Facebook ersetzt die Muelltonne. Und Ich habs immer gewusst

 In Tech

Das grösste Sicherheitsrisiko im Unternehmen ist der Mensch, sagt Sicherheitsexpertin Sharon Conheady. Statt Mülltonnen durchwühlen Cyberkriminelle heute soziale Netzwerke nach Informationen über ihre Opfer.

Betrüger nutzen soziale Medien zunehmend, um Mitarbeiter von Unternehmen auszuspionieren, sagt Sicherheitsexpertin Sharon Conheady. Mit den gesammelten Informationen versuchen sie, Passwörter zu erraten oder sich Zutritt zu Büroräumen zu verschaffen. Dass sie damit häufig erfolgreich sind, ist menschlichen Schwächen geschuldet, die sich Betrüger schon seit Jahrhunderten zunutze machen.

Conheady hat es sich zum Beruf gemacht, Unternehmen auf Sicherheitslücken zu überprüfen. Dafür verschafft sie sich Zugang zum Unternehmensnetzwerk oder direkt zum Unternehmen und setzt dabei unter anderem auf Obrigkeitshörigkeit und Hilfsbereitschaft. Ein einfaches Fax mit einer fiktiven Terminvereinbarung reicht ihr, um sich Zutritt zu einem Unternehmen zu verschaffen. Das ist noch einfacher, als sich zum Beispiel mit einem gelben Schutzhelm als Mitarbeiter eines Elektrizitätswerks zu tarnen. Oder sie stellt sich mit zwei Pappbechern mit Kaffee in der Hand vor die Tür eines Büros – und wartet, dass ihr ein Mann die Tür öffnet, was meistens ohne Nachfrage geschieht.
Wie Betrüger bedient sich auch Conheady der Informationen, die sie in sozialen Netzwerken findet, um Angriffspunkte zu finden. über Facebook, Twitter oder Linkedin erführen Betrüger meist mehr über ihre Opfer als beim Durchwühlen einer Mülltonne, sagt sie.

Lieblingspizza als Eingangsschlüssel

Ein Mitarbeiter des IT-Bereichs einer Firma, der nicht auf seine Privatsphäreeinstellungen geachtet hatte, gab Conheady bei Facebook die Informationen, die sie für einen Einbruch brauchte. Er hatte eine Umfrage beantwortet, wo nach allen möglichen Details gefragt wurde, die gern als Geheimfrage benutzt werden, um zum Beispiel E-Mail-Konten zu sichern. Er erzählte bei Facebook auch, dass er eine bestimmte Pizza besonders gerne ass. Verkleidet mit einem T-Shirt der Pizzakette, das sie für wenige Euro über eBay erworben hatte, verschaffte sich Conheady als Pizzabote Zugang zu dem Unternehmen. Nebenbei installierte sie ungestört einen Keylogger über einen USB-Stick auf einem Rechner.

Solche Maschen seien selbstverstÄndlich nicht neu, sagt Conheady. Eines der Vorbilder für ihre Arbeit ist der Betrüger Frank Abagnale Jr., dessen Geschichte in dem Film Catch me if you can verewigt wurde. Abagnale bereiste die Welt mit einer FlugkapitÄnsuniform und ergaunerte sich nebenbei mit gefÄlschten Schecks auch ein Gehalt von der Fluggesellschaft Pan Am. Uniformen verleihen ihrem TrÄger nach wie vor AutoritÄt, selbst wenn es sich lediglich um ein T-Shirt einer Pizzakette handelt, diese Erfahrung hat Conheady gemacht. Und das, obwohl sie einfach bei eBay gekauft werden können.

Bei Betrugsmaschen über das Internet sind die Anwender dank erhöhter Sensibilisierung sehr viel vorsichtiger geworden, etwa bei den Scam-E-Mails der sogenannten Nigeria-Connection. Diese funktionieren zwar immer noch, denn die Betrüger versenden eine solche Masse an Nachrichten, dass sie immer wieder an Menschen geraten, die die Masche noch nicht kennen. Ihre Erfolgschancen sind in den letzten Jahren aber deutlich gesunken. Hier appellieren die Betrüger an die Hilfsbereitschaft der Menschen, die auch beim Trick mit den Kaffeetassen ausgenutzt wird.

Die Confidence-Artists oder Con-Artists – zu Deutsch: Trickbetrüger – nutzten diese Masche bereits im 16. Jahrhundert: Sie brachten schöne Frauen zu EdelmÄnnern und baten sie um Geld, um den Vater der Frau aus dem GefÄngnis freizukaufen. Dafür versprachen sie eine reichliche Rückvergütung – und die Hand der Frau.

Dass sie eine Frau sei, erleichtere auch ihr die Arbeit, sagt Conheady. Deshalb arbeite sie mit einem mÄnnlichen Counterpart zusammen.

Martialische Gegenmassnahmen

Dass Psychologie für die Sicherheit von Unternehmen eine Rolle spielt, bestreitet dagegen Toby Foster, Student an der University of York. Er versucht, Social Engineering zu analysieren. Klammert man die psychologische Komponente aus, ergeben sich ganz einfache Mittel gegen Betrugsversuche, sagt er. Die digitale Welt lasse sich auf die analoge Welt übertragen: Was eine Firewall mache, könne auch ein Wachmann an der Tür erledigen. überwachungskameras in einem Büro könnten das Gleiche leisten wie ein Intrusion Detection System in einem Netzwerk, sagt Foster. Was beim MilitÄr schon lange funktioniere, müsse auch in Unternehmen eingesetzt werden.

Conheadys hÄlt dagegen Sicherheit nur für möglich, wenn sich jeder einzelne Mitarbeiter einer Firma der Gefahr bewusst ist und genau darauf achtet, was er über soziale Medien preisgibt und welche Sicherheitseinstellungen er dort vornimmt. AufklÄrung über die Risiken hÄlt sie für am wichtigsten. Dass ihr dadurch die Arbeit ausgeht, befürchte sie allerdings nicht, sagt sie. Ihre Klientel sei eben – menschlich.

Orginalartikel – Golem
http://www.golem.de/1111/87907.html

Empfohlene Beiträge

Einen Kommentar hinterlassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Nicht lesbar? Text ändern. captcha txt