"Es kommt auf jede und jeden Einzelnen an"

Angelo Aschert im Interview zum Computer Security Day

Angelo Aschert

Herr Aschert, Sie sind der stellvertretende Informationssicherheitsbeauftragte im ITDZ Berlin. Welchen Aufgaben und Herausforderungen müssen Sie sich stellen?

Die Informationssicherheit ist ein sehr dynamisches und komplexes Tätigkeitsfeld, welches nicht nur durch die aktuelle geopolitische Situation einen hohen Stellenwert erlangt. Wenn man die Bedrohungslage analysiert, kommt man unweigerlich zum gleichen Schluss wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) im diesjährigen Lagebericht: „Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.“ Die Verwaltung muss sich immer professionelleren Angriffen stellen, und nicht immer gelingt es, wie Medienberichte zeigen.

Was genau ist dann die Rolle des ITDZ Berlin?

Als Dienstleister des Landes sind wir in einer zentralen Rolle bei der Absicherung der Berliner Verwaltung gegenüber einer Vielzahl von Cyber-Bedrohungen. Spannend und herausfordernd zugleich. Von strategischen Überlegungen bis zur Anforderungsdefinition bei Ausschreibungen, vom Projektmanagement bis zur Steuerung von Sicherheitsvorfällen, von der Aufrechterhaltung der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz bis zur technischen Analyse – das Tätigkeitsspektrum ist äußerst umfangreich.

Wir wollen gerne etwas zum Thema Social Engineering erfahren. Wie funktioniert das?

Die Informationssicherheit hört nicht bei der Informationstechnik auf, sondern schließt u.a. den Menschen in die Absicherung mit ein, der im Kontext Social Engineering als Angriffsvektor verwendet wird. Als Menschen bauen wir im Normalfall relativ schnell Vertrauen auf, zeigen Hilfsbereitschaft und Respekt gegenüber Autoritäten. Diese menschlichen Eigenschaften werden durch Manipulation ausgenutzt, um an sensible Daten zu gelangen oder Handlungen hervorzurufen, die dem Angreifer nutzen (z.B. Überweisungen durchführen oder maliziöse Programme ausführen).

Woran erkenne ich Social Engineering? Welche Arten von Angriffen und Taktiken gibt es und kommen am häufigsten vor?

Die folgenden Beispiele von Angriffen verdeutlichen unterschiedliche Vorgehensweisen von Social Engineering – etwa eine falsche Identität der Angreifenden, eine provozierte Handlung oder sozialer oder zeitlicher Druck:
  • Phishing: Per E-Mail sollen Mitarbeitende und Privatpersonen dazu gebracht werden, auf übersendete Links zu klicken und auf der maliziösen Seite Anmeldeinformationen des Online-Bankings einzugeben. Die E-Mail behauptet, dies sei unbedingt erforderlich, da sonst in den nächsten 6 Stunden das Konto gesperrt werde.
  • CEO-Fraud: Ein Angreifender ruft in der Rolle eines sich auf Geschäftsreise befindlichen Chefs einen neuen Mitarbeitenden der Buchhaltung an und bittet um Zahlung eines hohen Geldbetrages, da sonst ein wichtiger Deal nicht abgeschlossen werden könne.
  • Tailgating: Eine unbefugte Person erlangt physischen Zugang zu einem geschützten Bereich, indem er in der Raucherpause von Mitarbeitenden einer Firma das Vertrauen durch ein nettes Gespräch erlangt und mit ihnen in den geschützten Bereich geht. Eine Kollegin oder einen Kollegen kann man doch nicht einfach vor der Tür stehen lassen, nur weil sie oder er die Zutrittskarte vergessen hat, oder?
    Nach einem erfolgreichen Angriff ist dem Opfer meist nicht (sofort) klar, dass es gerade als Einfallstor verwendet wurde.

Wie kann man sich sowohl im Arbeitsumfeld als auch Privatperson gegen Social Engineering schützen?

Hier einige Tipps, wie man solche Angriffe schnell erkennen und unterbinden kann. Wichtig: Diese Fälle anschließend umgehend der IT-Abteilung melden.
  • Zunächst skeptisch bzw. wachsam bei unerwarteten Anfragen sein. Auch wenn sie von einer scheinbar legitimen Quelle stammen, erstmal vorsichtig sein und die Anfrage prüfen.
  • Die Identität des Anfragenden überprüfen: Z.B. kann man sich über das durch die Firma bereitgestellte Adressbuch eine Rückrufnummer heraussuchen, über die man telefonisch Informationen überprüfen kann.
  • Vorsicht bei E-Mails: Insbesondere bei Links und Anhängen vorsichtig sein! Auch hier lieber via Telefon die Anfrage von Geschäftspartnern verifizieren. Und dabei nicht die in der Mail direkt angegebene Telefonnummer verwenden, sondern die im Voraus ausgetauschte.
  • Das Teilen von sensiblen Informationen darf nur äußerst restriktiv durchgeführt werden. Zunächst die Identität vom Gesprächspartner verifizieren und dann eine sichere Austauschmöglichkeit verwenden.
  • Druck und Dringlichkeit können ein Indiz für Angriffe sein, Rechtschreibfehler in Mails kommen im Gegensatz dazu kaum noch vor.
  • Welche Informationen teilt man in sozialen Netzwerken? Allein die Informationen, dass der Mitarbeitende das Team gewechselt hat und vor zwei Wochen aus dem Urlaub zurückkam, können für einen gezielten Angriff verwendet werden. Und vertrauliche Informationen des Arbeitgebers gehören sowieso nicht in soziale Netzwerke.
  • Die Awareness-Schulungen nutzen: Weiterbildung in diesem Bereich haben einen echten Mehrwert.
  • Nutzen Sie die Multi-Faktor-Authentifizierung. Dies ist auch keine Garantie für den Schutz von Passwörtern, welche man möglicherweise versehentlich herausgegeben hat, bieten aber eine weitere Sicherheitsstufe.

Und noch einmal eine typische Situation aus dem privaten Bereich: Pünktlich jeden Monat kommt die Amazon Rechnung via Mail. Dieses Muster nutzen auch Angreifende. Um eine Rechnung zu überprüfen melden Sie sich bitte direkt im Portal des Online-Dienstes an und verwenden nicht den Link in den Mails.

Gab es in Ihrem privaten Umfeld auch schon Situationen, in denen Sie Ihre Expertise in der IT-Sicherheit anwenden mussten? Wie sahen sie aus?

Um bei dem Beispiel Social Engineering zu bleiben: Bekannte von mir erhielten einen Anruf eines vermeintlichen Mitarbeiters von Microsoft, welcher sie auf eine angebliche Infektion ihres Systems aufmerksam machte. Die Anrufende erbat einen Fernwartungszugang auf das System, um „helfen“ zu können. In diesem Falle mussten sowohl technische Maßnahmen getroffen als auch eine kleine „Schulung“ im Bereich Awareness gegeben werden. Ein Beispiel von vielen.

Es kann wirklich alle treffen!

Ja, grundsätzlich kommt es auf jede und jeden Einzelnen an, wenn es um die Erkennung und adäquate Reaktion von Angriffen verschiedenster Form geht. Deswegen mein Appell an Verantwortliche: Schulung ist essenziell! Bitte schaffen Sie eine Awareness bei allen Mitarbeitenden.
Und an alle Mitarbeitenden: Unterschätzen Sie nie Ihre Rolle! Jede und jeder ist wichtig für die Sicherheit. Wenden Sie bitte die Hinweise aus Awareness-Schulungen an und melden Sie vermutete Sicherheitsvorfälle umgehend.
Damit ziehen wir gemeinsam am Strang, die Sicherheit im privaten und beruflichen Umfeld aufrechtzuerhalten und zu verbessern ist wichtiger denn je!

Vielen Dank für das Gespräch!