Vorsicht Hacker: So dringen Hochstapler ins System ein

Der Banker

Das Nutzerkonto, auf das man einem Hochstapler auf keinen Fall Zugriff geben möchte, ist das Bankkonto. Der IT-Sicherheitsmanager der Bank of Queensland, Karl Hanmore, wurde gefragt, was er getan habe, um den Schutz vor Social Engineering zu verbessern. „Alle Mitarbeiter der Bank of Queensland erhalten während ihrer Einarbeitungsphase in der Firma IT-Sicherheitsschulungen, gefolgt von regelmäßigen Mitteilungsblättern“, sagt Hanmore. „Dies ist die erste Verteidigungslinie bei Social Engineering: zu versuchen, die Attacke von vornherein zu vermeiden.“

Die Bank erlaubt keine telefonischen Passwort-Resets „über elektronische Kanäle“. Wenn ein Passwort für das Internet-Banking zurückgesetzt wird, werden dem Kunden die neuen Berechtigungsnachweise per Post an seine Postanschrift zugesandt.

Auch Bankmitarbeiter werden überwacht. „Es gibt etliche Überprüfungen hinsichtlich der Qualität der Leistung der Mitarbeiter. Unter anderem wird auch sichergestellt, dass sie den Kunden ordnungsgemäß identifizieren. Wir ergänzen das Standardverfahren mit extern bereitgestellten Qualitätsüberprüfungen der Call-Center-Antworten.“

Mitarbeiterschulung und Risikobeurteilung sind die Schlüssel zu einer Verringerung der Risiken. „Die Fokussierung auf Mitarbeiterschulung, dokumentierte Verfahrensweisen und bekannte Eskalationspfade sind entscheidend. Eine Risikobeurteilung der angebotenen Dienstleistungen, bei denen wie bei Call-Centern die Authentifizierung besonders anfällig ist für Social Engineering, ist sehr empfehlenswert“, sagt Hanmore.

Der Ex-Polizist

Bittet man den früheren Polizisten Neil Campbell darum, zum Zweck einer Prüfung mit Social Engineering-Methoden Daten im eigenen Unternehmen auszuspähen, wird er sich weigern. „Das ist für mich eine schwierige Sache. Als ich neu im Bereich IT-Sicherheit war, habe ich die Tests schon durchgeführt, doch überwiegt die nachteilige Wirkung der Tests die Vorteile“, sagt Campbell, der nun die Sicherheitsabteilung von Dimension Data leitet. „Ganz gleich, wie gut die Organisation auf die Prüfung ihrer Sicherheitsinfrastruktur vorbereitet ist: Es ist immer sehr schmerzhaft, diesen Prozess durchzumachen. Hat man Erfolg, dann ist es für Einzelne peinlich. Als Anbieter ist es schwierig, diese Übung durchzuführen und dann die gute Beziehung zu erhalten.“

„Kommt man nicht rein, hat man versagt, und kommt man rein, hat man jemanden bloßgestellt und damit aus Beziehungssicht versagt“, fasst Campbell zusammen.

Trotz der Risiken geben Unternehmen nicht viel dafür aus, ihren Mitarbeitern Fachschulungen von Unternehmen wie Mitnicks Beratungsfirma anzubieten, so Campbell. „Um es etwas zynisch auszudrücken – wie kann ich meinem Boss sagen: ‚Hey, ich habe 50.000 Dollar für die Sensibilisierung ausgegeben‘ und das rechtfertigen?“, fragt er. „Ich glaube, dass das eines der kritischsten Sicherheitsprobleme ist, mit dem wir uns befassen müssen. Es gibt schon Dienstleistungen dafür, doch kauft sie niemand.“