Die Verlockung ist gross, dass gerade auf dem Smartphone entdeckte «free WLAN» zu nutzen. Es trägt den Namen eines bekannten Providers, passt vielleicht sogar in die Umgebung und man wähnt sich in Sicherheit. Auch erfahrene Führungskräfte sind nicht davor gefeit, unbedarft frei zugängliche Internetzugänge zu nutzen und damit Nichtbefugten ungewollt persönliche oder unternehmensrelevante Informationen zuzuspielen.
Die Praxis zeigt entsprechend ein hohes Potenzial für die Sensibilisierung in Bezug auf die neuen Technologien und deren Risiken. Durch die allseits beworbene Digitalisierung ist auch die unternehmensspezifische Risikolandkarte Veränderungen unterworfen. Für die Unternehmenswelt bedeutet der digitale Fortschritt, dass sich die Strategie, das Geschäftsmodell sowie daraus abgeleitet auch die Prozesse und Risiken verändern. Diese stetigen Veränderungen sind nicht neu – neu jedoch ist die Geschwindigkeit, welche Unternehmen stark fordert. Die Adaption an veränderte Ausgangslagen ist oft eine der grösseren Herausforderungen. Die erfolgreichen Geschäftsmodelle der Zukunft nutzen die neuen technologischen Möglichkeiten für ihr Geschäftsmodell, adaptieren und stellen ihre Fortführung sicher.
Trend zur Cyber-Abhängigkeit
Studien (Global Risk Report 2018) zufolge steigt der Trend der Cyberabhängigkeit zunehmend. Die damit einhergehende Wahrscheinlichkeit, dass es zu Datendiebstählen, Datenverlusten sowie Cyberangriffen kommt, erhöht sich entsprechend ebenfalls. Die Frage, welche wir uns zu stellen haben, ist nicht, ob wir angegriffen werden, sondern wann. Die technischen Möglichkeiten zur Sicherung der Daten wurden in den vergangenen Jahren stark genutzt.
Eine der perfidesten Methoden ein Unternehmen zu schädigen ist jene, bei der die Kombination «Mensch und Technik» zur Anwendung kommt. Wir sprechen von Social Engineering. Das schwächste Glied in der Kette, wenn es darum geht, die Eintrittswahrscheinlichkeit zu minimieren, wird jedoch vielerorts noch ausser Betracht gelassen. Der Mensch ist für die Social Engineers – also diejenigen Angreifer, welche gekonnt mit ihren Methoden und Aktionen andere Menschen dazu bringen, das zu tun, was in der Absicht des Social Engineers steckt – der am einfachsten zu knackende Code.
Wie bereits eingangs erwähnt liegen die Gründe nahe: Mitarbeiter werden nach wie vor zu wenig, zu wenig häufig und zu wenig praxisnah sensibilisiert und geschult im Kontext dieser Thematik. Die Erfolgsquote des Social Engineering (Social Hacking genannt) lässt sich dadurch erklären, dass wir, unsere Mitarbeitenden, Vorgesetzten, Kunden, Lieferanten etc. der Beeinflussbarkeit und Manipulierbarkeit sehr einfach erliegen. Täglich lesen wir in den Medien von erfolgreich durchgeführten Angriffen direkt auf Personen (Zielsubjekt). Mit der richtigen Ansprache, insbesondere wenn um vermeintliche «Hilfe» gebeten wird, erreicht der Social Engineer unser Vertrauen.
Das Social Engineering
Social Engineering ist ein Begriff, der eine altbekannte Methode umschreibt. Die Beeinflussung und Manipulation ist seit frühster Evolutionsgeschichte ein fester Bestandteil der Menschheit. In den vergangenen Jahren hat der Begriff in Verbindung mit neuen Technologien stetig an Popularität gewonnen und zieht das Interesse weiter auf sich. Diese Kombination mit der Technologie verleiht ihm neuen Aufschwung. Nach wie vor besteht die Tendenz, dass der Begriff Social Engineering ausschliesslich der Informationstechnologie zugeordnet wird. Jedoch gehören hier weit relevantere Komponenten als diejenigen der Technik in den Fokus.
Der Begriff als solches verrät es bereits: Es handelt sich um eine weit komplexere Komponente – den «Faktor Mensch». Der Versuch einer Definition: «Social Engineering beinhaltet jede Aktion und Methode, welche ein Individuum in ihrem Verhalten so beeinflusst, dass diese nicht zwingend in ihrem eigenen Interesse ist. Das Kernelement von Social Engineering ist – egal ob gut- oder böswillig – die bewusste Steuerung eines Zielsubjekts in seiner Entscheidungsfindung.» Social Engineering ist jedoch kein Begriff, der sich per Definition genau abgrenzen lässt. Seine Grenzen zu anderen Methoden sind fliessend. Das sogenannte computerbasierte Social Engineering arbeitet dahingehend, dass es durch technische Hilfsmittel eine Identität vortäuscht oder eine Vertrauensbasis missbraucht. Mithilfe dieser technischen Werkzeuge (Webseiten, E-Mail-Adressen) werden die Identitäten von vertrauensvollen Partnern (Bank, Lieferant et cetera) vorgetäuscht, um an sensible Informationen des Zielunternehmens oder Zielsubjektes zu gelangen.