Fehlendes Sicherheitsbewusstsein im Unternehmen öffnet Angreifern buchstäblich die Tür

Interview

Veröffentlicht 11.06.2021 09:10, Dagmar Finlayson

Cyberangriffe werden immer komplexer, gleichzeitig zeigen Angreifer eine wachsende Kreativität beim Ausnutzen von Sicherheitslücken in IT-Systemen. Eine Vielzahl an Methoden, um an Informationen zu gelangen, bietet das Social Engineering, bei dem der Faktor Mensch als potenzielle Schwachstelle genutzt wird. Tobias Franz ist bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA für den Bereich Social Engineering verantwortlich. Wie er zu seinem Job gekommen ist und was der bekannte Spruch „Dreistigkeit siegt“ mit dem Thema zu tun hat, verrät Herr Franz im Interview.


Herr Franz, was versteht man unter dem Begriff „Social Engineering“ im Zusammenhang mit dem Thema Cybersecurity?

Als Social Engineering bezeichnet man das Ausnutzen von menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen oder auch Respekt vor Autoritäten, um sich über Mitarbeiter Zugang zu internen IT-Systemen eines Unternehmens zu verschaffen. Dabei versuchen Angreifer beispielsweise durch Mitarbeiter direkt an vertrauliche Informationen zu gelangen oder Schadsoftware in der internen IT auszuführen, um das dortige Netzwerk zu kompromittieren. Kurz gesagt werden mit dem Begriff Social Engineering Angriffswege beschrieben, die nicht nur durch technische Schwachstellen zum Erfolg führen sollen, sondern die psychologische Ebene mit einbeziehen.

Wie genau gehen die Angreifer dabei vor?

Die bekannteste Methode, von der man auch in den Medien immer öfter hört, ist das Versenden von Phishing Mails, also E-Mails, die vertrauenserweckend wirken und den Empfänger zum Beispiel zur Herausgabe von Informationen auffordern oder einen Link enthalten, über den eine Schadsoftware ins System geschleust wird. Es geht aber auch viel persönlicher, indem Angreifer direkten Zugang zu Gebäuden erlangen, um dort beispielsweise Netzwerksniffer zu platzieren und so Zugriff auf das interne Netzwerk erhalten. Geräte zum Abfangen von Passwörtern sind auch sehr beliebt.

Sind Firmengebäude nicht in der Regel ausreichend vor dem Betreten Unbefugter gesichert?

Man sollte meinen, fremde Personen fielen in Firmengebäuden schnell auf, aber hier zählt ganz klar: Dreistigkeit siegt. Je selbstbewusster und unauffälliger sich die Angreifer im Gebäude bewegen, desto geringer ist das Risiko angesprochen zu werden. Welcher Mitarbeiter möchte sich schon die Blöße geben und gegebenenfalls einen hochrangigen Geschäftspartner zu fragen, was er dort zu suchen hat? Da sagt man lieber nichts. Der erste wichtige Schritt zur Abwehr solcher Angriffsversuche ist die Schulung des Sicherheitsbewusstseins aller Mitarbeiter, so dass diese solche Situationen erkennen, im Ernstfall richtig einschätzen und entsprechend reagieren.

In den Unternehmen fehlt es also oft an diesem Bewusstsein?

Teilweise schon, was aber nicht am Unwillen oder an fehlendem Interesse der Mitarbeiter liegt. Oft hatten die Menschen schlicht noch keine Berührungspunkte mit dem Thema und sind gerne bereit, sich fortzubilden. Wir führen daher regelmäßig Awareness-Schulungen durch, in denen wir das Basis- Knowhow vermitteln, was nötig ist, um mögliche Angriffsversuche auf der menschlichen Ebene zu erkennen. Jetzt, wo viele Kollegen im Home-Office arbeiten und vermehrt auf sich gestellt sind, ist das Thema sogar noch aktueller geworden. Denn die Auslagerung von Informationen in die privaten Heimnetzwerke eröffnet Angreifern neue Möglichkeiten. Hier bieten wir auch Online-Crashkurse an, um den Mitarbeitern die wichtigsten Kenntnisse zu vermitteln.
 
Und wann hatten Sie selbst den ersten Kontakt mit diesem Thema?

Ich habe mich während des Informatikstudiums schon früh in Richtung Informationssicherheit orientiert und weil mich die Thematik gereizt hat, habe ich mich dabei auf sicherheitstechnische Analysen spezialisiert, die auch hier bei der TÜV TRUST IT nun schon seit vier Jahren zu meinem Arbeitsalltag gehören. Mit der Zeit habe ich an immer mehr Social-Engineering-Projekten für unsere Kunden gearbeitet und schließlich die Verantwortung für den Bereich übernommen, was mir richtig viel Spaß macht, weil die Voraussetzungen bei jedem Kunden anders sind und daher kein Projekt wie das andere ist. Wir müssen uns immer auf etwas Neues einstellen und die aktuellen Entwicklungen im Auge behalten. Denn die Angreifer schlafen auch nicht und feilen an ihren Vorgehensweisen. Es ist dieses „Katz und Maus“-Spiel, was den gewissen Reiz in meinem Job ausmacht.

Wer sich für einen Job im Social Engineering Bereich interessiert, sollte demnach bereit sein, sich selbst ebenso ständig weiterzuentwickeln.

Das ist auf jeden Fall eine wichtige Voraussetzung. Sowohl auf technischer Ebene als auch bei der Kreativität der Angreifer werden die Herausforderungen immer komplexer. Da heißt es, am Ball zu bleiben. Man muss motiviert sein, sein Ziel zu erreichen und dabei möglichst kreativ vorgehen, Verständnis für die Technik aber auch für die Denkweise der Angreifer haben. Als Basis ist ein Studium wie in meinem Fall sicher nicht schlecht, über eine entsprechende Ausbildung, Schulungen und Zertifizierungen kann man aber genauso erfolgreich in diesem Bereich arbeiten.


Vielen Dank für das Interview, Herr Franz!


Über die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA
Von den Standorten Köln und Wien aus ist die TÜV TRUST IT Ihr unabhängiger Partner für Beratungs- und Zertifizierungsleistungen rund um die Themen Informationssicherheit und Datenschutz. Unsere Mission: Wir unterstützen Unternehmen beim Schutz ihrer Informationswerte – und bieten unseren Kunden qualitativ hochwertigste Leistungen, ausgeführt durch erfahrene Experten und Auditoren. Die Kompetenzen der TÜV TRUST IT wurden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Zertifizierung zum IT-Sicherheitsdienstleister für die Geltungsbereiche IS-Revision, IS-Beratung und die Durchführung von Penetrationstests bestätigt.

Quelle: www.it-tuv.com

de.tuvaustria.com


Lesen Sie mehr zum Thema "IT-Sicherheit"

IoT und 5G für Cybersicherheit
IT-Sicherheit
Security
Der blinde Fleck in puncto Sicherheit
IT-Sicherheit
OT-Systeme
Bewerbungsphase für UP21@it-sa hat begonnen!
IT-Sicherheit
it-sa Security News

Lesen Sie hier die neuesten Beiträge

Skepsis statt Vertrauen in Künstliche Intelligenz
Special Künstliche Intelligenz
Umfrage