Social Engeneering
Social Engeneering wird von Kevin Mitnick in „Die Kunst der Täuschung“ als Technik zur Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscher Tatsachen, über die sich ein Angreifer eine gefälschte Identität aneignet, beschrieben 1)William L. Simon Kevin D. Mitnick. Die Kunst der Täuschung: Risikofaktor Mensch. Mitp, Bonn, 2003.:
»Wie man Leute dazu bringt, Dinge für ihnen fremde Personen auszuführen, die sie normalerweise nicht tun würden.«
Damit kann der Angreifer Informationen zu seinem Vorteil nutzen und mit oder ohne technische Hilfsmittel an Informationen gelangen. Profis aus der IT-Branche halten laut Mitnick am Irrtum fest, dass Unternehmen gegen Hacker sicher seien, wenn Standard-Sicherheitsprodukte installiert sind. Dazu gehören Firewalls ebenso, wie Systeme, welche den Zugang zu Räumlichkeiten beschränken sollen. Moderne Authentifizierungsgeräte kombinieren das Wissen um Passwörter mit dem Besitz von realen Schlüsseln, dem Auslesen körperlicher Merkmale und damit die Erfassung biometrischer Daten, während die Daten mit hoch sicherer Verschlüsselung übertragen werden. Dadurch weisen sie eine hohe Widerstandsfähigkeit gegenüber Einbrechern auf 2)BettinaWeßelmann Eric Litowsky. Sicherheit nach Maß. LANline, Juni 2006. https://www.lanline.de/fachartikel/sicherheit-nach-ma%C3%9F.html?page=1.. Laut Mitnick ist es ein Spiel, die »menschliche Firewall« zu knacken. Die bekannten Schauspieltechniken zum Täuschen nutzt der Forensic Thinktank zum Social Engineering bei einem Sicherheitstest eines Unternehmens ebenso, wie die technischen Maßnahmen (beispielsweise Penetration Testing) zur Überprüfung der IT-Sicherheit. Passende moderierte Theaterworkshops (als Form der moderierten Workshops) zur Mitarbeiterschulung runden das Angebot ab.
»Am Beispiel von Social Engineering wird nochmals deutlich, dass sich IT-Infrastruktur und Sozialstruktur im Unternehmen nicht voneinander trennen und getrennt betrachten lassen.«
Jede einseitige Perspektivierung bedeutet einen fahrlässigen Umgang mit dem Unternehmen und damit ein Sicherheitsrisiko. Aus dem Beschriebenen können die individuellen Bedürfnisse einzelner Mitarbeiter abgeleitet werden, um eine betriebliche Sicherheit zu erhöhen.
Einzelnachweise