Engineering.
Erfolgreiche Fälle des Social Engineerings
Ein fataler Fall des Social Engineerings in der Version des sogenannten CEO-Fraud in jüngerer Zeit in Deutschland verlief so, dass Angreifer den Urlaub eines Geschäftsführers abwarteten, um dann dem leitenden Buchhalter am Telefon gegenüber aufzutreten als der Geschäftsführer selbst, der sich aus dem Urlaub heraus meldete. Trotz langjähriger Tätigkeit in dem Unternehmen bemerkte der Buchhalter nicht, dass tatsächlich eine andere Person am Telefon war als sein Geschäftsführer. Es ginge um den Kauf von Firmenanteilen an Konkurrenzunternehmen in zweistelliger Millionenhöhe, so der vermeintliche Geschäftsführer. Der arme Buchhalter wurde davon überzeugt, dass nur er selbst eingeweiht werde in das Vorhaben, da er als langjähriger Mitarbeiter das höchste Vertrauen des Geschäftsführers genieße. Das derart entgegengebrachte Vertrauen schmeichelte dem Angestellten offensichtlich derart, dass er nach einigem Hin und Her seine Bedenken über Bord warf und einen zweistelligen Millionenbetrag auf ein Konto bei der Alpha-Centauri-Bank (Name geändert) auf Sirius (Name geändert) überwies. Genaugenommen waren es rund 30 Millionen Euro. Das Geld ist bis heute weg.
In einem weiteren Fall schaltete sich ein angeblicher Mitarbeiter eines Unternehmens, das die IT-Systeme der Hausbank einer in Europa ansässigen Hotelkette umstellen sollte, ein in die Korrespondenz zwischen Hotelbetreiber und der Hausbank. Um angeblich die erfolgreiche Umstellung des Systems zu testen, sollte die Hotelkette eine Reihe von Testüberweisungen tätigen. Der gutgläubige Buchhalter überwies in mehreren Tranchen insgesamt rund 500.000 Euro. Im anschließenden Gerichtsprozess konnte nur noch festgestellt werden, dass das Geld irgendwo in Osteuropa versackt und abgehoben worden war.
Im Kleinen findet Social Engineering nahezu täglich auf die eine oder andere Weise statt. Oft verbirgt sich dahinter noch nicht einmal kriminelle Energie. Eltern wollen vom langjährigen Hausarzt wissen, wie es um den Gesundheitszustand erwachsener Kinder steht, oder Eheleute sorgen sich bei der Bank um die familiäre Vermögenslage und wollen in Erfahrung bringen, ob der Partner erneut ohne Rücksprache existenzgefährdende Kredite aufgenommen hat und Ähnliches. Gerade Ärzte, die noch dazu einer Schweigepflicht unterliegen, befinden sich hier oft in einem fast ausweglosen Dilemma zwischen rechtlichen Vorgaben und dem Bemühen, ihren Patienten und deren Familien zu helfen.
Passwortausspähung
Wichtige Informationen sind regelmäßig über Passwörter geschützt. Das soll sicherstellen, dass nur solche Personen auf die geschützten Daten zugreifen können, die dazu besonders autorisiert sind. Leider werden Passwörter aber immer wieder von Hackern ausgespäht oder mit anderen Worten geknackt. Es gibt Verhaltensweisen, die dies begünstigen. Dazu zählt der oft laxe Umgang mit Passwörtern, aber oft auch einfach nur die Auswahl schwacher Passwörter.
Laxer Umgang mit Passwörtern
Der laxe Umgang mit Passwörtern stellt für die Datensicherheit eine große Gefahr dar. Immer wieder neigen Mitarbeiter dazu, anderen Mitarbeitern ihre Zugangsdaten zu Ihrem E-Mail-Account oder bestimmten Bereichen im betriebseigenen IT-System bekannt zu geben. Der Grund besteht oft in der Erleichterung von Alltagstätigkeiten. Dabei wird gerne übersehen, dass die erfolgte Verwendung dieser Zugangsdaten vor Gericht ein klares Beweisanzeichen dafür ist, dass die Zugangsdaten von dem Berechtigten selbst und nicht von Dritten verwendet wurden. Die damit einhergehende Beweislastumkehr führt dazu, dass der Berechtigte, dessen Zugangsdaten missbraucht wurden, beweisen muss, dass nicht er das System kompromittiert hat, sondern ein anderer. Das ist in vielen Fällen technisch kaum möglich. Auch das langjährige Vertrauen in Ihre Kollegen sollte Sie nicht dazu verleiten, diesen Ihre Authentifizierungsdaten oder Passwörter anzuvertrauen. Es gibt Fälle, in denen Ihre Kollegen selbst vielleicht gar kein Interesse haben, die Daten zu missbrauchen. Was aber, wenn sie von krimineller Seite unter Druck gesetzt werden? Auch kleine, auf Bildschirmen aufgeklebte Post-it-Zettelchen mit Passwörtern oder Bankkarten, auf denen das Passwort aufgeschrieben ist, sind immer wieder zu beobachten und machen die besten IT-Sicherheitseinstellungen zunichte.
Schwache Passwörter
Aber auch schwache Passwörter sind ein Einfallstor für Angriffe von außen. Stark sind Passwörter dann, wenn sie aus
mindestens acht Zeichen bestehen,
Groß- und Kleinschreibung beinhalten und
Zahlen und Sonderzeichen verwenden.
Das ist an sich ganz einfach, wird aber oft aus bloßer Unbedarftheit – böse Zungen würden von Faulheit sprechen – nicht eingehalten. Am besten ist es deshalb, Systeme zu verwenden, die bereits bei der Vergabe von Passwörtern durch die Benutzer automatisch eine Prüfung der Passwortstärke vornehmen und schwache Passwörter von vorneherein nicht akzeptieren. Schwierigkeiten bereitet es aber auch oft, angesichts der Vielzahl von Passwörtern, die nahezu überall zu vergeben sind, einen Überblick über diese zu behalten. Das kann dann dazu führen, dass immer wieder dieselben Variationen von Ausgangspasswörtern verwendet werden. Schlimmstenfalls kommt dasselbe Passwort gleich bei verschiedenen Accounts zum Einsatz. Wer dieses Passwort kennt, kann in kurzer Zeit sämtliche Accounts knacken.
Einsparungen
Auch Einsparungen an der falschen Stelle machen Angreifern das Leben leicht. Je sensibler Ihre Daten sind, desto härtere Maßnahmen zur Gewährleistung der Datensicherheit sollten Sie ergreifen. Oft beharren Unternehmen aber leider auf völlig veralteten IT-Strukturen. Das mag nostalgische Gründe haben oder ist Ausfluss eines kognitiven Irrtums, nämlich dem Fehlschluss aus versunkenen Kosten. Wer jahrelang in eine eigene Server-Landschaft Unmengen von Geldern investiert hat, ohne zu erkennen, dass der Betrieb eigener Server längst nicht mehr rentabel und schon gar nicht mehr sicher ist, der neigt dazu, an dem alten Server festzuhalten, auch wenn zwischenzeitlich weitaus günstigere und noch dazu sicherere Cloud-Lösungen existieren. Wenn solche versunkenen Kosten erst einmal entstanden sind, decken sich die Interessen des Unternehmens zur Behebung des Problems oft nicht mehr mit dem mentalen Konto des Entscheidungsträgers. Hier kann meist nur ein Wechsel des Verantwortlichen helfen, die festgefahrene mentale Ausrichtung zu durchbrechen. Vive la révolution!
Unsachgemäße Datenträgerbehandlung
