Menü
Neue Presse | Ihre Zeitung aus Hannover
Anmelden
Studium & Beruf Unternehmen im Visier des Spions
Mehr Studium & Beruf Unternehmen im Visier des Spions
Partner im Redaktionsnetzwerk Deutschland
00:00 27.10.2012
Beim Social Engineering versuchen Angreifer, über das Ausnutzen menschlicher Schwächen an Informationen zu gelangen.
Beim Social Engineering versuchen Angreifer, über das Ausnutzen menschlicher Schwächen an Informationen zu gelangen. Quelle: dpa/tmn
Anzeige
Darmstadt

Die Situation ist eigentlich ganz alltäglich: „Nein, tut mir leid, mein Chef ist mit seinen Kindern unterwegs.“ „Ach toll, wie alt sind die beiden denn?“ Eine nette Plauderei am Telefon, die für Arbeitnehmer aber zum Problem werden kann. Denn hinter solch vermeintlich harmlosen Fragen verbirgt sich vielleicht eine besondere Variante der Firmen- oder Industriespionage: das sogenannte Social Engineering.

Die Angreifer versuchen dabei, über das Ausnutzen menschlicher Schwächen an wichtige Informationen aus dem Unternehmen zu gelangen, erklärt Christian Schaaf von der Sicherheitsfirma Corporate Trust. In dem oben geschilderten Fall sind das etwa Namen und Alter der Kinder, aus denen sich dann vielleicht das Computerpasswort des Chefs zusammenbauen lässt. „Dem Opfer wird gezielt das Gefühl vermittelt, dass eigentlich nichts Schlimmes passieren kann.“

Ins Visier der Spione geraten vor allem Industrieunternehmen aller Art, zum Beispiel aus der Autoindustrie. „Im Grunde sind das alle Firmen, die etwas machen, was kein anderer kann“, erklärt Professorin Melanie Volkamer, die am Darmstädter Center for Advanced Security Research (CASED) über das Thema Social Engineering forscht.

Angriffe gibt es nicht nur auf hochrangige Mitarbeiter, sondern gerade auch auf Arbeitnehmer, die im Abwimmeln unerwünschter Anfragen nicht so geübt sind. „Da steht dann auf einer Messe vielleicht auch mal der Entwickler am Stand und nicht der geschulte Pressesprecher“, beschreibt Sicherheitsexperte Schaaf eine bekannte Variante. „Der ist natürlich sehr stolz auf sein Produkt und möchte es unbedingt zeigen.“ Zum Problem wird das, wenn ein geschickter Angreifer dann an die Technikerehre appelliert und ihm so Geheimnisse entlockt - zum Beispiel mit einem Satz wie „Aber das kann Ihr Produkt nicht, oder?“

Arbeitnehmer können sich mit kleinen Tricks selbst vor Spionage schützen, indem sie grundsätzlich auch bei kurzer Abwesenheit den PC-Bildschirm ausschalten und ihr Büro abschließen. Das hält Spione fern, die sich unter einem Vorwand Zugang zur Firma verschafft haben. Hilfreich ist auch, sich Strategien zu überlegen, wie sich eventuelle Angreifer wieder vertreiben lassen, erklärt Melanie Volkamer: „Viele scheuen sich, am Telefon einfach ‚Nein‘ zu sagen, weil sie das als unhöflich empfinden.“ Stattdessen könnten sie aber auch sagen: „Da muss ich erst kurz meinen Kollegen fragen“. Denn das schreckt die Angreifer oft genauso ab.

Wichtig ist aber vor allem, dass der Arbeitgeber klare Regeln zum Umgang mit Geheimnissen aufstellt, sagt die Professorin. Angestellte müssten genau wissen, an wen sie was herausgeben dürfen - und sich im Zweifel auch darauf berufen können: „Ich muss wissen, dass mir kein Ärger droht, wenn ich mich an Regeln halte.“ Denn auch das sei eine typische Masche beim Social Engineering: „Angreifer nutzen diese Unsicherheit aus: ‚Gut, dann geben Sie mir das Passwort nicht - dann müssen Sie aber dafür geradestehen!‘“ Industriespione lauern allerdings nicht nur am Telefon und am Arbeitsplatz. „Es ist heute viel leichter für Angreifer, an Informationen zu kommen“, warnt Volkamer. So stellen Firmen häufig ihre Organigramme ins Netz oder posten Interna in sozialen Netzwerken. Angreifer können sich darüber mit vermeintlichem Insiderwissen versorgen und glaubwürdiger wirken. Außerdem nehmen immer mehr Angestellte ihre Arbeit mit nach Hause oder auch in den Zug, wo das Notebookdisplay leicht für andere einzusehen ist. Hier ist Vorsicht geboten.

Übertreiben sollte man es damit aber auch nicht, findet Christian Schaaf: „Totales Misstrauen ist die verkehrte Reaktion - das Leben soll ja auch noch Spaß machen.“ Zu viel Vorsicht kann auch das Klima in einem Unternehmen vergiften. Arbeitnehmer müssten aber wissen, was beim Social Engineering möglich und üblich ist. Viele Attacken könne man so schon leicht abwehren, sagt der Experte: „Angriffe sind nur selten extrem ausgefeilt, sondern oft sogar ziemlich plump.“

Wer auf die Social-Engineering-Tricks hereinfällt, muss im Ernstfall mit rechtlichem Ärger rechnen. Steckt hinter dem Geheimnisverrat keine Absicht, sind die Konsequenzen aber überschaubar. „Dann hat der Mitarbeiter einen Fehler gemacht und muss vielleicht mit einer Abmahnung rechnen“, erklärt Nathalie Oberthür, Fachanwältin für Arbeitsrecht.

Gibt es in einer Firma dagegen klare Regeln zum Umgang mit Passwörtern und vertraulichen Informationen, drohen härtere Konsequenzen: „Dann kann ein Unternehmen zum Beispiel auch Vertragsstrafen festlegen“, warnt Oberthür. Ganz anders sei der Fall bei absichtlichem Geheimnisverrat: „Das ist fast immer Anlass für eine fristlose Kündigung.“ Zudem könne ein Unternehmen dann auch Schadenersatz von seinem Mitarbeiter verlangen.

Tobias Hanraths