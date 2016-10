Wien (pts013/07.10.2016/10:15) - Verfolgt man die Nachrichten zum Thema Informationssicherheit, so kommt man aus den Superlativen nicht mehr heraus. Millionen von Passworten wurden gestohlen. Hunderttausende von Kameras wurden plötzlich zu Erpressungswerkzeugen. Unzählige Daten wurden unberechtigt kopiert. Oft landet man nach wenigen Absätzen bei technischen Lösungen, die diesen Einbrüchen Einhalt gebieten sollen. Man vergisst dabei, dass man heutzutage hermetisch verschlossene Türen mit einem Telefonanruf oder einer E-Mail Nachricht öffnen kann. Laut einer Publikation der britischen Federation of Small Businesses fallen fast 50 Prozent der Angriffe auf Social Engineering, sprich auf Manipulation sozialer Interaktion, zurück. Teure Investitionen in technische Abwehrmaßnahmen bleiben damit völlig wirkungslos.

Bloßes Sicherheitsbewusstsein hilft längst nicht mehr

Ansätze zur Abwehr von Attacken auf die Schwachstelle Mensch haben sich in der Vergangenheit auf Schulungen des Sicherheitsbewusstseins (oder englisch Awareness) fokussiert. Das ist in der modernen Geschäftswelt zu wenig. Das Wissen um solche Gefahren ist bereits vorhanden. Gegenmaßnahmen müssen jetzt sehr viel konkreter werden. Mitarbeiterinnen und Mitarbeiter müssen die Methoden ihrer Gegner verstehen, erkennen und eigenständig abwenden können. Diese Kompetenz erreicht man mit der Beschränkung auf ein Sicherheitsbewusstsein nicht. Man kann die Analogie der Brandbekämpfung zur Verdeutlichung bemühen.

Das Wissen um einen möglichen Brand am Arbeitsplatz nützt wenig, wenn niemand im Krisenfall einen Feuerlöscher verwenden darf oder kann. Alle klassischen Schulung zur Defensive von Social Engineering gehen nur bis zur Entdeckung des Brandherds. Was danach geschehen muss, wird leider oft nicht diskutiert. Genau an dieser Stelle muss die Ausbildung konkret werden, sonst trägt sie nicht zum Schutz des Unternehmens bei.

Social Engineering ist das Stiefkind der Informationssicherheit

Die Tragweite von Attacken gegen die Psyche der Mitarbeiterinnen und Mitarbeiter wird stark unterschätzt. Während technische Lösungen durch ihre Komplexität große Wirksamkeit vortäuschen, wirken Betrachtungen zu Gewohnheiten, Kommunikationsstile, Urlaubsabwesenheiten, interne Firmenfeiern, dem Gang zum täglichen Mittagessen oder Aktivitäten nach dem Feierabend geradezu banal. Jedwedes Stück Information ist ein Baustein im Plan der Angreifer. Das ist sehr leicht zu formulieren, aber man muss Gegenmaßnahmen als vollständige Kampagne aufbauen. Richtlinien für den Umgang mit Fremden und sensitiven Informationen gibt es oft. Auch die IT Abteilung ist eingeweiht.

Aber man muss die einzelnen Teile verbinden und ein Netz um die Schwachstellen menschlicher Kommunikation im Büroalltag legen, sonst bleibt die beste Brandschutzvorrichtung ohne Wirkung. Betrachten Sie dabei das Personal nicht als Risiko, sondern als Teil Ihrer Sicherheitsarchitektur. Jeder Mensch kann ein Opfer von Social Engineering Attacken werden; das ist es keine Schande. Bieten Sie daher unbedingt Möglichkeiten an, über die Mitarbeiterinnen und Mitarbeiter anonym Schwächen melden können. Wenn alle an einem Strang ziehen sollen, so muss die Schwelle für die Mitarbeit gerade im Sicherheitsbereich möglichst niedrig liegen.

Hands-on Workshop mit praktischen Übungen

Im Rahmen der 10. DeepSec In-Depth Security Konferenz wurde ein Fokus auf Social Engineering und dessen Abwehr gelegt. Im Programm sind nicht nur Vorträge zu diesem Thema. Es gibt ein Training von zwei Expertinnen auf diesem Gebiet. Cyni Winegard und Bethany Ward werden in zwei Tagen konkrete Szenarien vorstellen und mit den Teilnehmern durchspielen. Es soll nicht nur Bewusstsein geschaffen, sondern es sollen auch mit praktischen Beispielen und Rollenspielen Erfahrungen aufgebaut werden, die sich in die eigenen Gewohnheiten einbauen lassen. Alle Beispiele werden auf die Fähigkeiten der Teilnehmerinnen und auf die Schwächen der Ziele zugeschnitten - ganz so wie im Berufsleben.

Wenn es um die Verteidigung geht, darf nichts den Fähigkeiten der Gegenspieler nachstehen. Der Workshops Penetration Testing Humans verhilft zu einer echten Raumverteidigung der menschlichen Psyche. Die Trainerinnen bringen ihre Erfahrungen aus vielen Jahren Sicherheitstests ein und konfrontieren die Teilnehmer mit echten Dialogen und Aktionen aus erfolgreichen Angriffen.

Das komplette Programm ist unter https://deepsec.net/schedule.html online. Aktuelle Artikel rund um Informationssicherheit und DeepSec Events finden Sie auch in unserem Blog: http://blog.deepsec.net

Die Workshops finden am 8./9. November 2016 statt. Die Konferenztage sind am 10./11. November. Der Veranstaltungsort ist Hotel The Imperial Riding School Vienna - A Renaissance Hotel, Ungargasse 60, 1030 Wien.

