Unerwünschten Besuchern den Zutritt verwehren

Zittau, 19. Dezember 2020. Von Thomas Beier. Datenschutz ist in aller Munde. Viele meinen damit, welche persönlichen Daten sie preisgeben und wie diese von anderen genutzt werden. Datenschutz heißt aber auch, die Daten auf privat oder betrieblich genutzten Rechnern oder Handys vor unerwünschtem Zugriff zu schützen.

Schwachstelle Mensch

Leider ist das gar nicht so einfach und im Grunde müsste man empfehlen: Die Verbindung zum Internet kappen. Praktikabel ist das freilich nicht. Vor diesem Hintergrund lebt eine ganze Industrie davon, Antiviren- und Firewall-Software zu produzieren und zu verkaufen. Die entsprechende Software soll verhindern, dass Schadsoftware in den eigenen Rechner oder das eigene Rechnernetzwerk vordringt oder Unbefugte Zugriff auf die hier gespeicherten Dateien erhalten.

Technisch gesehen klappt das sicherlich recht gut, nur: Insgesamt betrachtet ist die Wirkung nur sehr beschränkt, denn die Schwachstelle Nummer Eins in der Informationstechnologie ist der Mensch. Die meisten technischen Zugangsschranken wie etwas Benutzernamen und Passwörter nützen nämlich gar nichts, wenn sich jemand findet, der sie ausplaudert – ob nun ganz bewusst oder nur fahrlässig..

Diese Gefahr ist größer, als viele wahrhaben wollen: Geschasste Mitarbeiter und rachsüchtige Mitarbeiterinnen kennen oftmals Zugangsdaten, die – großer Fehler! – nach ihrem Weggang nicht geändert wurden. Auch wenn sie diese später nicht selbst nutzen, können die vertraulichen Zugangsdaten über sie leicht in falsche Hände geraten.

Datenzugang wird betrügerisch gewonnen

Aber die Datenmolche warten ja nicht, bis jemand höchst verärgert über seinen Arbeitgeber ist – sie verschaffen sich den Zugang in die IT-Netzwerke oder zum Online Banking auf andere Weise. Ausgenutzt werden dafür gern gutgläubige, in Fragen der IT Sicherheit unbeleckte Mitarbeiterinnen und Mitarbeiter, die mit unterschiedlichen Methoden dazu verleitet werden sollen, den Betrügern gewünschte Daten oder Geld zukommen zu lassen.

In den vergangenen Jahren waren solche Versuche oftmals leicht zu erkennen. Holprige Sprache, manchmal gemixt mit ungewohnten Schriftzeichen – die Versuche, per Dateianhang einer E-Mail Schadsoftware einzuschleusen, waren allzu plump. Doch auch Betrüger lernen dazu und werden immer perfekter. Schon im Jahr 2014 wurde im Görlitzer Anzeiger gewarnt, dass Phishing-Betrüger, die Daten "abfischen" wollen, neue Qualitäten erreichen: Gefälschte Online Banking Seiten, Sexangebote, Bestätigungsaufforderungen, vermeintliche Erbschaften, die Fantasie kennt keine Grenzen, wenn es darum geht, jemanden vertrauliche Daten aus der Nase zu ziehen.

Betrugsversuche werden immer perfekter

Unter bestimmten Umständen haben die Opfer kaum eine Chance. So wird beispielsweise das berufliche und private Umfeld ausgeforscht, um schließlich mit einer gestohlenen Identität an die heiß begehrten Daten zu gelangen. Wer würde dem vertrauten Kollegen oder gar dem Chef, der per E-Mail um ein vergessenes Passwort bittet , dieses nicht senden? Leider war die E-Mail perfekt gefälscht, sogar die gewohnte Anrede und die vertraute Grußformel wurden übernommen.

Selbst für Experten sind gefälschte E-Mails immer weniger auf den ersten Blick zu erkennen. Deshalb gilt: Beim leisesten Zweifel an der Vertrauenswürdigkeit einer eingegangenen E-Mail sollte diese gelöscht werden oder zumindest auf einem anderen Weg, etwa durch einen Telefonanruf, verifiziert werden. Wer sich nur allein auf technische und Software-Schutzmaßnahmen verlässt, wird mit einiger Wahrscheinlichkeit früher oder später zum Opfer von Datenklau, Erpressungstrojanern und anderem Unbill mehr.

Social Engineering erkennen

Weil besonders Unternehmen als lukrative Zielscheibe auf vielfältige Weise Hackerangriffen ausgeliefert sein können, haben sich einige Anbieter darauf spezialisiert, bestimmte Angriffe zu simulieren und auf diese Weise Schwachstellen aufzudecken. Eine Sonderrolle spielt dabei das sogenannte Social Engineering, zu übersetzen am ehesten als angewandte Sozialwissenschaft, im negativen Sinne auch als soziale Manipulation.

Bei der kriminellen Anwendung des Social Engineerings wird das Ziel verfolgt, Personen so zu beeinflussen, dass sie Dinge tun, die sie ohne diesen Einfluss nie täten, also vertrauliche Informationen preisgeben, Geld überweisen oder bestimmte Waren kaufen. Wer als Unternehmen einen Social Engineering Angriff abwehren will, für den scheint das Aufdecken der Schwachstellen praktisch das die einzige Methode zu sein, um Risiken zu identifizieren und abzustellen, bevor echter Schaden entsteht.

Die Lösung liegt beim Menschen

Während technische Abwehrmaßnahmen gegenüber Eindringlingen in Computersysteme durchaus wirksam sind, verweisen Penetrationstester, die im Auftrag eines Unternehmens versuchen, in dessen Computersysteme einzudringen, auf eine Erfolgsquote von hundert Prozent, wenn sie den Unsicherheitsfaktor Mensch nutzen. Sie setzen darauf, dass Mitarbeiter, die zum Opfer eines solchen simulierten Angriffs wurden, in ähnlichen Situationen künftig sensibler reagieren und schulen zudem in diese Richtung.

So gesehen können die zweifellos nötigen klaren organisatorischen Zuständigkeiten und Handlungsanweisungen nur theoretische Situationen abbilden, aber nicht die tiefe Verankerung von Erfahrungen mit Betrugsversuchen ersetzen.

Der Autor Thomas Beier ist freiberuflicher Unternehmensberater und gewerblicher Digitalunternehmer.