Nach neuesten Erkenntnissen erwischt es jedes 2. bis 3. Unternehmen. Sie werden ausspioniert. Mit diesen Angriffen durch professionelle Industrie- und Wirtschaftsspionage ist es ein wenig wie mit der Selbstverteidigung in dunklen Gassen. Natürlich können Sie sich zum eloquenten Kämpfer ausbilden lassen und dann böse Buben umhauen, verpacken und der Polizei übergeben.
Sie werden jedoch bei keinem dieser Angriffe selbst ohne blaue Flecken und andere Blessuren davonkommen. Ganz abgesehen davon, dass auch wohl trainierte Selbstverteidigung schief gehen und schmerzhafte Resultate nach sich ziehen kann. Richtige Selbstverteidigung fängt somit schon bei der Auswahl der Wegstrecke, den mitgeführten Requisiten, der Aufmerksamkeit und dem richtigen Distanzverhalten zu potentiell Gefährlichen an.
Im Bereich des Informationsschutzes ist es oft ähnlich. Wir achten viel (zu viel?) darauf, Mauern aufzurichten. Physisch wie elektronisch. Ob dies Zugangskontrollen, mehrfache IT-Firewalls unterschiedlichster Art oder fast paranoide Vorschriftenwerke sind. All dies ist grundsätzlich nötig! Wenn Profis jedoch diese Hindernisse erst einmal überwunden haben, steht ihnen fast immer der Weg frei.
Es ist also sinnvoll dafür zu sorgen, dass sich potentielle Angreifer sehr schwertun, überhaupt erst in die Nähe dieser finalen Hindernisse zu gelangen. Spioniert wird nämlich nicht nur nach "Daten". Um zum Beispiel zu sabotieren, oder Betrug und Bestechung vorzubereiten, muss meistens ebenfalls vorher ausgiebig spioniert werden.
Die Tricks und Methoden des "Social Engineering"
Genau hier kommt "Social Engineering" ins Spiel. Viele kennen den Begriff, manche verbinden ihn sofort mit Phishing Mails, aber nur sehr wenige kennen die Tücken in ihrer ganzen Breite und Tiefe. Social Engineering ist der Oberbegriff für alle Methoden, Techniken und Tricks, um Menschen dazu zu bringen, etwas zu tun (oder mitzuteilen), was sie bei wachem Verstand und entsprechendem Grundmisstrauen nie und nimmer tun würden. Dabei ist es erst einmal egal, ob ich als Angreifer versuche Vertrauen zu gewinnen, um einen Menschen in mein Schlafzimmer zu bekommen oder ihn zu bewegen, mir (zu) viel über seine Arbeit, Bezugspersonen, Projekte, Zugangswege oder Reisepläne zu erzählen.
Die Tricks und Methoden sind dieselben. Angefangen vom angedeuteten Dekolleté im Café, über den George-Clooney-Typen beim Sparkassen-Golfturnier bis hin zu Austausch über Xing / Twitter / Tinder und andere Spielwiesen.
Profis überlegen genau, wie sie bei ihren Zielpersonen die ihnen passenden Emotionen auslösen können. In welchen Rollen sie aktiv werden. Wer sie angeblich sind, was sie anziehen, wie sie sprechen und schreiben. Letzteres wird dann besonders wichtig, wenn zum Beispiel versucht wird, per Mail oder elektronischem Anhang mit versteckter Software zu spionieren. Damit ein Link angeklickt oder ein Anhang geöffnet wird, müssen Mail und Text psychologisch sehr geschickt aufeinander abgestimmt sein.
Schlechte Führungs- und Kommunikationskultur öffnet Türen
Am leichtesten haben es Ausspäher, wenn die Führungs- und Kommunikationskultur in einem Zielunternehmen grottenschlecht ist. In den Wochen, nachdem eine Vorstandsriege zum Beispiel "Optimierungsmaßnahmen" (Freisetzungen) angekündigt und zugleich noch mehr Arbeit eingefordert hat. Hierbei wird oft jahrelang aufgebaute Motivation in einer Mailseitenlänge dauerhaft zerstört. Mitarbeiter, die sich bis dahin an Regeln gehalten haben, pfeifen nun darauf. Sie haben jetzt ganz andere Sorgen als Informationsschutz.
Um all diese Tricks des Social Engineering frühzeitig zu erkennen und gegenzuhalten, muss man sich damit länger auseinandersetzen, als 50 Minuten lang in einer Standard-Awareness Schulung oder 20 Minuten in einem e-Learning. Man muss Informationsschutz "leben"! Dazu sollte das Ganze aber Spaß machen (neudeutsch "sexy" sein). Erfolgserlebnisse müssen ebenso her, wie wichtige Alarmknöpfe. Zum Beispiel gute Einrichtungen für Whistleblower, um auch gegen "Innentäter" frühzeitig aufzurüsten.
Leider gibt es zu alledem nur selten Gelegenheit, sich mit (den seltenen wirklich guten) Präventions- und Abwehrprofis auszutauschen. Man würde dann erfahren, dass Präventions- und Gegenmaßnahmen weniger eine Frage des Budgets als der richtigen Vorgehensweise sind. Am 6. und 7. Mai 2020 findet in Köln das Symposium "SUSPEKTRUM" statt. Hier geht es um Social Engineering ebenso wie um Whistleblower, geknackte Handys, frühzeitiges Erkennen von Betrugsversuchen und mehr ...
Vielleicht sehen wir uns ja dort. Sie erkennen mich an der Times unter dem Arm :-). Aber bitte nicht weitersagen!
Autor:
Der nahe Köln lebende Österreicher Fred Maro ist seit mehr als 25 Jahren gefragter Fachmann, wenn es um das Optimieren unternehmensinterner Führungskommunikation geht. In diesem Zusammenhang berät er zahlreiche Top-Führungskräfte und Politiker. Das weltweit als schnell zu begreifende Verständnisplattform geschulte "FMPrinzip" ist nach ihm benannt.
Als Leiter der Spezialisten seines Unternehmens FM-nØspy besitzt er im Themenbereich "Informationsschutz" ("Prävention und Abwehr von Wirtschaftsspionage") international hohe Reputation und schult an in- und ausländischen Fachinstituten. Denn das Wissen, wie und warum Menschen reagieren und getäuscht werden können, ist für effektive Spionageabwehr unabdingbar. Zusammen mit seinen Teams unterstützt der leidenschaftliche Segler und Ju-Jutsu- Kämpfer Konzerne und mittelständische Unternehmen in ihrem Bemühen, sich vor diesen subtilen, kommunikativ angelegten Gefahren zu schützen.
"Social Engineering? Aber nicht bei uns!" Tatsächlich sieht die Realität anders aus. Erfahren Sie mehr über die Tücken und Tricks von Social Engineering auf der SUSPEKTRUM – Fachkonferenz gegen Wirtschaftskriminalität am 6. und 7. Mai 2020 in Köln.
Lassen Sie sich von herausragenden Top-Speakern durch die Welt der möglichen Angriffe führen und lernen Sie alles über die Prävention gegen dolose Handlungen. Getreu dem Leitspruch: Wann baute Noah die Arche? Vor der Sintflut.