Ihr Warenkorb ist leer
Sie sind Gast
Nachgefragt bei: Prof. Dr. Dirk Drechsler
28.10.2019
Drechsler: „Social Engineering ist eine Form der Cyberkriminalität”
ESV-Redaktion Management und Wirtschaft
Fortsetzung des Interviews. Den ersten Teil lesen Sie auf ESV.info.
Herr Drechsler, macht die zunehmende Digitalisierung den Angreifern Social-Engineering-Attacken einfacher?
Dirk Drechsler: Niemand führt ein Unternehmen aus der Risiko- oder Sicherheitsperspektive heraus. Vielmehr spielen Innovationen eine entscheidende Rolle, die über den wirtschaftlichen Erfolg entscheiden. Die neuen digitalen Technologien entwickeln sich symbiotisch mit wirtschaftlichen Organisationsformen weiter. Insbesondere der rein Software-getriebene oder der mit Ausdehnung auf cyber-physische Systeme arbeitende Plattformgedanke bedeutet eine immer stärker werdende Verflechtung von Informations- und operationaler Technologie sowie wirtschaftlichen Abläufen und Gegebenheiten. Dadurch arbeiten neue und vererbte technologische Systeme mit Menschen zusammen, denen die zunehmende Komplexität neue Unsicherheiten beschert. In diesem Sinn bedeutet Digitalisierung neue Problemlagen, die zu berücksichtigen sind.
Welche Angriffspunkte gibt es neuerdings, die Unternehmen insbesondere im Auge behalten müssen?
Dirk Drechsler: Eine Fokussierung auf bestimmte Angriffspunkte würde bedeuten, das Problem wieder von „unten”, d.h. von einer Einzelperspektive her, zu betrachten. Ich denke aber, dass die Verteidigung gegen alle Formen der Cyberkriminalität und damit auch gegen das Social Engineering stärker proaktiv, strategisch und prozessual angegangen werden muss. Das bedeutet eine intensive und frühzeitige Kenntnis des eigenen Unternehmens und dessen Einbettung in ein digitalwirtschaftliches Ökosystem bezüglich der Bedingungen, Fähigkeiten, aber auch der kritischen Schwachstellen.
Zudem sind auch die sich abzeichnenden oder bestehenden Bedrohungen sowie deren Kombinationsmöglichkeiten zu berücksichtigen. In diesem Sinn sollte die Cybersicherheit in das unternehmensweite Risikomanagement eingebettet sein. Die strategischen Analysen zur Früherkennung und die operationalen Risikomanagementmaßnahmen ergänzen sich dann zu einem unternehmensspezifischen Gesamtbild. Wenn also alle Risiko- und Sicherheitsfunktionen integrativ zusammenarbeiten und eine gemeinsame Sprache sprechen, findet sich ein Weg in den stetigen Innovationsprozess und die Geschäftstätigkeit.
Kommen wir zur Schwachstelle Mensch: Wie macht man den Mitarbeitern klar, welche wichtige Rolle sie dabei spielen? Wie sensibilisiert man die Mitarbeiter?
Dirk Drechsler: Das ist eine ganz klare Führungsaufgabe. Sofern die Unternehmensleitung die Bedeutung der Cybersicherheit deutlich hervorhebt und kommuniziert sowie ausreichende Ressourcen für diese Arbeit zur Verfügung stellt, kann die Fachabteilung Social Engineering Penetration-Tests, Schulungsmaßnahmen und ein nachträgliches Monitoring durchführen. Der Ton an der Spitze ist entscheidend für ein wirksames Abwehrsystem. Aber auch Mitarbeiter sollten einen Beitrag leisten und in den Sozialen Medien nicht alles über sich preisgeben. Das kann man aber nur empfehlen und nicht vorschreiben.
Welche Mitarbeiter sind besonders einfach zu manipulieren?
Dirk Drechsler: Eigentlich kann es jeden treffen. Aber es gibt solche Personenkreise, die denken, alles über Social Engineering zu wissen. Aber Wissen bedeutet nicht unbedingt Können. Andere glauben, dass es sie nie treffen kann. Auch diese Personen wurden schon widerlegt. Solange das Problem besteht, müssen wir es ernst nehmen. Bedauerlicherweise trifft es aber häufiger die Mitarbeiter, die einfach nur ihre routinemäßige Arbeit verrichten möchten. Ich habe mir während meiner beruflichen Tätigkeit außerhalb der Hochschule die Frage gestellt, wie nahe ein Mitarbeiter an Vermögenswerten oder Bereichen arbeitet, die von Interesse sein könnten. Da aus heutiger Sicht die physische Nähe aber zunehmend in den Hintergrund tritt, ist diese Überlegung neu zu fassen.
Aus der Praxis weiß ich zudem selbst, wie schwer es sein kann, das Bewusstsein der Mitarbeiter zu schärfen, die unter Umständen Zugriff auf sensible Bereiche des Unternehmens haben. Meine Formulierungen sollten insofern nicht als Vorwurf, sondern eher als Erfahrungsbericht und Ergebnis intensiver Studienauswertungen verstanden werden. Mir geht es hier um einen weitestgehend objektiven Umgang mit der Thematik.
Zu guter Letzt: Wie kann man sich effektiv vor einem Angriff schützen? In Ihrem Buch wird die Social Engineering Kill Chain vorgestellt. Können Sie uns diese kurz erläutern?
Dirk Drechsler: Wir haben uns als Autorenteam überlegt, wie der zeitliche und inhaltliche Vorteil eines Angreifers reduziert werden kann. Das bedeutet zum einen eine langfristige Ausrichtung und Einbettung der Cybersicherheit, zum anderen ein spiegelverkehrter Aufbau einer prozessualen Verteidigungskette. Wenn der Angreifer die Phasen (1) Planung und Zielbestimmung, (2) Aufklärung und Informationsbeschaffung, (3) Entwicklung von Szenarien und (4) Durchführung durchläuft, sollte das Unternehmen überlegen, welche Zielsetzungen und Motive auf der Seite des Cyberkriminellen wirken und wie das Unternehmen seine eigene Zielsetzung mit präventiven Maßnahmen schützen kann. Auf jeder Stufe reduzieren sich so die Vorteile, die ein Social Engineer bei einem Angriff nützt.
Nehmen wir als Beispiel die Informationsbeschaffung über öffentlich zugängliche Quellen. Je weniger das Unternehmen über sich offenbart und je weniger Informationen über einzelne Mitarbeiter, Ansprechpartner, organisatorische Strukturen etc. bekanntwerden, desto schwieriger wird der Aufbau eines Angriffsszenarios. Schulen die Unternehmen die Mitarbeiter bezüglich möglicher Angriffsszenarien und machen deutlich, dass sich Mitarbeiter hinsichtlich der eigenen Schwachstellen stärker bewusstwerden sollten, reduziert das die Angriffsoberfläche noch weiter. Wichtig ist es, dass die Maßnahmen nicht isoliert nebeneinanderstehen, sondern im Rahmen eines integrativen Konzeptes verdeutlichen, worum es hier geht. Social Engineering findet immer prozessual und nie rein punktuell statt.
(ESV/ps)
Herr Drechsler, macht die zunehmende Digitalisierung den Angreifern Social-Engineering-Attacken einfacher?
Dirk Drechsler: Niemand führt ein Unternehmen aus der Risiko- oder Sicherheitsperspektive heraus. Vielmehr spielen Innovationen eine entscheidende Rolle, die über den wirtschaftlichen Erfolg entscheiden. Die neuen digitalen Technologien entwickeln sich symbiotisch mit wirtschaftlichen Organisationsformen weiter. Insbesondere der rein Software-getriebene oder der mit Ausdehnung auf cyber-physische Systeme arbeitende Plattformgedanke bedeutet eine immer stärker werdende Verflechtung von Informations- und operationaler Technologie sowie wirtschaftlichen Abläufen und Gegebenheiten. Dadurch arbeiten neue und vererbte technologische Systeme mit Menschen zusammen, denen die zunehmende Komplexität neue Unsicherheiten beschert. In diesem Sinn bedeutet Digitalisierung neue Problemlagen, die zu berücksichtigen sind.
Welche Angriffspunkte gibt es neuerdings, die Unternehmen insbesondere im Auge behalten müssen?
Dirk Drechsler: Eine Fokussierung auf bestimmte Angriffspunkte würde bedeuten, das Problem wieder von „unten”, d.h. von einer Einzelperspektive her, zu betrachten. Ich denke aber, dass die Verteidigung gegen alle Formen der Cyberkriminalität und damit auch gegen das Social Engineering stärker proaktiv, strategisch und prozessual angegangen werden muss. Das bedeutet eine intensive und frühzeitige Kenntnis des eigenen Unternehmens und dessen Einbettung in ein digitalwirtschaftliches Ökosystem bezüglich der Bedingungen, Fähigkeiten, aber auch der kritischen Schwachstellen.
Zudem sind auch die sich abzeichnenden oder bestehenden Bedrohungen sowie deren Kombinationsmöglichkeiten zu berücksichtigen. In diesem Sinn sollte die Cybersicherheit in das unternehmensweite Risikomanagement eingebettet sein. Die strategischen Analysen zur Früherkennung und die operationalen Risikomanagementmaßnahmen ergänzen sich dann zu einem unternehmensspezifischen Gesamtbild. Wenn also alle Risiko- und Sicherheitsfunktionen integrativ zusammenarbeiten und eine gemeinsame Sprache sprechen, findet sich ein Weg in den stetigen Innovationsprozess und die Geschäftstätigkeit.
| Zur Person |
| Dr. rer. soc. HSG Dirk Drechsler ist Professor für betriebswirtschaftliches Sicherheitsmanagement mit den Schwerpunkten Risiko-, Betrugs- und Compliance-Management an der Hochschule für angewandte Wissenschaften in Offenburg. In seiner letzten praktischen Funktion bei der FUCHS Petrolub SE verantwortete er das konzernweite Audit, Risikoreporting und Kapitalkostencontrolling als Head of Internal Audit. Er führte risikoorientierte Prüfungen in mehr als 30 Ländern durch. Seine Promotion schloss er in St. Gallen auf dem Gebiet der Wirtschaftskriminalität ab. |
Kommen wir zur Schwachstelle Mensch: Wie macht man den Mitarbeitern klar, welche wichtige Rolle sie dabei spielen? Wie sensibilisiert man die Mitarbeiter?
Dirk Drechsler: Das ist eine ganz klare Führungsaufgabe. Sofern die Unternehmensleitung die Bedeutung der Cybersicherheit deutlich hervorhebt und kommuniziert sowie ausreichende Ressourcen für diese Arbeit zur Verfügung stellt, kann die Fachabteilung Social Engineering Penetration-Tests, Schulungsmaßnahmen und ein nachträgliches Monitoring durchführen. Der Ton an der Spitze ist entscheidend für ein wirksames Abwehrsystem. Aber auch Mitarbeiter sollten einen Beitrag leisten und in den Sozialen Medien nicht alles über sich preisgeben. Das kann man aber nur empfehlen und nicht vorschreiben.
Welche Mitarbeiter sind besonders einfach zu manipulieren?
Dirk Drechsler: Eigentlich kann es jeden treffen. Aber es gibt solche Personenkreise, die denken, alles über Social Engineering zu wissen. Aber Wissen bedeutet nicht unbedingt Können. Andere glauben, dass es sie nie treffen kann. Auch diese Personen wurden schon widerlegt. Solange das Problem besteht, müssen wir es ernst nehmen. Bedauerlicherweise trifft es aber häufiger die Mitarbeiter, die einfach nur ihre routinemäßige Arbeit verrichten möchten. Ich habe mir während meiner beruflichen Tätigkeit außerhalb der Hochschule die Frage gestellt, wie nahe ein Mitarbeiter an Vermögenswerten oder Bereichen arbeitet, die von Interesse sein könnten. Da aus heutiger Sicht die physische Nähe aber zunehmend in den Hintergrund tritt, ist diese Überlegung neu zu fassen.
Aus der Praxis weiß ich zudem selbst, wie schwer es sein kann, das Bewusstsein der Mitarbeiter zu schärfen, die unter Umständen Zugriff auf sensible Bereiche des Unternehmens haben. Meine Formulierungen sollten insofern nicht als Vorwurf, sondern eher als Erfahrungsbericht und Ergebnis intensiver Studienauswertungen verstanden werden. Mir geht es hier um einen weitestgehend objektiven Umgang mit der Thematik.
Zu guter Letzt: Wie kann man sich effektiv vor einem Angriff schützen? In Ihrem Buch wird die Social Engineering Kill Chain vorgestellt. Können Sie uns diese kurz erläutern?
Dirk Drechsler: Wir haben uns als Autorenteam überlegt, wie der zeitliche und inhaltliche Vorteil eines Angreifers reduziert werden kann. Das bedeutet zum einen eine langfristige Ausrichtung und Einbettung der Cybersicherheit, zum anderen ein spiegelverkehrter Aufbau einer prozessualen Verteidigungskette. Wenn der Angreifer die Phasen (1) Planung und Zielbestimmung, (2) Aufklärung und Informationsbeschaffung, (3) Entwicklung von Szenarien und (4) Durchführung durchläuft, sollte das Unternehmen überlegen, welche Zielsetzungen und Motive auf der Seite des Cyberkriminellen wirken und wie das Unternehmen seine eigene Zielsetzung mit präventiven Maßnahmen schützen kann. Auf jeder Stufe reduzieren sich so die Vorteile, die ein Social Engineer bei einem Angriff nützt.
Nehmen wir als Beispiel die Informationsbeschaffung über öffentlich zugängliche Quellen. Je weniger das Unternehmen über sich offenbart und je weniger Informationen über einzelne Mitarbeiter, Ansprechpartner, organisatorische Strukturen etc. bekanntwerden, desto schwieriger wird der Aufbau eines Angriffsszenarios. Schulen die Unternehmen die Mitarbeiter bezüglich möglicher Angriffsszenarien und machen deutlich, dass sich Mitarbeiter hinsichtlich der eigenen Schwachstellen stärker bewusstwerden sollten, reduziert das die Angriffsoberfläche noch weiter. Wichtig ist es, dass die Maßnahmen nicht isoliert nebeneinanderstehen, sondern im Rahmen eines integrativen Konzeptes verdeutlichen, worum es hier geht. Social Engineering findet immer prozessual und nie rein punktuell statt.
 |
Schutz vor Social Engineering Erscheinungstermin: 01.10.2019 Herausgegeben von: Prof. Dr. Dirk DrechslerWirtschafts- und Cyberkriminalität stellen ein erhebliches Problem für Unternehmen aller Größen dar. Als besonders kritisch erweisen sich zunehmend die Techniken des Social Engineering – koordinierte Attacken, die sowohl analoge als auch digitale Zugangsmöglichkeiten nutzen, um an sensible Informationen zu gelangen oder unternehmerische Prozesse zu sabotieren.
Ein systematischer Zugang zu einem wichtigen Verantwortungsbereich des Risikomanagements. Und ein nützlicher Werkzeugkasten für den Aufbau von resilienten Organisationen, die sich kurz- und langfristig gegen solche Angriffe verteidigen können. |
(ESV/ps)