Social Hacking – Übung für Firmen

Social Hacking – was ist das?

Social Hacking Übung: Muss das sein?

Vertrauen unsere Führungskräfte uns nicht?

Diese drei Fragen begegnen uns bei Trainstitute immer wieder. Und deshalb möchte wir diese Fragen gern beantworten.

Zur Frage: Was sind Social Hacking Übungen? Bei einer solchen Übung erhalten die Mitarbeitenden einer Firma von uns E-Mails, die sie dazu verleiten sollen auf einen Link zu klicken, einen der E-Mail beigefügten Dateianhang zu öffnen oder auf einer „seriös anmutenden“ Webseite die eigenen Zugangsdaten einzugeben. Genau das ist es, was Internet-Kriminelle auch tun, wenn sie in sogenannten Phishing Mails versuchen, die EDV-Sicherheits-Infrastruktur von Firmen zu umgehen oder auszutricksen. Am Ende geht es dabei im Wesentlichen um zwei Dinge: 1. Bei einer klassischen Phishing-Aktion werden die „gewonnenen Zugangsdaten“ verwendet, um zu Lasten des Angegriffenen finanzielle Transaktionen durchzuführen. Hier besteht der Schaden hauptsächlich darin, die Kontoverbindung zu nutzen, um Gelder ohne das Wissen der Angegriffenen zu übertragen. Daher kommt auch der Name Phishing. Er ist zusammengesetzt aus Passwort und Fishing. Es wird also nach „Passworten gefischt“. 2. Umgangssprachlich werden unter Phishing heute aber auch sogenannte Trojaner verstanden. Diese sind noch gefährlicher, weil die „Hürde“ im Vergleich zum Phishing deutlich geringer ist. Hier reicht es, wenn der E-Mail Empfänger auf einen Link klickt oder einen Datei-Anhang öffnet. Im gleichen Moment wird Schad-Software installiert, die es dem Angreifer erlaubt, Zugriff auf das Netzwerk / die Daten des Opfers zu erhalten. Und diese Zugriffsmöglichkeit wird dann entweder genutzt, um die Daten zu stehlen oder um die Daten zu verschlüsseln. Im Ergebnis hat das Opfer (die Firma) keinen Zugriff mehr auf die eigenen Daten. Im nächsten Schritt werden die Opfer erpresst. Über die digitale Währung Bitcoin können finanzielle Transaktionen wie die Zahlung eines Lösegeldes vollkommen anonym durchgeführt werden – also ohne das Risiko, als Krimineller entdeckt bzw. identifiziert zu werden.

Zur Frage: Muss das sein? Anders ausgedrückt: Ist diese Gefahr wirklich so groß, dass unsere Firma Ziel einer solchen Phishing-Attacke wird? Die Antwort ist klar und eindeutig: JA.

Wie sagte Thomas Strobel auf der IT-Sicherheitskonferenz im März 2020:

Es gibt zwei Arten von Unternehmen, Die einen, die einen Hacker-Angriff hinter sich haben. Und die anderen, die ihn noch vor sich haben.

Thomas Strobl, Innenminister von Baden-Württemberg

Der Verband Bitkom hat in einer Umfrage unter deutschen Firmen herausgefunden, dass allein in Deutschland in 2019 über 10.500.000.000 Euro (10,5 Miliarden) Schaden durch Erpressung gestohlener oder verschlüsselter Daten entstanden ist. Immer häufiger werden auch kleinere und mittelständische Firmen Opfer solcher Attacken. Wollen wir nicht vergessen: Neben dem finanziellen Schaden erhalten die Opfer-Firmen dann auch ungewollt Aufmerksamkeit in der Presse, wenn diese Attacke publik wird.

Zur dritten und für Sie möglicherweise wichtigsten Frage:

Vertrauen unsere Führungskräfte uns nicht?

Ist die Durchführung einer solchen Phishing Übung gleichzusetzen mit Misstrauen in die Belegschaft? Unserer Meinung nach nicht, und dies aus zwei Gründen.

  1. Wir empfehlen den Firmen 100% offen und transparent mit der Durchführung einer solchen Übung umzugehen. Das bedeutet, dass die Übung angekündigt wird. Erfahrungsgemäß wird schon dadurch die Sensibilität (im Sinne von Aufmerksamkeit) erhöht.
  2. Noch wichtiger: Sollte ein Mitarbeitender sich „falsch“ verhalten, also auf den Link klicken, den Anhang öffnen oder die Zugangsdaten auf der vorbereitenden Webseite eintragen, so wird dies zwar registriert, aber die Information WELCHER Mitarbeitende sich hier risiko-erhöhend verhalten hat bleibt garantiert und vollkommen anonym. Dafür stehen wir als Trainstitute, das garantieren wir persönlich. Etwaige Wünsche von Auftraggebern nach „weitergehender Transparenz“ erfüllen wir nicht. Jedoch, es gibt – mathematisch bedingt – eine Ausnahme, genauer: zwei Ausnahmen: Wenn ALLE Mitarbeitenden sich „falsch“ verhalten, dann ist die Anonymität indirekt aufgehoben. Aber in diesem Fall…hat die Firma eine echte Herausforderung. Oder: KEIN EINZIGER Mitarbeiter verhält sich risikoreich. Diesen Fall bewerten wir jedoch – aus Anonymitäts-Gesichtspunkten – als unkritisch.