... mit dem Blick für's Wesentliche.

Psychologische Grundlagen des Social Engineering

13.05.2010

von Stefan Schumacher

Social Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkoren hat. Stattdessen wird hier lieber - und vor allem effizienter - der Mensch bzw. sein Verhalten angegriffen. Ein Angreifer verwendet verschiedene Strategien und Taktiken, um aus Benutzern der Systeme Informationen wie Passwörter oder IP-Adressen herauszuholen. Mit Hilfe dieser Informationen kann er erfolgreiche Angriffe gegen Zielsysteme fahren.

Die Motivation für einen Angriff kann unterschiedlich sein, neben den professionellen Gründen wie Industriespionage oder Identitätsdiebstahl kommen auch soziale Gründe wie Rache oder Spaß und Machtgefühl in Frage. Das „richtige" Social Engineering, Human Based Social Engineering genannt, setzt zum Großteil auf soziale Beziehungen als Angriffsvektor.

Zuerst benötigt der Angreifer möglichst viele Informationen über die anzugreifende Organisation. Diese kann er aus freien Informationen, wie beispielsweise der Webseite oder Werbebroschüren, zusammensammeln und sich so ein Bild machen. Man kann auch den Müll durchwühlen und so an relevante Daten kommen. Außerdem können gewiefte Angreifer über E-Mail oder Telefon Kontakte zu Mitarbeitern herstellen und sich als jemand anders ausgeben: als ein Kunde oder Vorgesetzter beispielsweise, der dringend Informationen benötigt. Mit diesen kann er dann andere Opfer beeindrucken oder einwickeln. So kanne er anderen Mitarbeitern am Telefon beispielsweise intime Kenntnisse des Betriebs vorgaukeln oder schneller Kontakte knüpfen.

Dieses Sympathie-Aufbauen lässt sich auf verschiedenen Wegen durchführen, beispielsweise durch Verbrüderung mit Opfern, indem man einen gemeinsamen Gegner vorgibt. Andere Maschen sind Vorspiegelung von Autorität, was insbesondere in strengen Hierarchien wie Polizei, Armee oder Feuerwehr gut funktioniert. Selbst jemand, der nur Grundwehrdienst geleistet hat, kann mit etwas Geschick und Witz als Offizier auftreten und eine Dienststelle auseinandernehmen. Wer das nicht glaubt, sollte einmal die Abenteuer des Gefreiten Asch in Helmut Kirst (1954) nachlesen oder den Hauptmann von Köpenick anschauen.

Aber auch in normalen Unternehmen gibt es Hierarchien, die sich ausnutzen lassen: So kann sich der Angreifer als wichtiger Kunde oder hoher Verantwortlicher einer anderen Filiale ausgeben. Unter Aufbau einer passenden Drohkulisse kann man hier Mitarbeiter zur Herausgabe von Daten bewegen. Gerade bei Telefonaten muss der Angreifer über rhetorisches Geschick und Intelligenz verfügen.

Psychologische Grundlagen der Manipulation

Ein Social Engineer (auch Trickbetrüger oder Hochstapler) verwendet als Angriffstechnik verschiedene Beeinflussungsmethoden. Dabei helfen ihm Faustregeln und Stereotype des menschlichen Verhaltens. Diese sind feste Handlungsmuster, die praktsich jedesmal gleich ablaufen. Sie verkürzen und vereinfachen anhand von Urteilsheuristiken gedankliche Prozesse der Entscheidungsfindung. Hervorgerufen werden sie durch ein oder mehrere Auslösemerkmale. Man bezeichnet eine derartige mechanische Reaktion auf bestimmte Informationen als automatisches Verhalten.

Analysiert man solche psychologischen Reaktionen und Verhaltensweisen, kann man automatische Reaktionen besser verstehen, aber auch herbeiführen. Dazu ist es lediglich notwendig, die Auslösemerkmale für automatische Handlungsmuster zu kennen und geschickt einzusetzen.

Reziprozität

Die Regel der Reziprozität (Wechselseitigkeit) besagt, dass wir uns für erhaltene Gefälligkeiten, Geschenke und dergleichen revanchieren. Da diese Regel enormes Potential für eine Gesellschaft birgt, setzt sie alles daran, ihre Mitglieder entsprechend zu sozialisieren. So werden Menschen, die nur nehmen anstatt zu geben, schnell ausgegrenzt. Die Erwartung der Gegenleistung gilt nur dann nicht, wenn der Beschenkte nicht in der Lage ist, sich entsprechend zu revanchieren - schließlich würde niemand ein Gegengeschenk erwarten, wenn er seiner zweijährigen Nichte einen Teddybären schenkt.

Die Durchschlagskraft dieser Regel ist beeindruckend, sie wurde in Experimenten etwa von Denis Regan untersucht: Zwei Versuchspersonen sollten einige Bilder bewerten. Einer der Teilnehmer, der in Wirklichkeit ein Assistent war, verschwand nach einer Weile und brachte zwei Cola mit zurück. Eine gab er dem anderen - echten - Teilnehmer, die zweite trank er selbst. Im Anschluss an die gestellte Bildbewertung erzählte der Assistent, dass er Losverkäufer sei und noch ein paar Lose verkaufen müsse. Es verwundert nicht, dass der Verkäufer in der Gruppe, der er eine Cola spendierte, mehr Umsatz generierte als in der Kontrollgruppe ohne Cola.

Weit interessanter als diese Erkenntnis ist aber, dass der Losverkäufer den Beschenkten nicht wesentlich sympathischer erschien. Für gewöhnlich entscheidet die Sympathie darüber, ob wir einem Unbekannten einen Gefallen tun oder nicht - bei den mit Cola Beschenkten spielte dies keine Rolle mehr. Die Reziprozitätsregel ist so mächtig, dass unbeliebte Personen damit ihre Erfolgschancen wesentlich erhöhen können.

Nun kann man natürlich die Frage stellen, ob eine derartige Masche das „Opfer" nicht doch verärgern könnte und es eine gegebene Zusage nicht einhält. Miller et al. (1976) untersuchten dies in einem Experiment, in dem sie Studenten um Blutspenden baten. Zuerst baten sie darum, drei Jahre lang alle sechs Wochen zu spenden - was prompt abgelehnt wurde. Danach wurde um eine einfache Blutspende gebeten. Es ist nun nicht überraschend, dass aus dieser Gruppe wesentlich mehr Studenten wirklich zur Spende erschienen, als aus der Gruppe, die nicht um eine regelmäßige Spende gebeten wurden.

Wer A sagt...

Den Menschen wohnt ein geradezu zwanghaftes Verhalten inne, in Konsistenz mit ihren früheren Handlungen zu erscheinen, also konsequent zu sein. Wurde eine Entscheidung getroffen, treten intra- und interpsychische Vorgänge in Kraft, die uns dazu drängen, konsistent zu bleiben. In einer Studie haben Knox und Inkster (1968) Menschen, die gern auf Pferde wetten, untersucht. Nachdem die Wetter einen Wetteinsatz auf ein bestimmtes Pferd gesetzt haben, steigt die Zuversicht, dass das Pferd gewinnt.

Dieses Verhalten lässt sich auch in den beliebten „Heiligen Kriegen" beobachten. Die wenigsten Benutzer eines Systems oder Texeditors wollen ihre einmal getroffenen Entscheidungen rückgängig machen bzw. ihr widersprechen. Daher verbeißen sich die Gegner ineinander und „diskutieren" sich tot.

Die Konsistenz ist so stark, dass Menschen gegen ihre eigenen Interessen verstoßen, nur um nach außen hin als konsistent zu gelten. Moriarty (1975) führte dazu ein Experiment durch: An einem Strand breitete neben einer zufällig ausgewählten Versuchsperson ein Assistent ein Strandtuch aus und baute ein Radio auf. Nach ein paar Minuten schlenderte der Assisten von dannen und ließ das Radio zurück. Ein weiterer Assistent gab den Taschendieb, griff sich das Radio und rannte damit weg. In zwanzig Durchläufen hat nur eine einzige Versuchsperson eingegriffen und versucht, den Dieb zu stellen. Modifizierte er das Experiment, stieg die Erfolgsrate dramatisch. Der erste Assistent bat einfach seine Nachbarn, auf das Radio achtzugeben. Nun verfolgten 19 von 20 Versuchspersonen den „Dieb" und stellten ihn teils unter Einsatz körperlicher Gewalt zur Rede.

Ein wunderbares Beispiel für den kommerziellen Einsatz der Konsistenz führt Caldini im dritten Kapitel seines Buches auf: die Spielzeugbranche unter saisonalen Schwankungen. In der Vorweihnachtszeit explodiert der Umsatz, dafür bricht er nach Weihnachten umso dramatischer ein. Daher etablierten einige Unternehmen eine interessante Absatzstrategie. Zu Beginn der Vorweihnachtszeit wurde ein neues interessantes Spielzeug eingeführt und massiv und aggressiv beworben. Solch ein Beispiel ist Furby. Das Produkt wurde zwar aggressiv beworben, aber in viel zu geringer Stückzahl auf den Markt gebracht. Dies führte dazu, dass viele Eltern zwar einen Furby zu Weihnachten versprachen, aber keinen kaufen konnten. Also kauften sie ein anderes Geschenk. Nach den Weihnachtsfeiertagen setzte die Furby-Werbung erneut ein - was die Kinder wieder an ihren alten Weihnachtswunsch erinnerte. Also marschierten sie schnurstracks zu ihren Eltern und verlangten einen Furby. Da diese es ihrem Nachwuchs meist schon vor Weihnachten versprochen hatten, waren sie in der Konsistenzfalle gefangen.

Commitment

Was ist nun das Auslösemerkmal für eine solche Konsistenzreaktion? Die Sozialpsychologen gehen davon aus, dass es eine Bindung an oder eine Festlegung auf etwas ein so genanntes Commitment ist. Jede darauf aufbauende Überzeugungsstrategie arbeitet damit, uns zu einem Commitment zu bringen. Spendensammler von Wohltätigkeitsorganisationen (oder Drückerkolonnen) beginnen ein Telefonat oft mit einer Frage nach dem Befinden. Antwortet der Angerufene, dass es ihm gut geht, gibt er schon ein Commitment ab. Im weiteren Verkaufsgespräch wird darauf zurückgegriffen und versucht, die Spendenbereitschaft zu erhöhen, indem von der misslichen Lage der Spendenbegünstigten berichtet wird.

Viele Vertreter oder Verkäufer beginnen eine „Spirale der Willfährigkeit" in Gang zu setzen. Dazu drängen sie den Kunden dazu, eine Reihe kleinerer Commitments abzugeben. Drückerkolonnen, die Zeitschriftenabos verticken, fangen beispielsweise immer mit der Frage „Sehen sie sich gerne Filme an?", um das Opfer einzuwickeln. Auch einige Tierschutzorganisationen (die meist mehr an Geld als an Tierschutz interessiert sind) beginnen häufig mit der Frage, ob man Tiere möge.

Die Taktik, mit einer kleinen Bitte zu beginnen, um sich dann zur großen vorzuarbeiten, wird in der Sozialpsychologie und im Marketing „Fuß-in-der-Tür-Taktik" genannt. Hat man das Selbstbild einer Person erst einmal in eine neue Rolle manipuliert, tut die Person nahezu alles, um mit dem neuen Selbstbild konsistent zu bleiben.

Allerdings wirken nicht alle Commitments gleich: Es muss aktiv, öffentlich, mit Anstrengungen verbunden und freiwillig sein. Ein aktives Commitment ist das Versprechen, etwas zu tun. In der umgekehrten Form - nicht versprechen, etwas nicht zu tun - zeigt es keinen großen Einfluss. Ein öffentliches Commitment zeigt mehr Wirkung, als ein nicht-öffentliches, schließlich wird dieses ja nicht bekannt und kann so das Bild einer Person ändern. Am effizientesten ist eine schriftliche Verpflichtung. Dies ist ein unumstreitzbarer materieller Beweis für eine Festlegung. Deshalb empfehlen auch viele Diät- oder Anti-Rauch-Ratgeber, die gefassten Vorsätze schriftlich niederzulegen.

Wichtiger noch ist, dass es kein „Belohnungshintertürchen" geben darf. Jemand, der ein Commitment nur wegen einer hohen Belohnung abgegeben hat, wird nicht so stark daran gebunden, wie jemand, der keine oder nur eine niedrige Belohnung bekommt. Es geht nicht darum, jemandem irgendein Commitment abzuringen, sondern er muss die volle Verantwortung dafür übernehmen.

Ein Versuch beweist diese These: Man verbot mehreren sieben- bis neunjährigen Jungen, mit einem besonders interessanten Spielzeug zu spielen. Und wer Jungs kennt - insbesondere in dieser Altersgruppe - weiß, dass Verbote etwas nur wesentlich interessanter machen. Eine Gruppe wurde mit einer Drohung dazu gebracht, die andere mit einer Begründung. In beiden Gruppen, jeweils 22 Jungen stark, spielte nur ein einziger verbotenerweise mit dem Spielzeug.

Sechs Wochen nach dem Test wurden dieselben Gruppen wieder in Kontakt mit dem Spielzeug gebracht. Diesmal wurde kein Verbot ausgesprochen, so dass 17 Jungen aus der „Drohungsgruppe" sofort zum verbotenen Spielzeug griffen. Da sie nun nicht mehr mit der Bestrafung rechnen mussten, wurde das sechs Wochen vorher ausgesprochene Verbot quasi wirkungslos. In der zweiten Gruppe, die mit einer Begründung vom Spielzeug abgehalten worden waren, griffen nur sieben Jungen zum verbotenen Spielzeug.

Die erste Gruppe hatte also sehr schnell erkannt, dass der Testleiter nicht mehr da war, um seine Drohung wahrzumachen. Nur wenn die Jungen befürchteten, ertappt und bestraft zu werden, hielten sie sich an das Verbot. Die zweite Gruppe hingegen wurde nicht mit einer Strafandrohung vom Spielzeug ferngehalten, sondern mit einer Begründung. Das erste Testergebnis entsprach dem der ersten Gruppe - nur jeweils ein Junge spielte mit dem verbotenen Spielzeug. Das Entscheidende spielt sich im Inneren der Jungen ab - in der zweiten Testgruppe gelangten sie zu dem Entschluss, nicht mit dem Spielzeug spielen zu wollen.

Ein im Marketing bzw. im Verkauf eingesetzter Trick des Commitments ist die sogenannte „throwing a low ball"-Taktik. Hierbei wird ein PKW unter dem üblichen Marktwert angeboten. Natürlich erhöht dieses Schnäppchen den Absatz, es werden mehr Kunden angelockt. Wenn diese dann den Vertrag unter Dach und Fach bringen wollen, bemerkt der Verkäufer oder die Finanzierungsbank, dass der Betrag zu niedrig ist und man den Preis auf das marktübliche Niveau erhöhen muss. Normalerweise würde man davon ausgehen, dass verärgerte Kunden diese Autohäuser scharenweise verlassen und nie wieder betreten. Das Gegenteil ist aber der Fall: Sehr viele Kunden kaufen den Wagen trotzdem - da sie eben schon einige Commitments gemacht haben, als sie den „Papierkram" ausfüllten.

Abwehrstrategien

Konsistentes Verhalten ist - wir auch alle anderen automatischen Reaktionen - von großem Nutzen für uns und die Gesellschaft. Es ermöglicht uns, Situationen schnell und meist effizient einzuschätzen und uns angemessen zu verhalten. Die Gesellschaft hingegen kann das Verhalten einzelner Personen besser beurteilen und voraussagen, wenn diese sich konsistent verhalten.

Daher fällt es schwer, auf konsistentes Verhalten zu verzichten und jede Entscheidung erneut abzuwägen. Es gibt allerdings Signale, auf die man achten sollte. Zum einen ist es das Bauchgefühl, zum anderen der „Grund des Herzens". Meist merken Menschen im Magen oder im Herzen, ob sie betrogen oder ausgenutzt werden sollen. Es gibt einige Studien, die belegen, dass wir Gefühle Sekundenbruchteile vor unserer verstandesgemäßen Antwort wahrnehmen.

Wenn sie also Zweifel an der Ehrlichkeit einer Person haben, stellen sie sich die folgende Frage: „Bei dem, was ich jetzt weiß, wie würde ich mich entscheiden?" Achten sie dabei auf ihre erste Gefühlsregung oder Intuition, wenn sie das so nennen wollen. Spätestens wenn sich hier Zweifel einstellen, sollten sie alle jetzt bekannten Fakten neu überdenken und auf Basis dieser Informationen die Entscheidung treffen.

Sympathie

Nicht wirklich überraschend ist, dass uns sympathische Menschen eher zu etwas verleiten können. Jeder vernünftige Verkäufer versucht, dem Kunden gegenüber besonders sympathisch zu erscheinen. Sympathie verstärkt alle anderen eingesetzten Überzeugungstricks.

Da die Sympathie eine sehr große Rolle spielt, wird sie oft als Waffe eingesetzt - aber auch sehr gut erforscht. Daher gibt es Anhaltspunkte dafür, was uns jemanden als sympathisch erscheinen lässt.

Besonders stark lassen wir uns von besonders attraktiven Menschen beeinflussen. Hier führt der sogenannte Halo-Effekt dazu, dass die herausstechende Eigenschaft Attraktivität alls anderen Eigenschaften überstrahlt. Testpersonen schrieben einer besonders attraktiven Person automatisch besonders positive Eigenschaften zu.

Ein weiterer, leicht anzupassender Faktor ist Ähnlichkeit. Sympathie und Hilfsbereitschaft steigen gegenüber Menschen, die uns ähnlich gekleidet sind, neben der äußeren Erscheinung können auch die Herkunft oder ähnliche Interessen Sympathie erzeugen.

So versuchen beispielsweise Autohändler, aus dem Auto des Kunden Rückschlüsse auf seine Hobbies zu ziehen und diese dann als eigene Hobbies auszugeben. Mehrere Untersuchungen zeigen, dass selbst belanglos erscheinende Ähnlichkeiten ihre Wirkung nicht verfehlten, so zeigte Evans anhand von Verkaufsunterlagen von Versicherungen, dass Kunden eher geneigt waren, eine Versicherung abzuschließen, wenn zum Vertreter Ähnlichkeit hinsichtlich Alter, Religion, politischer Einstellung oder Rauchen bestand.

Schmeicheleien, Sympathiebekundungen oder Flirts sind Möglichkeiten, jemanden für ein Anliegen zugänglich zu machen. Selbst wenn die Schmeicheleien offensichtlich der Manipulation dienen, zeigen sie noch Wirkung. Die Komplimente müssen gar nicht unbedingt zutreffend sein, um zu wirken. Positive Kommentare brachten dem Schmeichler stets gleich viel Sympathie ein, ob sie nun stimmten oder nicht.

Abwehrstrategien

Es gibt auch hier wieder kein Abwehrrezept, sondern nur verschiedene Punkte, die alarmieren sollten. Finde ich das Gegenüber attraktiver / sympathischer / ähnlicher als es sein sollte? Würde ich das Produkt auch kaufen, wenn es mir ein anderer Verkäufer präsentieren würde? Würde ich die Information herausgeben, bzw. den Gefallen tun, wenn es sich um jemanden anders handeln würde? Wurde die Sympathie zu schnell aufgebaut?

Autorität

Besonders interessant ist, dass wir nicht unbedingt auf „echte" Autorität reagieren, sondern auch auf vermeintlich zur Schau gestellte. In den USA lief mehrer Jahre ein Werbespot für entkoffeinierten Kaffee. Der Werbeträger war Robert Young - in seiner Fernsehrolle als Dr. med. Markus Welby. Obwohl die Zuschauer alle wussten, dass Young kein Arzt ist, verhalt er dem Produkt zum Durchbruch.

Verschiedene Untersuchungen identifizieren drei Autoritätssymbole: Titel, Uniformen und Luxus.

Schon 1966 wurde ein interessantes Experiment über Fehlmedikamentierungen in Krankenhäusern durchgeführt. Einer der Forscher rief in 22 Krankenhausabteilungen an, gab sich als dortiger Arzt aus und trug dem Pflegepersonal auf, einem bestimmten Patienten 20 mg Astrogen zu verabreichen.

Aus vier guten Gründen hätte die Schwester oder der Pfleger auf diese Anweisung mit Misstrauen reagieren müssen:

(1) Die Anordnung wurde per Telefon gegeben, was eine Verletzung der Grundsätze des Krankenhauses bedeutete.

(2) Das Medikament durfte gar nicht verordnet werden. Astrogen war weder zum Gebrauch freigegeben noch befand es sich regulär auf der Bestandsliste der Station.

(3) Die verschriebene Dosis war eindeutig zu hoch. Auf der Packung stand unmissverständlich, dass die Tageshöchstdosis bei 10 Milligramm lag, die Hälfte der verschriebenen Menge.

(4) Die Anordnung kam von jemandem, den die Pflegekraft nie zuvor persönlich kennengelernt oder wenigstens telefonisch gersprochen hatte.

Dennoch ging der Pfleger bzw. die Krankenschwester in 95 % der Fälle unverzüglich zum Medizinschrank der Station, entnahm die verschriebene Dosis Astrogen und machte sich auf den Weg zum Zimmer des Patienten, um sie ihm zu verabreichen. An diesem Punkt griff ein heimlicher Beobachter ein und klärte die Pflegekraft darüber auf, dass es sich um ein Experiment handelt.

Einer weiteren Studie nach ragieren Autofahrer respektvoller auf große Luxuswagen. Ein alter Kleinwagen und ein neuer Oberklassewagen warteten an einer Ampel und nicht sofort bei Grün los. Der Kleinwagen wurde fast immer angehupt und zweimal sogar angerempelt, der Oberklassewagen aber nur in ca. 50 % der Fälle. Später befragten die Veruchsleiter Studenten, wie sie sich in der Situation verhalten hätten: Fast alle gaben an, den Oberklassewagen anhupen zu wollen, und zwar nach recht kurzer Wartezeit.

Ein weiteres Autoritätssymbol ist die Kleidung. Verschiedene Studien zum Gehorsam zeigten, dass lediglich 42 % der Bitte eines Mannes in Straßenkleidung nachkamen, aber 92%, wenn der Mann eine Wachdienstuniform trug.

Abwehrstrategien

Ein wichtiger Punkt ist die Ausschaltung des Überraschungsmoments. In der Regel wird Autorität nicht bewusst wahrgenommen, aber trotzdem beachtet. Daher ist es sinnvoll und hilfreich, generell mehr Aufmerksamkeit auf die eigenen Entscheidungen zu legen.

Ebenfalls wichtig ist es, festzustellen ob die Autorität echt oder vorgetäuscht ist. Bei Polizisten o. ä. Autoritätspersonen sollte man den Dienstausweis überprüfen. Ebenso sollte man in Organisationen die Einführung von Dienstausweisen überprüfen.

Außerdem ist es wichtig, auch den Autoritätspersonen klarzumachen, dass sie ihre Autorität nicht missbrauchen dürfen. Gilt im Rahmen der Sicherheitsrichtlinie eine Ausweispflicht, dürfen Abteilungsleiter, Manager usw. diese nicht ignorieren. Setzen sie sich darüber hinweg, unterminieren sie die gesamte Sicherheitskultur. Halten sie sich daran, helfen sie alleine durch ihre Autorität.

Bei Titeln, wie einem Doktor oder Professor, sollte man nachforschen, ob die Institution vertrauenswürdig ist. Außerdem sollte man darauf achten, wessen Interessen die Autorität vertritt. Handelt sie in meinem Sinne oder gegen mich?

Fazit

Es gibt keinen „Abwehrzauber" gegen Social Engineering, denn dabei handelt es sich um Verhalten, das in der Regel sozial erwünscht ist. Technische Maßnahmen sind nicht in der Lage, derartige Vorfälle zu verhindern, da es sich um ein soziales Problem handelt.

Es reicht daher nicht, einfach Daten zu verschlüsseln, zu sichern, zu löschen oder die Systemcalls zu überwachen. Zur Abwehr wird die Fähigkeit benötigt, soziale Beziehungen und Kontexte zu deuten. Dass dies von Computern nicht geleistet werden kann, zeigen schon einfache automatische Übersetzungsversuche. Vielmehr ist es notwendig, in Untersuchungen ein Sicherheitsbewusstsein zu schaffen.

Dabei ist darauf zu achten, dass es zu Einstellungs- und Verhaltsänderungen kommt, sowie Lerntransfere sichergestellt werden. Daher ist es notwendig, eine Didaktik der Sicherheit bzw. des sicherheitsbewussten Verhaltens zu entwickeln. Die vorgestellten Grundlagend es Social Engineerings lassen sich weder verhindern noch ausschalten, denn sie stellen auch die Grundlagen unseres sozialen Zusammenlebens als „Zoon Politikon" dar.

Erfolgreiches Social Engineering setzt oft bei der mangelnden Authentifizierung des Angreifers an. Daher ist es notwendig, sinnvolle Authentifizierungsmechanismen (z.B. Dienstausweise, Anruf-Parolen o. ä.) zu etablieren. Dabei gilt es aber, derartige technische Lösungen sozial akzeptabel zu machen.

Eine sinnvolle Maßnahme kann es sein, Schulungen zum Thema Social Engineering im Rahmen einer Security-Awareness-Kampagne durchzuführen. Dabei ist es aber notwendig, Sicherheit als Teil der Firmenkultur zu begreifen und nicht als mechanistisches Element, das belieibig manipuliert werden kann.

Quelle: die datenschleuder Nr. 94, Hrsg.: Chaos Computer Club e.V.
... mit dem Blick fürs Wesentliche.
Schauen Sie gerne einmal in unsere Unternehmensbroschüre rein.

Download: Broschüre (pdf, 1,2 mb)