Wenn man als Webworker an „Sicherheitslücken“ denkt, dann fallen einem spontan komplexe Computersysteme und Netzwerke ein. Dass dem nicht so ist, zeigt uns Social Engineering. Hier werden Menschen oder Kollegen so manipuliert, dass sie ohne es zu wissen, scheinbar unwichtige Daten preisgeben – allerdings können viele unwichtige Daten, die in einen Kontext gebracht werden, zu einer wichtigen Information führen. Und: Dagegen hilft nur Aufklärung.

Hacker sind in der allgemeinen Wahrnehmung Computergenies, die in dunklen Kellern – oft mit Sturmhaube – vor ihren Notebooks sitzen. Ihre Gesichter werden von den grünen Lettern auf ihren schwarzen Bildschirmen erhellt. Wie wild „hacken“ sie vor sich hin, umringt von Chips-Verpackungen und Pizza-Schachteln, die obligatorische „I-love-FTP“-Kaffeetasse auf einem USB-Tassenwärmer runden diese Vorstellung ab. Aber dem ist natürlich nicht so.

Eine Kette ist nur so stark wie ihr schwächstes Glied – und gerade bei extrem abgesicherten Unternehmen ist dieses Glied der Mitarbeiter selbst. Beim Social Engineering werden bewusst menschliche Eigenschaften wie Gutgläubigkeit, Höflichkeit oder Hilfsbereitschaft ausgenutzt, um zum Beispiel Kollegen in einer vermeintlichen Notsituation unkompliziert aus dem Schlamassel zu helfen.

Nun könnte der CTO einfach anordnen, dass niemand sein Passwort ausplaudert, auch nicht in „Notsituationen“. Doch damit ist es noch lange nicht getan. Das Problem: Dem Social-Engineering-Opfer ist oft nicht bewusst, wie weitreichend die Herausgabe, selbst von unvollständigen, kleine Informationsbrocken sein können. Und: Als Person ist einem nicht sofort klar, dass man manipuliert wird. Wenn also ein Unbekannter nach einem persönlichen Passwort fragt, wird kaum ein Mitarbeiter das Passwort ausplaudern, oder?

Ganz anders stellt sich die Situation aber dar, wenn der Hacker bereits über Informationen verfügt. Zum Beispiel aus dem Organigramm der Unternehmensstruktur von der betrieblichen Website, Informationen über eine kürzliche Feier aus dem Corporate-Blog und die Information über ein großes Meeting aus dem Facebook-Stream eines anderen Kollegen. So kann ein Angreifer auf die gemeinsame Party und auf den Kollegen, mit dem zwar schon alles abgesprochen wurde – der sich aber leider gerade in einem Meeting befindet – verwiesen werden. Rund macht dieses Szenario dann noch das Organigramm, das eine Androhung – den Vorgesetzen „belästigen“ zu müssen – erst ermöglicht.

Der Hacker möchte die selbe Information, aber die Ausgangsituation ist aus Sicht des Mitarbeiters eine gänzlich andere: der Mitarbeiter rückt die Informationen daher, aus Angst vor möglichen Konsequenzen, vielleicht heraus. Und der Hacker ist seinem größeren Ziel wieder ein Stückchen näher. Doch was war der Unterschied? Das Vortäuschen einer persönlichen Verbindung um Vertrauen zu schaffen.

Aber die Gefahr lauert nicht nur im Büro und am Telefon. Auch auf Messen (und meistens ohne Sturmhauben) kann die Konkurrenz Informationen in Erfahrung bringen, die sonst nicht ans Tageslicht gekommen wären. Oder was ist eigentlich mit externen Mitarbeitern oder Handwerkern, die nur gelegentlich im Unternehmen auftauchen? Hast du schon mal einen verdächtigen Handwerker gesehen? Ich nicht – weil wir zu viel Vertrauen voraussetzen: „Der Handwerker muss den Computer bestimmt wegen einer Reparatur abholen“, denken wir uns. Der Hacker hat allerdings nicht mehr Aufwand, als sich als Handwerker zu verkleiden und einen günstigen Moment abzuwarten – dank sozialer Medien und dem Internet ist das so einfach wie noch nie.

Mitarbeiter müssen in regelmäßigen Abständen über Probleme und Risiken aufgeklärt werden. Am besten geht sowas mit Live-Hacking-Sessions oder Workshops in denen praxisnahe Szenarien durchgespielt werden. Ganz wichtig: Der Informationsmanager oder Sicherheitsbeauftragte sollte in diesen Workshops Handlungsempfehlungen aussprechen, damit die Kollegen im Ernstfall und in einem  Überraschungsmoment nicht „gelähmt“ beziehungsweise handlungsunfähig sind.

Manchmal ist nicht genau definiert, wer für welche Fragen verantwortlich ist. Als Webworker möchte man ja auch nicht immer Kollegen belästigen. Aber genau das ist der Fehler. Wenn im Unternehmen genau festgelegt ist, wer zu welchen Fragen Antworten geben darf, dann seid ihr auf dem richtigen Weg. Das führt uns gleich zum nächsten Punkt.

Verschiedene Informationen sind unterschiedliche wichtig. Warum diese Informationen dann auch nicht unterschiedlich behandeln? Fragen zu Telefonnummern können einer niedrigeren Sicherheitsstufe angehören als die Finanzpläne. Natürlich, das wird in der Praxis vielleicht auch so umgesetzt, aber eben nicht bewusst – und durch Manipulation können sich Hacker genau so Informationen erschleichen, die aus der Perspektive des Mitarbeiters unwichtig sind, aber in einem größeren Kontext eine größere Auswirkung haben.

Außerdem geben verschiedene Sicherheitsstufen den einzelnen Mitarbeitern auch Sicherheit. „Es tut mir leid, du hast nicht die erforderliche Sicherheitsstufe“ ist einfacher gesagt als in einer Stresssituation einen manipulativen und erfahrenen Hacker abzuwimmeln. Für die Mitarbeiter muss allerdings genau festgelegt werden, welche Informationen in welcher Sicherheitsstufe liegen, und welche Informationen auf gar keinen Fall herauszugeben sind. Eine klassische „Need-to-know“-Strategie kann hier helfen. Dabei muss es einen genauen Grund und eine Problemspezifikation geben, warum eine abzufragende Information benötigt wird, egal ob andere Sicherheitsanforderungen erfüllt wurden oder nicht. Damit verhindert man auch, dass jemand durch ein gesamtes Verzeichnis stöbert, obwohl konkret zum Beispiel nur eine Akte benötigt wird.

Gerade in einer Welt, in der Sicherheitssysteme und -techniken immer besser werden, stellt sich Social Engineering als gute Alternative zu klassischen Hacking-Methoden dar, daher gilt es, eine gewisse „Awareness“, also ein Bewusstsein für sensible Informationen zu schaffen.

… dieses Vertrages und auch nach seiner Beendigung über alle Betriebs- und Geschäftsgeheimnisse des Arbeitgebers sowie seiner Geschäftspartner Stillschweigen gegenüber Dritten zu bewahren …

Denn auch eine Klausel im Arbeitsvertrag zum Thema „Betriebsgeheimnisse“ ist nicht wirklich zielführend, denn vielen Mitarbeitern ist ja überhaupt nicht bewusst, welche Information ein Betriebsgeheimnis darstellt und welche nicht. Und bei großen Konzernen kann ein entstandender Schaden von einem Mitarbeiter alleine auch nicht getragen werden.

Aber davon abgesehen: Es kann um mehr als „nur“ Geld gehen, zum Beispiel um die Marktführerschaft oder Patente die ein USP sichern. Anstatt also beängstigende Absätze in Verträge zu packen, sollten Unternehmen auf Aufklärung und Workshops setzen, die sind auch günstiger als IT-Hochsicherheitssysteme.

Wie weit Social Engineering gehen kann, sieht man nicht zuletzt am Beispiel von Kevin Mitnicks. Er war einer der ersten Social Hacker und erlangte Mitte der neunziger Jahre den zweifelhaften Ruhm als „meistgesuchter Hacker“. Ähnlich ist auch die Geschichte des Betrügers Frank Abagnale. In „Catch me if you can“ wurde sein Manipulationsgeschick verfilmt – und genau so müssen wir uns auch Social Hacker in Zukunft vorstellen.

… Social Engineering kostet nichts und überwindet alle technologischen Barrieren …– Kevin Mitnick

Andererseits können Webworker diese Attacken durch ein einfaches „Nein“ abwehren. Nichts desto trotz: Social Hacker sind keine uncharismatischen Computerfreaks mit Hautproblemen, die sich in dunkle Kammern sperren. Und genau das macht sie gefährlich – mit oder ohne Sturmhaube.