Wer im Netz persönliche Daten oder sensible Informationen schützen will, macht mit einer Anti-Viren-Software und einer funktionierenden Firewall schon vieles richtig. Aber es gibt eine Schwachstelle in der IT-Sicherheit gegen die selbst der beste Virenschutz machtlos ist. Und das ist der Mensch. Sandra Balz von der Transferstelle IT-Sicherheit im Mittelstand (TISiM) spricht im DiFü-Podcast „D wie Digital“ über Social Engineering, Psycho-Tricks und wie wir uns alle dagegen wehren können. Hier ist das Interview zum Nachlesen.

Difü.de: Wenn wir von Hacker:innen reden, denken viele erst einmal an die Hacker:innen vor dem Computer, die mit Kapuze auf dem Kopf endlose Codezeilen tippen und sich so einen Zugang zu Netzwerken verschaffen wollen. Social Engineering ist aber eine andere Form des Hackens. Wie kann man sich das genau vorstellen?

Sandra Balz: Es ist wnicht mehr die oder der Hacker:in in der Kapuze im stillen Kämmerlein, sondern beim Social Engineering geht es wirklich darum, eine zwischenmenschliche Beeinflussung herbeizuführen. Sprich: Man tritt als vermeintlich vertrauenswürdig in Erscheinung und gibt sich beispielsweise gegenüber einem Unternehmen als eine Respektsperson oder Vorgesetzten aus. Social Engineerer nutzen also bewusst Vertrauen aus.

Können wir dann sagen, dass Social Engineerer so etwas wie Menschen-Hacker:innen sind?

Am Ende wollen sie natürlich persönliche Daten haben, beispielsweise Kreditkartendaten. Ich glaube, ältere Menschen fallen öfter darauf rein. Ich sehe das oftmals, wenn meine Mutter sagt: „Ach, du arbeitest doch da und mir ist das jetzt aber auch passiert.“ Hacker:innen, die Menschen hacken – ja, das trifft es gut.

Ihre Mutter ist eine Privatperson. Viele Privatpersonen werden Opfer von Social Engineering und fallen auf Phishing-Versuche rein. Aber das Thema ist natürlich auch in der Firmenwelt immer wieder groß. Haben Sie da vielleicht noch Beispiele aus der Praxis, wo so ein Hack-Versuch Erfolg gehabt hat?

Ich nenne keine Namen, aber ich weiß das von verschiedenen Stellen. Ich kenne den Fall, da hat sich jemand einfach ausgegeben als Mitarbeiter von Microsoft. Diese Person hat in einer Firma angerufen und gesagt, er bräuchte für eine Prüfung sensible Daten. Der Mitarbeiter der Firma hat dann die sensiblen Daten rausgegeben. Und dann war es geschehen.

Sie selbst sind auf dem Gebiet Profi und fallen jetzt nicht so leicht darauf rein, viele andere Menschen hingegen schon. Was kann man leichter hacken: Menschen oder Computer?

Ganz sicher den Menschen, denn der hat eher Vertrauen in das Gute. Und wenn man nicht ausreichend sensibilisiert ist, dann fällt man einfach schnell drauf rein. Hacker:innen werden ja auch immer geschickter. Sie streuen ihre Nachrichten teilweise einfach in Masse und brauchen bloß abzuwarten, bis jemand darauf reinfällt. Man sagt da auch gerne: Das Problem sitzt vor dem Rechner und nicht dahinter.

Das heißt ganz platt gesagt, wenn ich 10.000 Anrufe mache oder 10.000 E-Mails verschicke, dann werden schon ein paar anbeißen.

Ja, das würde ich ganz definitiv so unterschreiben.

Was sind denn typische Strategien von Social Engineering? Ist das wirklich immer so eine massenhafte Streuung oder suchen sich diese menschlichen Hacker:innen ihre Ziele auch ganz bewusst aus?

Was ist Social Engineering?

Hacker:innen setzen nicht nur auf Software-Sicherheitslücken. Sie nutzen auch einfache psychologische Tricks, um uns hereinzulegen. Der englische Begriff dafür ist Social Engineering (soziale Manipulation). Eine verbreitete Methode ist beispielsweise das sogenannte Phishing oder auch Smishing. Dabei werden gefälschte E-Mails oder SMS verschickt, um sensible Daten abzugreifen.

Social Engineerer streuen zunächst einfach sehr breit und schauen dann, wo es am besten funktioniert, um es weiter zu professionalisieren. Auch vor dem Hintergrund, dass sich einige Taktiken schnell abzunutzen.

 

Besonders oft hatten wir in der Coronazeit den Fall, dass Verbraucher:innen vermeintliche Nachrichten von DHL über einen Paketversand erhielten. Da wurden bereits viele Menschen stutzig und haben den Link in der Mail nicht angeklickt, wenn sie nichts bestellt haben.

 

Irgendwer fällt in der Regel aber dennoch darauf hinein, grundsätzlich bleiben Social Engineerer in ihrer Strategie jedoch immer variabel und deshalb für alle Verbraucher:innen gefährlich.

Gibt es eine klassische Masche oder Betrugsversuche, die im Moment besonders gern eingesetzt werden?

Der Klassiker sind Phishing-Versuche, also Fehlinformation per Mail darüber, dass beispielsweise angeblich ein Passwort abläuft oder sensible Daten bestätigt werden müssen.

Social Engineerer geben sich dann als eine Bank oder als ein wirklich vertrauenswürdiges Institut aus – per Mail, aber auch gerne am Telefon und SMS.

Also Social Engineerer muss ich also wahrscheinlich gar kein Computer-Profi sein, um Leute an der Nase herumzuführen?

Nein, muss ich nicht. Es sind nicht die Hacker:innen, die im stillen Kämmerlein ellenlange Codes schreiben. Die gibt es im Kontext von Angriffen gegenüber Unternehmen auch. Aber beim Social Engineering sind die Täter:innen nicht einmal sonderlich professionell.

Das ist gleichzeitig auch das Schlimme daran. Menschen fallen leider trotzdem darauf hinein, weil sie zu wenig sensibilisiert sind oder vielleicht auch manchmal Leichtsinn vorherrscht.

Häufig denken Nutzer:innen: „Was soll schon passieren?“ Oder „Was heißt das? Mein Passwort ist kompromittiert?“ Dann löschen sie meist die entsprechende Mail. Aber das kann eigentlich nicht der dauerhafte Weg sein.

Spielen da auch psychologische Aspekte wie Hilfsbereitschaft oder das eigene Ego mit rein?

Mit charakterlichen Zügen, die Menschen nun einmal haben, wird natürlich gespielt. Beispiel: Hierarchien in Unternehmen. Wenn ich eine vermeintliche Mail-Aufforderung von meinem Chef erhalte und diese glaubhaft ist, überprüfen Mitarbeiter:innen das gegebenenfalls nicht weiter – dabei kann die Mail eben auch gefälscht sein.

Interessant ist in diesem Zusammenhang auch die Frage, ob die Gefahr im Home-Office oder im Büro höher ist. Wir vermuten, dass Mitarbeitende im Büro doch noch einmal Kolleg:innen fragen, wenn ihnen Nachrichten verdächtig vorkommen. Im Home-Office dagegen erfolgt diese schnelle Rückfrage über den Bürotisch eben so nicht. Die Hürde zum Nachfragen ist höher und kostet gegebenenfalls eine Extra-Mail, weshalb hier die Angriffsfläche größer sein könnte.

Haben Sie da auch Zahlen zu oder sind das eher Erfahrungswerte aus der Praxis?

Im Disinfo-Report zeigt sich, dass mit der Zunahme von Home-Office nicht zwangsläufig auch die Bereitschaft steigt, um Sicherheitsvorkehrungen zu treffen. Das bewegt sich weiterhin auf unzureichendem Niveau. Das Verschlüsseln von E-Mails liegt etwa bei nur 35 Prozent.

Digitalisierung schreitet in Unternehmen voran, aber viele Firmen denken die Sicherheit nicht in gleichem Maße mit. Und Social Engineering betrifft ja nicht nur den privaten Bereich, sondern findet auch statt, wenn ich im Home-Office bin oder im Büro oder sonst wo.

Wie ist denn das in Unternehmen: Auf welcher Mitarbeitendenebene haben Social-Engineering-Versuche besonders großen Erfolg? Fallen auch die oberen Führungsebenen, also die Chef:innen, auf simple Tricks herein?

Man findet auf allen Ebenen Einfallstore und ich glaube, man kann nicht sagen, dass die Führungsebene da weniger Angriffsfläche bietet oder dort weniger Risiko vorhanden ist.

Wen sehen Sie denn bei der Prävention in der Pflicht auf Unternehmensseite? Sind das die Arbeitnehmer:innen, die sich mehr mit dem Thema auseinandersetzen müssen? Oder sind es die Arbeitgeber:innen, die ihre Mitarbeitenden schulen sollten?

Ich sage es nahezu jeden Tag, wenn ich die Gelegenheit habe oder mit Unternehmen sprechen kann beziehungsweise mit Multiplikatoren: Wir müssen die Verantwortlichen sensibilisieren. Der Geschäftsführer, der Inhaber oder der CEO muss für das Thema empfänglich sein und die ersten Maßnahmen einleiten. Das heißt im ersten Schritt, die Hilfestellungen nutzen, die von staatlicher Seite kostenfrei zur Verfügung gestellt werden.

Der DsiN-Praxisreport 2021/22 Mittelstand @ IT-Sicherheit beschreibt die IT-Sicherheitslage bei kleinen und mittleren Unternehmen in Deutschland.

Der DsiN-Praxisreport 2021/22 Mittelstand @ IT-Sicherheit beschreibt die IT-Sicherheitslage bei kleinen und mittleren Unternehmen in Deutschland.

Die Verantwortlichen in den Unternehmen müssen es voranbringen und die müssen dann ihre Mitarbeitenden einfach mitnehmen.

 

Unser Praxis-Report 2022 zeigt, dass viele Unternehmer:innen davon ausgehen, dass die jungen Mitarbeiter:innen das schon von alleine machen. Aber so ist es nicht.

 

Sie machen das vielleicht, wenn man Glück hat, in ihrem privaten Bereich. Aber letztlich müssen Unternehmen ihre Belegschaft überzeugen, dass man etwas tun muss.

Nun wissen ja viele Menschen auch eigentlich, dass man etwas tun soll. Sie wissen, worauf es ankommt. Gute Passwörter zum Beispiel. Warum halten sich denn viele trotzdem nicht an so ganz simple Vorsichtsmaßnahmen?

Solange nicht etwas Gravierendes dabei passiert, bin ich da vielleicht auch ein Stück weit faul als Nutzer:in. Das sind manchmal auch ganz pragmatische Gründe: Ich habe als Verbraucher:in möglicherweise lieber überall ein Passwort, dann kann ich es nicht vergessen und dann komme ich immer überall rein. Mehrere Passwörter? Das ist mir zu umständlich und zu lästig.

Und vielleicht müssen aber auch die Systeme noch einfacher gestaltet werden, gerade für KMU. Gemeint sind beispielsweise konkrete Services und einfache Anleitungen, die an die Hand gegeben werden.

Vielleicht haben die Menschen auch Hemmungen nachzufragen, um sich selbst nicht die Blöße zu geben?

So kann es durchaus in Unternehmen ablaufen. Dort gibt es vielleicht einen Mitarbeitenden, der sich um die IT kümmert. Der sorgt aber dafür, dass da die Rechner stehen, dass es vielleicht noch eine Cloud-Lösung gibt. Aber man kann das dieser Person auch nicht anlasten, dass sie wirklich intensiv die IT-Sicherheit beobachtet.

Im privaten Bereich ist es vor allem die Angst davor, bei Fragen als unwissend abgestempelt zu werden. Das möchte man natürlich nicht.

Aber wir haben gute spielerische Ansätze – bei uns in unserer TISiM-App, aber auch vom Bundesministerium für Wirtschaft und Klimaschutz, wie BAK Game oder das Projekt Alarm.

Was ist Gamification?

Gamification bedeutet im Grunde, Inhalt, die möglicherweise etwas trocken sind, Menschen spielerisch näherzubringen. Am Ende kann etwa eine kleine Belohnung warten oder die Inhalte sind als Herausforderung, etwa als Quiz gestaltet, das man meistern muss.

Hier gilt es auch den Digitalführerschein (DiFü) von Deutschland sicher im Netz e.V. zu erwähnen. Wenn jemand ein Zertifikat durchläuft und sich gewisse Kompetenzen aneignet, dann profitieren am Ende die Unternehmen davon.

 

Das gilt insbesondere für Ausbildungsbetriebe mit jungen Menschen, aber durchweg auch für alle Altersklassen. Der DiFü richtet sich an alle und bescheinigt, dass sich Menschen nachweislich mit dem Thema auseinandergesetzt haben. Ich glaube, das ist ein guter Ansatz.

Wenn ich meine eigenen Kenntnisse oder meine eigenen Abwehrkräfte gegen Social Engineering auf den Prüfstand stellen möchte – was ist da aus Ihrer Sicht die beste erste Anlaufstelle für mich?

Ich würde sagen: Erst einmal zu TISiM kommen und den Sec-O-Mat durchlaufen. Wir bei TISiM komprimieren und bündeln viele Angebote, sodass man nicht an fünf verschiedenen Punkten ansetzen muss.

Außerdem ist der DiFü eine gute Anlaufstelle, gerade für den zivilen Bereich, für junge Menschen bis Senioren. Daneben findet man beim Bundesamt für Sicherheit und Informationstechnik (BSI) viele Materialien zum Mitnehmen.

Was sind aus Ihrer Sicht die drei wichtigsten Erkenntnisse aus unserem Gespräch?

Die drei wichtigsten Erkenntnisse sind:

  1. Kompetenzen muss man haben, um mit dem Thema IT-Sicherheit und Social Engineering umzugehen. Es gibt wirklich viele Stellen und Wege, um sich diese Kompetenzen einfach und mit wenig Zeitaufwand anzueignen.
  2. Mit Blick auf die Unternehmen müssen es die Verantwortlichen in die Hand nehmen. Die müssen das Thema voranbringen und ihren Mitarbeitenden sagen: Da wollen wir jetzt besser werden.
  3. Nicht nur Kompetenz besitzen, sondern vorsichtig sein und einfach eine gewisse Sensibilität entwickeln. Wenn einem etwas verdächtig vorkommt, nochmal prüfen und im Zweifel nicht scheuen zu fragen. Denn wenn die sensiblen Daten abgegriffen sind und mein Konto ist geplündert, dann kann ich es unter Umständen nicht mehr rückgängig machen.