu gehen und vor einem längeren Gespräch auf jeden Fall nach der Visitenkarte des Standbesuchers zu fragen", sagt Andrea Danker.

Die Favoriten unseres Homepage-Teams

Alles über Ihre Straße

Die Welt - Aktuelle News
  1. 1. AuslandUS-PräsidentBarack Obama ist vieles – aber nicht gescheitert
  2. 2. AuslandAußenminister Lawrow"Westen will in Moskau Regimesturz provozieren"
  3. 3. Wirtschaft"Welt"-Nachtblog++ Taxifahrer hetzen Uber-Mitarbeiter durch Madrid ++
  4. 4. SC Paderborn 07Borussia DortmundBVB vergibt den Sieg und verliert Marco Reus
  5. 5. DeutschlandParteitag in HamburgEin klarer Sieg "Waziristans" bei den Grünen
Top-Videos
Kinotrailer
Wie "The Green Prince" zum Terroristen wurde

Mosab Hassan kämpft schon als junger Mensch für die Hamas gegen Israel. Der deutsch-israelisch-britische Dokumentarfilm blickt auf beeindruc…mehr »

Top Bildergalerien mehr
Bundesliga

Der 12. Spieltag in Bildern

Steilshoop

Brandstifter legt Feuer in einer Wohnung

Weihnachtsmärchen

Die schönsten Märchen für Kinder

28 Jahre Musicals

Hamburger Musicalgeschichte

Hamburg Guide mehr
Weitere Dienste alle Dienste
Highlights
tb_hh_mahjong100.jpg
Mahjong

Spielen Sie mit!mehr

rb_wetter_926045a.jpg
Wetter in Hamburg

Der aktuelle Wetterbericht mit Karte und Vorhersagemehr

rb_stadtplan_926042a.jpg
Stadtplan Hamburg

Mit dem Hamburger Stadtplan Adresse und Orte findenmehr