Den Lerneffekt vor Augen

Somaini: Zunächst versuche ich herauszufinden, was dem Auftraggeber am meisten bringt, um später auch die Mitarbeitenden entsprechend sensibilisieren und generell die Sicherheit erhöhen zu können. Denn oft werde ich von den Auftraggebern schon mit sehr konkreten Plänen konfrontiert, die zwar erfolgreich wären, aber nicht unbedingt die Awareness steigern würden. Ich halte somit Ausschau nach Szenarien, die in dieser Firma vorstellbar wären.

Somaini: Genau, das ist das Endziel, das zudem in meiner «Karriere» im Laufe der Zeit einen höheren Stellenwert erhalten hat. Als ich als Social Engineer angefangen habe, verspürte ich mehr Druck, wirklich in ein Ziel einzudringen. Heute dagegen ist es mir wichtiger, einen Mehrwert für die Auftraggeber zu erzielen. Ein Einbruch ist nämlich in den meisten Fällen möglich, aber doch nicht wahrscheinlich, da das eingegangene Risiko und der Ertrag in keinem Verhältnis stünden. Besser ist es da, auf generelle, auch kulturell begründete Sicherheitsmängel hinzuweisen. So musste ich vor Kurzem bei einer Firma einbrechen, die ein zweistufiges Badge-System implementiert hatte. Man musste sich zunächst für den Zutritt zum Gebäude ausweisen und dies in jedem Stock wiederholen. Interessant war hier, dass ich, nachdem ich die erste Hürde überwunden hatte, mich quasi frei bewegen konnten. Auf den Stockwerken wurden mir die Türen aufgehalten, weil die Leute das Gefühl hatten, ich sei bestimmt autorisiert. Die gute Absicherung des Gebäudes verursachte also ein falsches Gefühl der Sicherheit, das dann im Awareness-Training thematisiert werden konnte.

Ein anderes Mal konnte ich Fehler in den Prozessen aufdecken. Mir war nämlich bei einem früheren Besuch aufgefallen, dass mir der Besucherbadge gleich ausgestellt wurde, als ich 40 Minuten vor dem eigentlichen Termin mit einem Mitarbeitenden an der Rezeption erschien. Als wir dann einen Einbruchsauftrag erhielten, nutzten wir dies aus. Ich erschien wiederum zu früh, erhielt den Badge und begab mich unter dem Vorwand, noch eine Zigarette rauchen zu wollen, nach draussen. Dort über gab ich den Besucherbadge einem Kollegen, der sich damit dann ungeniert in dem Unternehmen umsehen konnte, während ich mich mit einer Attrappe wieder in die Lobby begab. Der Hinweis auf diese prozessuale Lücke war ein Mehrwert für die Firma und half dabei, die Sicherheit zu erhöhen.

Somaini: Gescheitert in dem Sinne, dass wir nicht in eine Firma eindringen konnten, sind wir noch nie. Allerdings gelingt uns dies nicht immer beim ersten Mal. Dann reicht es aber in der Regel aus, auf die nächste Gelegenheit zu warten. So traf ich vor kurzem auf einen skeptischen Mitarbeitenden, der mich zur Rede stellte. Beim nächsten Versuch klappte es dann. Solche Hindernisse sind aber für den Schlussbericht genauso wichtig wie erfolgreiche Einbruchsversuche. Denn man kann schliesslich anhand solcher Beispiele aufzeigen, wie man sich im Sinne der Sicherheit korrekt verhalten hätte. Darum bin ich heute auch mehr ein Fan von sehr einfach gestrickten Angriffsversuchen, bei denen man aufzeigen kann, dass man diese eigentlich hätte durchschauen und abwenden können. Dagegen bieten sehr ausgeklügelte und technisch ausgefeilte Versuche einen weniger grossen Lerneffekt, weil sie wenig realistisch erscheinen.