Alle technischen Vorkehrungen gegen das Ausspionieren von Firmeninformationen helfen nichts, wenn der Mensch nicht sensibilisiert ist.

'Achtung: wichtige Nachricht'. Jedem ist diese Betreffzeile in einer E-Mail bekannt. Und die allermeisten löschen sie gleich weg, weil sie wissen: dahinter steckt nichts Gutes. Die Absenderadresse ist unbekannt, die Betreffzeile plump. Aber stellen Sie sich vor, Sie bekommen von der Buchhaltung eine Mail, mit der Bitte, Ihre Reisekostenabrechnung zu überprüfen - wer zweifelt daran schon, wenn die Geschäftsreise gar nicht lang zurückliegt. Ein Klick auf das Attachement genügt und schon hat sich ein bösartiger Anhang auf dem PC eingenistet.

 

'Damit ist ein permanenter Zugriff auf das System möglich, sobald der Nutzer online ist', sagt Professor Thorsten Holz, Inhaber des Lehrstuhls für Systemsicherheit an der Ruhr-Universität Bochum. Der infizierte Rechner des arglosen Mitarbeiters ist dann das Sprungbrett ins IT-Netz der Firma. Als Social Engineering bezeichnet man einen Angriff, der nicht auf einen Computer gerichtet ist, sondern auf dessen Benutzer, mit dem Ziel, Login-Daten oder Passwörter auszuspähen. Den Kontakt stellen die Angreifer per Mail, am Telefon, in der Kneipe oder durch einen Besuch in der Firma her. 'Bei technischen Angriffen mittels Software-Programmen können zwar auf einen Schlag Tausende Computer angegriffen werden, doch die Erfolgschancen sind gering.

Angreifbar zu sein, schadet dem guten Ruf einer Firma

Die bei Social Engineering sind deutlich höher, an die erhofften Informationen zu kommen', sagt Holz. Er schätzt, dass von 50 gezielt gerichteten Mails etwa 15 angeklickt und in einer oder zwei der Anhang geöffnet wird. Dass Unternehmen keine Auskunft darüber geben wollen, ob ihre Mitarbeiter auf Angreifer hereingefallen sind, hat einen guten Grund: Angreifbar zu sein, schadet dem guten Ruf einer Firma. 'Eine gute Geschichte und gründliche Recherche über das Opfer sind es schließlich, die dem Eindringling Tür und Tor öffnet', weiß Stefan Schumacher, geschäftsführender Direktor des Magdeburger Instituts für Sicherheitsforschung. Das Institut erforscht Sicherheitsfragen aus pädagogisch-psychologischer Sicht und es berät Unternehmen bei der Umsetzung und Etablierung unternehmensweiter IT-Sicherheitsstrategien. Und es greift, vom eigenen Unternehmen beauftragt, die Firma an. 'Schützenswert ist jede Firma, jeglicher Branche.

Doch Unternehmen, in denen es etwas zu holen gibt, sind logischerweise am meisten gefährdet.' Innovative Mittelständler mit Hightech-Produkten stehen ganz oben auf der Angriffsliste. Über die ausgespähten Passwörter versuchen die Angreifer an Forschungsergebnisse und Entwicklungen der Kalkulationen zu kommen. 'Meist sind es internationale Wettbewerber, die sich mit leicht beschafftem Wissen einen großen Wettbewerbsvorsprung verschaffen wollen. Und häufig agieren die Angreifer im Auftrag asiatischer oder russischer Firmen und deren Nachrichtendienste.' 'Man kann jeden Menschen täuschen und manipulieren', sagt der Bildungswissenschaftler Schumacher.

Die Motivation zu handeln kippt rasch

Doch das gelinge am Montag, aber am Dienstag schon nicht mehr, 'weil die Motivation zu handeln rasch kippt.' Motivation weckt man durch Sensibilisierung. Der wichtigste Grund, um Social Engineering Einhalt zu gebieten, ist der Erhalt des Arbeitsplatzes. Und der ist nur sicher, wenn alle vertraulichen Informationen bei den Mitarbeitern sicher sind. Auch die Firma Cetus Consulting, Schüttorf, berät Unternehmen in Sicherheitsfragen und bietet Schulungen an. Online oder vis-à-vis. 'Von der Putzfrau bis zum Vorstand muss sich jeder darüber bewusst sein, welche Werte in den IT-Systemen gespeichert sind und dass deren Diebstahl existenzgefährdend sein kann', sagt Geschäftsführer Frederik Humpert-Vrielink.

Er hat bei Kunden auch schon erlebt, dass Social Engineering nicht immer geplant, sondern mitunter reiner Zufall ist: Ein Vertriebsmitarbeiter eines Unternehmens telefonierte an der Bahnhofsraststätte mit einem Kollegen über Details einer Ausschreibung für ein Projekt. Drei Tage später hatte ein Wettbewerber den Zuschlag - dessen Vertriebsmitarbeiter hörte das Telefonat mit. Ob wohl der unbewusst ausspionierte Mitarbeiter nach einer Schulung anders gehandelt hätte? 'Mein Bauchgefühl sagt Ja', so Humpert-Vrielink. Statistisch belegen lässt sich seine Vermutung nicht, da Unternehmen ungern darüber sprechen.