Social Engineering

Wenn Sie als Unternehmer alle technisch möglichen und notwendigen Schutzmaßnahmen für die Sicherheit Ihrer Unternehmensdaten und Ihres auch bei Ihren Mitarbeitern gesammelten Firmen-Know-hows getroffen haben, verbleibt Ihnen trotz dieser Maßnahmen ein nicht unerheblicher „Risikofaktor“ in Gestalt Ihrer Mitarbeiter - sogar Ihrer loyalen (!) Mitarbeiter - erhalten. In einem ansonsten gut gesicherten System gilt bei der Datensicherheitsfrage der Mensch als das schwächste Glied im Unternehmen.

Diese potenzielle „Schwachstelle“ im Sicherheitssystem Ihres Unternehmens macht sich ein sogenannter „Social Engineer“ (Informationsbeschaffer) für seine kriminellen Vorhaben gezielt zu Nutzen, in dem er seinen „Angriff“ auf der zwischenmenschlichen Ebene startet. Bei dieser trivial anmutenden Vorgehensweise – eben aufgrund der zunächst nicht-technischen Methode – werden selbst ausgeklügelte Sicherheitsvorkehrungen raffiniert umgangen.

Der Social Engineer erreicht durch das gekonnte Vorspiegeln falscher Tatsachen in der Regel unbemerkt Zugriff auf die für ihn interessanten Informationen – und das in einem größeren Umfang als es durch einen bloßen Einbruchversuch mit PC gelingen könnte.

Der Social Engineer beschäftigt sich mit den Schwächen von Menschen und weiß, wie er deren Vertrauen gewinnen kann. Dabei ist es ihm insbesondere bewusst, dass jeder Mensch davon ausgeht, dass man ihn nicht unbemerkt manipulieren oder ihm etwas vortäuschen könne. Belanglose Informationsfetzen - vom Einzelnen unbedarft preisgegeben, da sie ihm gar nicht von Bedeutung erscheinen - und gezieltes Nachfragen ermöglichen dem Social Engineer, sich ein vollständiges Gesamtbild des auszuspähenden Unternehmens mit einem hohen Informationsgehalt zu erstellen.

Der Schwerpunkt der Schutzmaßnahmen im Bereich „Social Engineering“ liegt nach Aussage von Sicherheitsexperten eindeutig auf organisatorischen Vorkehrungen. Die notwendigen Maßnahmen sollten in einem umfassenden Regelwerk, d. h. in einer Sicherheitsrichtlinie, festgelegt werden, für deren Erstellung und Überwachung eine Position mit entsprechender Kompetenz einzurichten wäre, welche sich auch für die regelmäßige Sensibilisierung der Mitarbeiter verantwortlich zeichnet. In dieser Frage durch die Ernennung eines beliebigen Mitarbeiters zum Sicherheitsbeauftragten ausschließlich den haftungsrechtlichen Verpflichtungen der Geschäftsführung Genüge leisten zu wollen, würde der Wichtigkeit und Brisanz der Thematik - und letztlich dem Unternehmensschutz und den Unternehmenszielen - nicht gerecht werden.