«Die geringe Büropräsenz hilft uns sehr»

Der «Faktor Mensch» wird immer wieder als wunder Punkt in der IT-Security genannt. Das mahnen nicht nur Cybersicherheitsspezialisten immer wieder an, das wissen auch Wirtschaftsspione und Hacker. Schliesslich verlassen sie sich bei ihren Angriffen auch zu einem Grossteil auf ihre Social-Engineering-Künste. Sie manipulieren also Personen gezielt, um diese dazu zu bewegen, Informationen herauszugeben oder um sich ganz physisch unautorisierten Zugang zu Gebäuden zu verschaffen. Auf Social Engineering hat sich auch Ivano Somaini von Compass Security spezialisiert. Er bricht – natürlich stets und strikt im Kundenauftrag – in Firmengebäude ein oder lanciert Phishing-Kampagnen, mit der Absicht, Lücken im Sicherheitsdispositiv aufzudecken und Mitarbeitende zu sensibilisieren. Wie er dabei vorgeht, verrät Somaini im Interview mit Computerworld.

Ivano Somaini: Die schwierigste der drei erwähnten Methoden, bei der also die Leute am skeptischsten sind, ist meiner Erfahrung nach das Telefonat. Hier muss man als Social Engineer am besten schauspielern können. Das liegt daran, dass man bei einem Anruf eigentlich nur einen Kommunikationskanal zur Verfügung hat – die eigene Stimme. Wenn man dagegen vor Ort erscheint, steht einem auch noch die Körpersprache und der Augenkontakt zur Verfügung. Darüber hinaus kann man sich vorher verkleiden, etwa als Servicetechniker. Das schafft Vertrauen und die Hemmschwelle des Gegenübers wird erhöht, das Vorhaben in Frage zu stellen und mit gesunder Skepsis auf die Situation zu reagieren.

Beim Phishing hat man den Vorteil, sehr viele Empfänger zu erreichen. Bei hundert Mails reicht es eigentlich, wenn ein Mitarbeitender in die Falle tappt und beispielsweise einen verseuchten Link anklickt. Allerdings ist Phishing aus technischer Sicht in letzter Zeit immer schwieriger geworden. Denn die Firmen benutzen heutzutage häufig cloudbasierte Lösungen, bei denen Anti-Phishing-Mechanismen standardmässig aktiviert und nur mit Mühe auszuhebeln sind. Vor ein paar Jahren konnten wir noch eine Domain reservieren und mit dieser eine Phishing-Mail-Kampagne erstellen. Heute wird elektronische Post von Domains, die erst vor Kurzem reserviert wurden, oft geblockt. Als Konsequenz müssen wir meist von den Administratoren verlangen, uns auf die Whitelist zu setzen.

Somaini: Die zunehmende Skepsis gegenüber Anrufenden ist unter anderem auch auf die vielen Telefonate von Verkäufern und Marktforschern in den letzten Jahren zurückzuführen. Darüber hinaus wissen viele um die typische Betrugsmasche, bei der jemand anruft und sich als Microsoft-Supporter ausgibt. Hier haben die vielen Warnungen – etwa auch von der Polizei – Wirkung gezeigt.