Hacker haben es auf Informationen aus Ihrem Unternehmen abgesehen. Dabei nutzen sie oft scheinbar nebensächliche Informationen, um Schadsoftware an allen Vorsichtsmaßnahmen vorbei in Ihre IT zu schleusen. Die Abwehr können wir nicht allein den Technikern überlassen, denn viele sensible Informationen werden über unsere ganz normale „offene Kommunikation“ ausgespäht. Ein neues Social Engineering Training für Führungspersonen hilft, die Kommunikationskultur sowohl offen als auch sicher zu gestalten.
Täuschend echte interne Mails
Sie sind stolz auf die offene Kommunikationskultur innerhalb des Hauses und mit Ihren Kunden. Freundlichkeit, Kundenorientierung und Service werden bei Ihnen großgeschrieben. Und plötzlich meldet Ihre IT, dass sich ein Virus im System eingenistet hat. Dieses Mal ist es noch gut gegangen – die Techniker konnten die Schadsoftware isolieren und löschen. Aber wer weiß, ob sich die Malware nicht doch noch heimlich im System ausbreitet.
Was war geschehen? Eine Person aus dem Unternehmen hat in einer E-Mail auf einen Link geklickt und dabei der Schadsoftware die Tür geöffnet. Eigentlich sind alle Mitarbeiter aufmerksam, wenn verdächtige Mails eintreffen – aber diese E-Mail sah einfach verblüffend echt aus – wie ein internes Schreiben aus dem Haus: Der Absendername gehört zu einer Kollegin, die persönliche Anrede passte. Selbst der Inhalt hatte Bezug zu aktuellen Themen der Abteilung. Dann wurde es einfach versäumt, noch mal genauer hinzuschauen. Und schon ist es passiert.
Die Zeiten, in denen Versender von Schadsoftware ihre Empfänger mit Potenzpillen neugierig machen, sind vorbei. Heute steckt hinter dem Angriff eine ausgeklügelte Strategie, soviel Interna über das Unternehmen zu gewinnen, dass das Mail täuschend echt aussieht und selbst aufmerksame Personen überlistet.
Social Engineering: Unternehmen ausspähen
Die Strategie der Betrüger wird in Fachkreisen „Social Engineering“ genannt. Sie suchen gezielt nach den Sicherheitslücken in der sozialen Kommunikation des Unternehmens. Und genau da zeigen sich Unternehmen mit einer betont offenen Kommunikationskultur besonders anfällig. Übrigens: Solche Strategien verwenden nicht nur Betrüger, die Ihnen Viren schicken wollen – auch Headhunter haben ähnliche Routinen entwickelt, um zum Beispiel an die Handynummer einer spezialisierten Ingenieurin zu kommen, der sie am Abend ein unwiderstehliches Angebot unterbreiten wollen.
Das Dilemma: Sicherheit und Offenheit
Wir stecken also in einem Dilemma: Auf der einen Seite wollen wir mit dem Markt kommunizieren, von unserer Zielgruppe als offen, sympathisch, kundenorientiert wahrgenommen werden. Auf der anderen Seite macht uns diese Offenheit für Angreifer besonders attraktiv. Und wie in jedem Dilemma gibt es nicht den einen richtigen Weg heraus. Wir müssen diese Unsicherheit aushalten und lernen, damit umzugehen. Da ist also Führung gefragt.
Manche Tricks im Social Engineering sind perfide ausgetüftelt. Viel häufiger sind sie aber einfach nur dreist und übertölpeln ihre Opfer. Eine Paketboten-Uniform bekommen Sie für kleines Geld bei Ebay, und bei vielen Unternehmen reicht ein freundlicher Gruß mit einem Paket unter dem Arm, um ins Haus zu kommen. Einmal drin, öffnet sich eine Welt an wertvollen Informationen…
Das Telefon als Einfallstor für Social Engineering
Sehr oft spionieren Betrüger ihre Opfer über das Telefon aus. Das ist deutlich wirtschaftlicher als der persönliche „Besuch“ in irgendeiner Verkleidung. Tatsächlich unterhalten kriminelle Organisationen ganze Call-Center mit Dutzenden von Mitarbeitern, die genau darauf geschult sind, wie sie Ansprechpartnern wichtige Informationen entlocken. Die Welt der organisierten Kriminalität ist manchmal sehr „legal“ organisiert. (Siehe dazu mein Blogbeitrag über „brauchbare Illegalität“.)
Hier ist Führung gefragt
Was können Unternehmen tun? Eine sehr verbreitete Strategie zur Abwehr von Social Engineering ist ein Rundschreiben der IT-Leitung, wo alle Mitarbeiter aufgefordert werden, E-Mails und Anrufe mit Vorsicht entgegenzunehmen. Angehängt ist oft eine Liste mit Merkmalen, an denen man Fake-Mails erkennen kann. Die Erfahrung mit dieser Strategie ist leider zu oft der Durchzug-Effekt: Links rein, rechts raus. Wenig bleibender Lerneffekt.
Ebenso verbreitet ist die Strategie mit einer Dienstanweisung der Geschäftsführung. Die warnt ihre Mitarbeiter*innen vor den Gefahren und listet Vorsichtsmaßnahmen auf. Für den Fall, dass diese Maßnahmen missachtet werden, drohen Konsequenzen. Der Effekt ist meistens Angst. Diese Angst führt dazu, dass Mitarbeiter*innen sich gegenüber Kunden, Geschäftspartnern oder Kollegen zugeknöpft zeigen und das Unternehmen seine offene Kommunikationskultur verliert.
Es geht um kollektive Achtsamkeit
In Wirklichkeit geht es auch hier darum, dass wir als Unternehmen kollektive Achtsamkeit üben. Eine starre Liste mit Vorsichtsmaßnahmen nützt wenig, wenn die Angreifer immer neue Finten aushecken. Wir müssen die dahinterliegende Strategie verstehen, die unsere Emotionen ausnutzt, um unsere Wachsamkeit auszuschalten. Wir brauchen eine Offenheit im Umgang mit der Unsicherheit und ein ständiges gemeinsames Lernen.
Die dafür notwendige Sicherheitskultur ist eine Frage der Führung. Solange die Führungspersonen das Thema Kommunikationssicherheit an die IT delegieren oder auf Vorschriften pochen, entwickelt sich kein offener Umgang mit Fehlern und Unsicherheit. Und niemand lernt dazu.
Neu: Social Engineering Training für Ihre Führung
Ich habe darum zusammen mit meinem Beraterkollegen Michael Willer von Human Risk Consulting ein Trainingsprogramm für Führungspersonen entwickelt, um Achtsamkeit in Sachen Kommunikation im Unternehmen zu fördern. Michael Willer bietet mit seinem Unternehmen Awareness-Kampagnen gegen Social-Engineering. Dazu gehören Simulation von Angriffen und Trainings für Mitarbeitende, wie sie Verdacht schöpfen und dann richtig agieren.
Seine Erfahrung zeigt, dass die Führungspersonen dabei eine Schlüsselrolle einnehmen: Ihr Verhalten entscheidet zu einem großen Teil darüber, ob die Kampagne tatsächlich zu größerer Aufmerksamkeit führt. Wie gehen sie selbst mit verdächtigen Vorfällen um? Wie kommunizieren sie eigene Unsicherheit oder Fehler? Wie können sie Mitarbeitende einerseits sensibilisieren und ihnen andererseits Sicherheit geben? Wie reagieren sie, wenn Mitarbeitende auf einen betrügerischen Anruf hereinfallen? Wieviel Druck geben sie an ihre Teams weiter?
Diese Erfahrung ist der Hintergrund für die Entwicklung unseres neuen Social Engineering Training für Führungspersonen. Dabei ist es für mich wenig überraschend, dass ich bewährte Bausteine zur Führung und zur kollektiven Achtsamkeit in diesem Seminar wieder verwende. Sicherheit ist eben nur ein Aspekt von Führung. Und Führung will geübt sein.
Wie können Sie agieren?
Vielleicht haben Sie ähnliche Szenarien schon erlebt und überlegen, wie Sie ein Social Engineering Training in Ihrem Unternehmen umsetzen wollen. Dann freue ich mich auf Ihr Mail oder Ihren Anruf. Wir besprechen dann, wie Sie am besten vorgehen.
Wie bestellt: Der Anruf von „Europol“
Während ich diesen Blogartikel schreibe, klingelt mein Handy und zeigt eine deutsche Mobilfunknummer an. Ich gehe ran und freue mich schon auf eine neue Kundenanfrage. Stattdessen höre ich eine englische Frauenstimme, die mich darüber informiert, dass der Anruf von Europol kommt und meine Personalausweisnummer in betrügerischer Absicht missbraucht wurde…