Marco Krause ist bei der ING Deutschland als Chapter Lead für die Themen Governance und IT Security Prozesse zuständig. Jenseits seiner Position bei der ING widmet er sich seit einigen Jahren mit Leidenschaft dem Thema Social Engineering, ist auf Kongressen, Konferenzen und Messen als Referent unterwegs und steht im regen Austausch mit internationalen Experten aus dem Bereich. Anknüpfend an seinen Vortrag im vergangenen Sommer berichtet er im Juli auf unserem IT Security-Gipfel über Social Engineering-Tricks und Kniffe, die bei Online-Betrügern gerade hoch im Kurs sind und analysiert, warum diese Methoden so erfolgreich sind.
PN: Sie sprechen auf unserem Gipfel zum Thema Social Engineering. Ist das ein Schwerpunkt Ihrer Arbeit?
MK: Eigentlich ist es eher eine persönliche Leidenschaft, aber so ganz themenfremd ist es natürlich nicht. In meinem Chapter betrachten wir bei der Prozessmodellierung ja im Grunde das Zusammenspiel zwischen Mensch und Technik. Technische Schwachstellen sind vielen ein Begriff, aber sobald auch noch „menschliche Schwachstellen“ dazukommen und diese in Kombination für schadhafte Zwecke ausgenutzt werden, sind die Folgen eines Angriffs in der Regel besonders schwerwiegend.
PN: Themen wie Phishing sind ja durchaus nicht neu. Wie kann es sein, dass diese Methoden immer noch funktionieren? Man geht ja davon aus, dass die Awareness zunimmt.
MK: Das Phänomen Phishing ist tatsächlich knapp über 20 Jahre alt. Aber gleichzeitig mit der Zunahme von Awareness findet auch eine Professionalisierung bei den Angreifern statt.
Die Hauptursache jedoch für den nach wie vor anhaltenden Erfolg dieser Methoden ist eine falsche Herangehensweise bei der Konzeption der Awareness-Maßnahmen. In meinem Vortrag stelle ich dazu einen interdisziplinären Ansatz vor, der so leider viel zu selten angewandt wird.
In meiner Zeit als externer Berater habe ich einige Awareness-Kampagnen erleben dürfen. Wurden diese von Kollegen aus dem Risk Management erstellt, hatten sie natürlich das Risiko im Fokus. Die Mitarbeiter wurden mit möglichen Folgen konfrontiert nach dem Motto „mit einem Klick kannst DU das gesamte Unternehmen ruinieren“. Dazu bekamen sie bestenfalls generische Handlungsempfehlungen, die alles andere als praxistauglich waren. Die Folge: Panik. „Ich werde nie wieder auch nur eine einzige E-Mail öffnen“. Aber irgendwann läuft der Posteingang über, weil die Arbeit ja doch irgendwie weiter geht. So findet schon kurze Zeit später eine Abstumpfung statt und die Kampagne hatte im Prinzip keinen Effekt. Wenn Awareness-Maßnahmen von IT-affinen Kollegen erstellt wurden, hatten diese ihren Fokus natürlich auf der Technik. Oft waren die Erklärungen viel zu technisch und detailverliebt auf dieses und jenes Feature. Das war fast schon wie eine andere Sprache und der Großteil der Empfänger konnte gar nicht richtig folgen. Ab irgendeinem Punkt haben sie auch gar nicht mehr zugehört oder bei computerbasierten Trainings einfach immer weiter geklickt ohne den Inhalt zu verfolgen. Hinzu kommt die schlechte Messbarkeit von Fortschritten, da kommt beim Management eine fatale Botschaft an: Kosten ohne Nutzen. Wenn dann das Budget gekürzt wird, verkommt so eine Maßnahme zur reinen Erfüllung von Compliance-Vorgaben. Auf dem Papier findet dann zwar noch Security-Awareness statt, aber unterm Strich ist es da kein Wunder, dass auch 20 Jahre alte Methoden immer noch so gut funktionieren.
PN: Sie sprechen in Ihrem Vortrag über die unterschiedlichen Social Engineering-Methoden – per Mail, Telefon und durch persönlichen Kontakt. Wie kann ich mir die beiden letzteren Methoden vorstellen?
MK: Die bekannteste Variante ist der CxO-Fraud. Bei dieser Betrugsform gibt sich ein Social Engineer als Senior Manager aus und ruft bei einem Angestellten an. In einem konstruierten, aber glaubhaften Szenario verlangt er, dass eine bestimmte Tätigkeit schnell durchgeführt werden müsse, zum Beispiel eine Zahlungsanweisung. Oft wird hier mit Einschüchterung und sozialem Druck in Form von negativen Konsequenzen gearbeitet. Und das funktioniert am besten über persönlichen Kontakt. Anders als beim Phishing geht es hier nicht darum, über das geschriebene Wort eine bestimmte Handlung hervorzurufen, sondern über stimmlichen Einsatz oder sogar über Körpersprache beim Gegenüber entweder Sympathie zu wecken oder als Autorität wahrgenommen zu werden. In meinem Vortrag zeige ich auf, welche Methoden genau zum Einsatz kommen und wie man sich davor schützen kann.
PN: Gibt es Risikogruppen, die besonders anfällig für Social Engineering sind?
MK: Nein, so pauschal lässt sich das nicht sagen. Social Engineering ist auch keine „0 oder 1“-Wissenschaft, immerhin geht es hier ja primär um den Menschen. Ob ein Angreifer Erfolg hat, ist nicht nur von Mensch zu Mensch, sondern auch von Situation zu Situation unterschiedlich. Es gibt aber einige Faktoren, die die Wahrscheinlichkeit einer erfolgreichen Beeinflussung erhöhen. Dann kommt es aus Sicht des Angreifers nur noch auf den richtigen Moment an. Oft kommen Zuhörer nach meinen Vorträgen auf mich zu und erzählen mir, dass ihnen sowas auch schon passiert ist. Das sind meist sehr analytische Personen, denen man gar nicht zutrauen würde, Opfer eines Trickbetrugs zu werden. Im Nachhinein hauen sie sich auch mit der flachen Hand auf die Stirn und fragen sich selbst „Warum habe ich das nicht kommen sehen?“. Hinterher ist ihnen alles klar. Aber in dem Moment hatten sie den Eindruck das Richtige zu tun. In meinem Vortrag gehe ich näher darauf ein, welche Faktoren sich negativ auf unsere Handlungskompetenz auswirken können und wie diese von Social Engineers gegen uns eingesetzt werden.
PN: Wie halten Sie sich über Social Engineering-Trends, auch gerade im Hinblick auf Ihre Auftritte als Referent, auf dem Laufenden?
MK: Über den Austausch mit meinem Netzwerk. Ich bin seit knapp über 15 Jahren in der IT tätig und habe dabei verschiedenste Unternehmen und Personen kennen gelernt. Ich nehme auch regelmäßig an Security-Konferenzen teil, um von den neuesten Angriffspraktiken zu hören. Und auch wenn ich selbst auf Konferenzen referiere, höre ich mir natürlich immer alle anderen Vorträge dazu an. Das ist einfach ein lebenslanges Lernen, man muss am Ball bleiben.
PN: Wie wurde das Thema zu Ihrer Leidenschaft? Was begeistert Sie so daran?
MK: An den Anfang kann ich mich noch sehr gut erinnern: In meinem Bekanntenkreis gibt es den einen oder anderen aus der IT, der schon mal so einen Security-Breach miterlebt hat. Einer von ihnen hat mir erzählt, wie unfassbar frustrierend das für ihn war: Als IT-ler hat er jede Minute damit verbracht seine Systeme „sauber“ zu halten, also zum Beispiel rechtzeitiges Patchen oder die Bereinigung von nicht benötigten Komponenten oder Accounts. Und das natürlich zu jeder Tages- und Nachtzeit. Eine 24/7-Rufbereitschaft, oft musste er mitten in der Nacht ins Rechenzentrum. Auch an Wochenenden und Feiertagen. Sie können sich vorstellen, da steckt eine ganze Menge Herzblut drin. Und dann kommt ein Social Engineer und es genügt manchmal schon ein einziger falscher Klick eines Anwenders und alle Bemühungen wurden ausgehebelt. Ich hatte ihn damals gefragt, was das jetzt für ihn bedeutet und welche Konsequenzen er daraus gezogen hat. Aber er hat nur mit den Achseln gezuckt und gesagt „Was willst du da schon tun? You can’t patch a human!“
Und dieser Spruch ist in der Tat recht weit verbreitet, meist mit einer Note von abwertender Verachtung gegenüber Endanwendern mit vermeintlich geringer Technikkompetenz. Und so haken viele dieses Thema ab und behaupten der Mensch an sich sei nicht zur Verhaltensänderung bereit. Das hat mich schon damals richtig wütend gemacht und meine Gegenbehauptung lautet: Wir haben es nur noch nicht richtig versucht! Denn um die menschlichen „Schwachstellen“ zu patchen, müssen wir erst mal das menschliche „Betriebssystem“ verstehen, also die psychologischen Vorgänge beim Treffen einer Entscheidung. Erst wenn wir verstanden haben, welche Faktoren sich begünstigend auf eine Beeinflussung auswirken, können wir aktiv dagegen vorgehen. Denn nach all den Firewalls, Intrusion Prevention und Anti-Malware-Systemen und ihren gehypten Nachfolgern, den Next Generation-Firewalls, Next Generation-Intrusion Prevention und – Sie werden es erraten – Next Generation-Anti-Malware-Systemen ist es nun endlich Zeit für eine Next Generation-Security-Awareness, meinen Sie nicht auch?
Auf unserem Strategiegipfel IT & Information Security taucht Marco Krause mit uns tiefer in die „Psychologie hinter Online-Betrug“ ein. Haben Sie Fragen zu dem Thema? Stellen Sie sie ihm doch direkt – am 2./3. Juli in Berlin.
Herzlichen Dank an Marco Krause für das Interview. Wir freuen uns auf Sie im Juli!
