|
|
Erkenntnis auf der GUUG-Konferenz '09: Manipulation ermöglicht Social Engineering Eigenes Verhalten kann über IT-Sicherheit in Firmen entscheiden (
Anzeige
Stefan Schumacher, Unternehmerberater für Social Engineering und Security Awareness aus Magdeburg, nahm den mehr als 100 Teilnehmern der diesjährlichen Unix- und Linux-Konferenz zunächst eine Hoffnung: Nur mit Software-Tools sei die Sicherheit von IT-Netzwerken nicht zu gewährleisten. Grund: Social-Engineering hebelt durch manipulativ erzeugte Gefühle rationale Sicherheits-Maßnahmen aus. Anhand "stereotyper Verhaltensweisen" aus der Psychologie stellte der langjährige IT-Security-Fachmann Methoden für ein nachhaltiges Sicherheits-Management vor:
·
Geschenke: Der Grundsatz "kleine Geschenke" ist für die IT-Sicherheit äußerst gefährlich. Durch die "Reziprozität" werden Mitarbeiter verleitet, fragwürdiger Hilfe zu vertrauen und leichtgläubig Informationen – wie Benutzerkennungen oder Passwörter – Preis zu geben. Im Gegenzug hilft das Prinzip "wechselseitiger Unterstützung" den Entscheidern, durch großzügige Eingeständnisse IT-Leitlinien durchzusetzen.
·
Vertrauen: Das "vereinbarte Verhalten" von Menschen ist ein weiterer kritischer Aspekt bei der Sicherheit von IT-Infrastrukturen. Da jeder im Arbeitsleben Kollegen und Partnern Vertrauen entgegen bringen muss, kann das "Commitment" auch manipulativ missbraucht werden. Ein "Einschwören" auf die Nutzung von IT bietet aber auch die Chance, Anwender für Sicherheitsthemen zu begeistern und die Eigenverantwortung zu fördern.
·
Herdentier: Die "Vorbildfunktion" birgt ebenfalls gefährliche Fallstricke im sicheren Umgang mit Netzwerken. Im kritischen Fall sorgt die "Herdentier-Funktion" für Ablehnung einer neuen Sicherheitsrichtlinie. Andererseits kann durch Multiplikatoren bzw. Promotoren mittels "sozialer Bewährtheit" die kritische Masse in Firmen und Verwaltungen dazu bewegt werden, eine Sicherheitsrichtlinie anzunehmen und umzusetzen.
·
Autoritäten: Die "Autoritäts-Gläubigkeit" verleitet IT-Anwender, unautorisierten Personen leichtgläubig den Zugang zu vertraulichen Geschäftsdaten einzuräumen. Falsche Titel, Maßanzüge oder ein teures Auto können Mitarbeitern vorgaukeln, einer Autorität zu folgen. Leitende Mitarbeiter, die durch Fachkenntnis und Teamwork überzeugen, können ihre Rolle im Umkehrschluss dazu nutzen, IT-Sicherheit zu akzeptieren.
·
Sympathie: Ein weiterer Aspekt des Social-Engineering ist das "Sympathie-Prinzip". Positive Gefühle zu Personen beeinflussen auch Mitarbeiter in Wirtschaft und öffentlichem Dienst. User fallen u. a. durch "Fishing for Compliments" auf Betrüger rein, ebenso wie durch das Produzieren von Mitleid. Im negativen Fall führen "Konditionierung" und "Assoziation" zu einer sich wiederholenden Falle ("Pawlow-Effekt"). · Verknappung: Zu guter Letzt birgt die "Künstliche Verknappung" Bedrohungen für die Sicherheit von IT-Systemen. "Exklusive Informationsquellen" sind für die Bewertung von sicherheitsrelevanten Entscheidungen kein sinnvolles Vorgehen. Dagegen kann ein externer Experte der IT-Abteilung durch "exklusives Wissen" helfen, Gehör für wichtige Security-Themen zu finden und das Problem des "Propheten im eigenen Land" zu überwinden. (GUUG: ra) |
||
|
