IT-Risikofaktor Mensch

Social Engineering vernebelt unser rationales Denken

Uhr
von Sascha Pult, Kompetenzcenterleiter für Cybersecurity am Institut für Management und Digitalisierung (IMD) der Kalaidos Fachhochschule in Zürich

Social Engineering umgibt uns tagtäglich, ob im netten Gespräch im Buchladen oder in einem Verkaufsgespräch. Es geht darum, über die Gefühlsebene an sensible Informationen zu kommen oder uns zu Handlungen zu verführen. Diese psychologischen Mechanismen setzen auch Cyberkriminelle erfolgreich ein.

Es ist kurz vor Weihnachten und ein Hauch von Lebkuchen liegt in der Luft. Mike bearbeitet die offenen Unterlagen im Rechnungseingang für den kommenden Abschluss, als sein Telefon klingelt. In der Leitung ist eine junge Frau, die ihm schildert, dass sie vergessen habe, die Unterlagen für die Rechnungen in die Post zu geben. Es wäre ihr peinlich, damit zu ihrem Chef zu gehen, da sie gerade erst aus dem Mutterschutz zurückgekommen sei und sich keinen Fehler leisten wolle. Daher würde sie sich vertrauensvoll direkt an ihn wenden. Im Laufe des Gesprächs willigt Mike dann hilfsbereit ein, dass sie die Daten vorab als PDF bereitstellen könne. Kurz darauf bekommt er die avisierte Mail mit einem Link zum Download der Daten, den Mike auch sogleich beginnt.

Das psychologische Momentum im Social Engineering

Was wir in einem privaten Gespräch nutzen, damit wir unserem Gegenüber einige interessante und pikante Details entlocken können, wird auch von Cyberkriminellen manipulativ ausgenutzt. Sie sprechen unsere Gefühlsebene an und appellieren an unsere Hilfsbereitschaft, Scham oder Gier. Sie bauen intime Nähe auf und schmeicheln unserem Ego. Oder sie üben Druck aus über eine vorgegaukelte Autorität im Unternehmen, eine notwendige Geheimhaltung, oft gepaart mit zeitlicher Kritikalität des Anliegens. Durch perfide Kombinationen dieser Manipulationen sollen unsere Sinne als Zielperson vernebelt werden. Unser rationales Denken soll reduziert oder ganz ausgeschaltet werden, um uns dann zu einer verhängnisvollen, gefühlsgesteuerten Handlung zu verleiten. Dieses Momentum ausnutzend, starten mehr als 90 Prozent der Cyberangriffe mit Social Engineering.

Schutz vor Social Engineering

Social Engineering nutzt den persönlichen Kontakt, das Telefon oder Mails als Kommunikationsmedium. In der heutigen, digitalisierten Arbeitswelt ist es die Aufgabe von Mitarbeitenden, E-Mails zu lesen und Dokumente zu verarbeiten. In der Vergangenheit wurde regelmässig wiederholt, dass die Mitarbeitenden das schwächste Glied in der Kette seien. Daher wurde viel Augenmerk auf Awareness-Kampagnen gelegt. Natürlich kann sich jeder Einzelne schützen, indem er auf die entsprechenden Signale achtet. Da das rationale Denken allerdings versucht wird zu reduzieren oder auszuschalten, hilft das allein meist nicht aus. Hier sind Unternehmen gefordert, technische Massnahmen für einen wirksamen Schutz zu ergreifen. Zum Beispiel kann der Austausch von Dokumenten in ein sicheres Portal ausgelagert werden. Die Betriebssysteme können heute so konfiguriert werden, dass nur zugelassene Programme ausgeführt werden. Auch organisatorische Massnahmen sind hilfreich. Mit einem einfachen Rückruf können zum Beispiel Mitarbeitende die Identität validieren und die Authentizität des Anliegens prüfen.

Das Gute zum Schluss

Im Falle von Mikes Hilfsbereitschaft ist nichts weiter passiert. Zum einen hatte sein Unternehmen technische Massnahmen zum Schutz ergriffen, die einen Cyberangriff abgemildert hätten. Zum anderen führte der Link des Downloads zu keinem böshaften Schadcode.

Social Engineering zielt auf das ab, was uns menschlich macht. Dabei besteht die Herausforderung, die positiven Fälle zuzulassen und die negativen zu erkennen und abzufangen.

Webcode
DPF8_226026