Ivona Matas ist Diplom-Psychologin und bei known_sense unter anderem für die Durchführung von qualitativen Security-Studien zuständig. Bei den Internet Security Days (#ISD18) stellt sie die tiefenpsychologische Studie „Bluff me if U can“ über Social Engineering vor. Im Interview gibt sie vorab Tipps, wie mit dem heiklen Thema umgegangen werden kann.
Frau Matas, wieso fallen Menschen immer wieder auf Spam-Mails, Fake-Anrufe und Social Engineering herein?
Social Engineering, Fake-Anrufe und gut gemachte Phishing-Mails greifen am Menschen an und nutzen dessen soziale Eigenschaften wie etwa Hilfsbereitschaft, Neugier, den Wunsch nach Anerkennung wie auch von Vermeidung von Konflikten aus. Diese Eigenschaften kann man nicht abschaffen, da sie für ein soziales Miteinander unabdingbar sind.
Daher wird es gutes Social Engineering immer geben, solange wir als soziale Wesen in Gemeinschaften zusammenleben. Es handelt es sich also nicht um dumme oder naive Menschen, die auf Fake, Phishing oder Social Engineering hereinfallen, sondern es kann jeden treffen. Das macht das Human Hacking, wie es auch genannt wird, ja so erfolgreich.
Wie können Unternehmen dem entgegenwirken?
Leider müssen wir auch nach Jahren, in denen wir in dem Bereich tätig sind, feststellen: Vielen Mitarbeitenden sind diese Risiken völlig unbekannt! Einigen mögen zwar die Begriffe Spam-Mail oder Phishing-Mail bekannt sein, aber der Begriff des Social Engineering wird von vielen mit positiven Inhalten verbunden. Unternehmen sollten diese Gefahren klar benennen und die Risiken dieser Form von Internetkriminalität verdeutlichen.
Auch gibt es keine Firewall, die vor Social Engineering schützt, stattdessen setzt eine erfolgreiche Strategie neben einer Sensibilisierung über die Mechanik von Social Engineering auch eine Selbstreflexion voraus: Die Mitarbeiter müssen diejenigen ihrer sozialen Eigenschaften entdecken, die im Rahmen von Social Engineering zum sogenannten sozialen Einfallstor werden können.
Diese Form der Mitarbeitersensibilisierung lässt sich nicht durch das Lesen von Policies erreichen. In unseren interaktiven Trainings zu den Themen erleben wir den Austausch als sinnvoll – und sich in die Rolle eines Social Engineers zu versetzen, gefällt einigen Teilnehmern sehr gut!
Auch müssen Unternehmen klarer die Regeln und Abläufe kommunizieren: Wo soll sich ein Mitarbeiter melden, wenn er glaubt, das Ziel eines Social Engineers geworden zu sein?
Mitarbeiter müssen zudem gestärkt werden, die Identität eines Anrufers oder Absenders einer Mail konsequent zu überprüfen – unabhängig von der Hierarchieebene.
Unsere Schulungen beziehen sich daher nicht nur auf die Mitarbeiter, sondern auch auf Führungskräfte aller Ebenen: known_sense bietet speziell hinsichtlich Social Engineering Awareness beziehungsweise Sensibilisierung für Angriffe mithilfe von Manipulation, Desinformation & Co. einen modularen Baukasten von Kommunikationsinstrumenten an.
Mit unseren Maßnahmen werden die wichtigen am Thema beteiligten Rezeptoren angesprochen: das heißt Kopf (für die Wissensvermittlung), Bauch und Gefühl (hinsichtlich des Security Marketings) und Seele (im Kontext der Befähigung von Mitarbeitern zum Thema).
Was sollten Organisationen beim Reporting und der Nachsorge beachten, wenn es einen IT-Sicherheitsvorfall durch Social Engineering gab?
Bei Social Engineering ist es wichtig, dass der Betroffene nicht als Täter behandelt wird, der absichtlich einen Fehler gemacht hat. Er ist ganz klar als Opfer oder Geschädigter zu sehen und sollte auch so behandelt werden.
Ganz nebenbei spielen Unternehmenskultur und die Führungskultur eine große Rolle: Es wird von Mitarbeitenden sehr genau beobachtet, wie mit solchen Vorfällen umgegangen wird – im Zweifel tut man dann lieber so, als habe tman den Social-Engineering-Angriff nicht bemerkt.
Nur Mitarbeiter, die sich der Rückendeckung ihrer Führungskraft sicher sind, verhalten sich im Fall der Fälle auch im Sinne der Sicherheit. Und spätestens wenn der Social Engineer der netteste Mensch am Arbeitsplatz ist – dann bestehen auch in anderen Bereichen Baustellen, die man angehen sollte.
Ivona Matas ist Referentin bei den Internet Security Days am 20. und 21. September im Phantasialand Brühl bei Köln.
