'Könnten Sie mich bitte reinlassen ?'

"Können Sie mich bitte reinlassen? Ich hab meine Zutrittskarte vergessen!" - "Ja klar, kein Problem. Sie sind eh von hier oder?" - "Ja, natürlich."

So oder so ähnlich kann es sich tagtäglich abspielen. Neben dem Eingangsbeispiel gibt es auch noch das allseits bekannte: "Ich bin hier, um den Drucker in Ihrem Büro zu reparieren, aber komm nicht rein." All diese Konversationen zielen auf eines ab, nämlich sich Zugriff zu verschaffen zu Ressourcen, Räumen oder Geräten, auf die eine Person eigentlich gar nicht berechtigt ist. Und das ganze passiert unter ausnützen einer der größten Sicherheits-Schwachstellen die in einem Unternehmen vorhanden sein kann, dem neugierigen und sozial handelnden Menschen.

Aber wie passiert das?

So genanntes Social Engineering zielt unter Ausnützung von Emotionen und natürlicher Neugierde genau auf diese Schwachstelle ab. Ein solcher Angriff kann etwa erfolgen, in dem eine Person vorgibt eine Autoritätsperson zu sein und auf Unterwürfigkeit hofft. Oder es wird vorgetäuscht, eine Kleinigkeit zu erledigen/erledigt zu haben. Dann wird nun ebenfalls ein kleiner Gefallen eingefordert. Dabei wird an das schlechte Gewissen appelliert.

Vielfältige Tricks

In der Trickkiste eines Social-Engineers steckt auch noch unter anderem das Arbeiten mit Verknappung ("Scarcity"). Es wird z. B. behauptet, dass die ersten zehn Personen einer Umfrage einen Preis erhalten. Oder es wird versucht eine Spionage zu legitimieren ("Social Validation"), in dem sie angeben, dass andere Mitarbeiter:innen derselben Abteilung bereits teilgenommen haben. Letzteres ist besonderes gefinkelt, wenn der Engineer bereits Namen von Kolleginnen bzw. Kollegen kennt.

Ähnlich: Phishing Mails

Unter Umständen üben sich solche Personen auch im "Dumpster Diving" und durchwühlen Firmenmüll nach nützlichen Informationen. Mit ein Grund, warum wichtige Dokumente immer geschreddert werden. Solche Papierpuzzle sind meist Abschreckung genug. Aber falls Sie jemanden beim Puzzlen sehen, dann sollten alle Alarmglocken klingeln. In einer einfachen Form können auch Phishing Mails in diese Kategorie eingeordnet werden.

Warum & wie abwehren?

Es geht bei solchen Angriffen, wie so oft, meist ums liebe Geld, Firmenspionage oder auch einfach nur Langeweile und Austesten, wie weit jemand denn gehen kann. Kaum ein Unternehmen ist heute noch davor gefeit, in irgendeiner Form damit in Kontakt zu kommen. Sei es mit Phishing Mails oder tatsächlich persönliche Begegnungen.

Immer mit Hausverstand

Grundsätzlich gilt es seinen gesunden Hausverstand im Kontakt mit fremden Personen zu aktivieren. Im Zweifelsfall ist es besser nachzufragen, ob Person A wirklich mit Person B befreundet ist oder, ob hier versucht wird eine Freundschaft vorzutäuschen. Oder sich Fragen wie: "Kenne ich diese Person?" oder "Ist das eine für diese Person typisches Verhalten?" zu stellen. Denn: Würden Sie einer fremden Person Zugriff zu ihrem Haus oder ihrer Wohnung erlauben, wenn sie vor der Tür steht und sagt: "Lassen sie mich rein!, Ich hab' leider den Schlüssel vergessen!"?

Fragwürdige Gewinne

Auch für Phishing Mails gilt dieser Hausverstand. Sollte ich wirklich bei einer Umfrage Firmendaten bekanntgeben, nur für die (vorgetäuschte) Chance auf eine neues iPhone? Sie müssen nur €2,90 für den Pakettransport bezahlen, dann kommt das "bereits bezahlte" iPhone direkt zu ihnen nach Hause.

In Zweifel wenden Sie sich am besten an Ihre IT-Sicherheits-Abteilung - denn die kennt viele bekannte Betrugsmaschen und kann bei Bedarf mit Rat und Tat zur Seite stehen. Übrigens: Das BRZ betreibt ein eigenes CERT (Computer Emergency Response Team), das für sicherheitsrelevante Probleme und Vorfälle im BRZ zur Verfügung steht. Darüber hinaus erfolgt eine enge Zusammenarbeit mit anderen CERT-Organisationen, insbesondere GovCERT Austria und CERT.at.