Die Gefahr im elektronischen Briefkasten
Inzwischen müsste sich diese Frage eigentlich von selbst beantworten: Digitalisierung ist vor allem eine kulturelle Herausforderung. Technik ist nur Mittel zum Zweck, denn Menschen sitzen an den Geräten und erwecken sie erst zum Leben. Phishing, das digitale Social-Engineering-Paradebeispiel, kommt zwar über einen digitalen Kanal daher, aber die Verführung („Anhang öffnen / Link klicken, um … nackt zu sehen / einen Gutschein zu erhalten / die Passwortaktualisierung durchführen zu können“) zielt auf den Menschen. Und damit sind wir, die menschlichen Akteure, gleichermaßen Ziel und Risiko. Social Engineering, die Kunst der sozialen Manipulation, ist nicht nur ein Thema, das so alt wie die Menschheit selbst sein dürfte, sondern zugleich ein Phänomen, welches sich insbesondere aufgrund der Digitalisierung in ungeahnte Dimensionen ausdehnen konnte.
Warum funktioniert Social Engineering?
Social Engineering funktioniert, weil es ur-menschliche und, ganz wichtig, oftmals völlig richtige und wichtige sozialadäquate Verhaltensweisen attackiert. Warum einem Menschen, den man auf einer Konferenz kennen- und mögen gelernt hat, nicht offen und freundlich entgegentreten und auch mal etwas aus dem Nähkästchen plaudern? Warum nicht dem Anrufer vertrauen, der anscheinend Firmeninterna kennt und deshalb doch nur ein Kollege in einer Notsituation sein kann? Warum nicht mit der netten Studentin flirten und ihr 100 EUR für eine Busfahrt schicken, damit man sich nach den zahllosen Flirtchats endlich in die Arme schließen kann? Was soll schon passieren? Was kann schon schiefgehen?
Sicherheit geht vor!
Sehr viel. Bei Social Engineering geht es schnell ums Ganze, denn im Zweifel wird nicht nur Geld gestohlen oder ein Zugang zu Firmendatenbanken erlangt, sondern das Vertrauen in der Belegschaft geschädigt: man wurde nicht „nur“ (rein technisch) gehackt, man wurde betrogen. Deshalb sollten insbesondere Firmen Rollen, Rechte, Prozesse, Routinen und Abläufe regelmäßig hinterfragen, die Aufmerksamkeit der Mitarbeiter fördern und aktivierende Schulungen auch zu exotischen Sicherheitsvorfällen anbieten, aber auch die Einhaltung von sozial seltsam erscheinenden Maßnahmen einfordern und kontrollieren. Vertrauen ist gut, aber es sollte bestimmte Grenzen kennen. Wer keine Codekarte hat, kommt nicht ins Gebäude – Tür aufhalten verboten! Wer kein Serveradmin ist, braucht auch keinen Adminzugang zum Server – Sicherheit geht vor!
Professionalität schützt
Der Arbeitsplatz ist kein Ort für private Distanzlosigkeit und ungezwungenes Rumkumpeln, sondern für eine professionelle Leistungsgemeinschaft. Soziale Gepflogenheiten müssen sich teilweise bestimmten Zwängen unterwerfen, die im privaten Miteinander undenkbar wären. Daran immer wieder zu erinnern, im besten Sinne eines Forderns und Förderns, hilft bei der Abwehr von sozialen Betrugsversuchen. Insbesondere in sensiblen Branchen wie Waffenfachhandel, Rüstung und Verteidigung sollte diese Professionalität Vorbildcharakter haben. Immer und überall.
