Warum es sich lohnt, sensible Informationen vertrauensvoll zu behandeln

Wie gelingt es Angreifern, in hochsichere Bereiche einzudringen – ganz ohne IT-Hack? Und wie können sich Unternehmen davor schützen? In seinem Vortrag „Social Engineering – Die unterschätzte Gefahr mitten im Alltag“ am 23. April thematisierte Andreas Heideck diese und weitere Fragen in der Piepenbrock Akademie in Osnabrück. Der Abend war Teil der Veranstaltungsreihe „BVMW Fokus“ vom Bundesverband mittelständische Wirtschaft.

Er ist schon in unzählige Banken eingebrochen und hat es in einem Kraftwerk ganz unbeobachtet in den IT-Raum und ins Netzwerk geschafft. Was nach einer Reihe von Straftaten klingt, beschreibt Heidecks Arbeitsalltag. Seit über zehn Jahren führt der Gründer von Impossible Security legale Einbruchstests für Unternehmen durch. Mit Social Engineering, einer gezielten Manipulation von Menschen, versucht er sich Zutritt zu sensiblen Informationen zu verschaffen.

Ziel ist es, unentdeckte Schwachstellen zu identifizieren und Sicherheitsstrategien zu verbessern. In seinem Impulsvortrag bei der BVMW-Veranstaltung in Osnabrück nahm er die 30 Gäste mit auf eine spannende Reise durch seine realen Fälle. Mit Praxiswissen und einem Augenzwinkern zeigte er auf, wie leicht Mitarbeiter etwas preisgeben, was sie besser für sich behalten hätten.

Mit gezielter Manipulation ans Ziel

Damit ein Einbruch gelingt, setzen Heideck und sein Team auf eine gute Vorbereitung. „Um in gesicherte Gebäude zu kommen, versuchen wir den leichtesten Weg zu finden. In der Regel sind wir im Zweierteam unterwegs“, schildert Heideck. Doch entscheidende Informationen lassen sich nicht nur online oder aus einem abgedunkelten Auto heraus recherchieren. Ein angeregtes Gespräch in der Raucherecke habe schon so manches interessante Detail ans Licht gebracht – sei es eine Wegbeschreibung zum Serverraum oder die Namen und Funktionen von Mitarbeitern. Um bei einem Einbruch möglichst wenig aufzufallen, zahle es sich aus, schon im Voraus sein Gesicht bekannt zu machen. Doch das allein reiche nicht aus: „In meiner Rolle versuche ich mich so zu verhalten, wie es ein Mitarbeiter des Unternehmens tun würde. Und mit der passenden Kleidung signalisiere ich Zugehörigkeit“, sagt Heideck.

In Kombination mit einer plausiblen Geschichte habe ihn das schon oft ans gewünschte Ziel geführt. „Wenn wir es als Team ins Gebäude geschafft haben, versuchen wir uns unbemerkt oder während einer angeregten Unterhaltung in gesicherte Bereiche einzuschleichen. Dafür halten wir uns geöffnete Türen auf, bevor sie ins Schloss fallen oder vertrauen darauf, dass uns Mitarbeiter mit durch das Gebäude nehmen.“ Auch Freundlichkeit und Hilfsbereitschaft seien machtvolle Werkzeuge. „Wenn ich jemandem eine Tür aufhalte, ist die Chance groß, dass er mir als Gegenleistung die nächste aufhält“, berichtet Heideck. Ist der Einbruchstest abgeschlossen, müssen Heideck und sein Kollege wieder unbemerkt aus dem Gebäude kommen – ein Nervenkitzel bis zum Verlassen des Geländes.

Wie können sich Unternehmen vor Angriffen schützen?

Unternehmen rät Heideck, die Messelatte für Angreifer möglichst hochzulegen: „Eine gezielte Schulung von Personengruppen wie zum Beispiel Empfangsmitarbeitern sensibilisiert diese für mögliche Gefahren von außen. In der Praxis sollten Mitarbeiter erkennen, wenn sie ausgefragt werden – und entsprechend handeln.“

Über kommunikative Regeln können Unternehmen definieren, welche Informationen preisgegeben werden dürfen und welche nicht. Es gehe darum, eine gesunde Skepsis zu fördern. Das gelinge am besten, wenn die Geschäftsführung ein entsprechendes Verhalten vorlebt.