Wichtige Lektüre für Angestellte und Firmenleiter
Ein Gespräch, das vielleicht stattfinden könnte oder vielleicht schon stattgefunden hat:
Das Telefon in der Buchhandlung klingelt.
"Hallo, hier ist Jari von der Buchhandlung Soundso."
"Ja, hallo, hier ist Klaus von der Filiale am Ende der Stadt. Du, hier ist etwas ziemlich schief gelaufen und der Kunde tobt. Sein bestelltes Buch hätte hier bei uns sein sollen, ist es aber nicht. Er hat auch schon bezahlt und braucht es dringend jetzt. Ihr habt doch noch eines vorrätig, nicht wahr?"
"Haben wir, ja."
"Super! Könntest du es für den Kunden zur Seite legen? Er holt es gleich ab. Bezahlt hat er schon, das habe ich alles schon überprüft. Gib es ihm einfach mit, ok?"
Etwas später erscheint der Kunde, nimmt sein Buch und verschwindet. Später stellt sich heraus, dass es in der Filiale am Ende der Stadt gar keinen Mitarbeiter mit dem Namen Klaus gibt. Das Buch ist natürlich auch nie bezahlt worden.
Das ist ein relativ harmloses Beispiel, wie Social Engineers Menschen ausnutzen, um an Informationen und/oder Gratisprodukte zu kommen. Ein einzelnes Buch mag ein Geschäft nicht schwer treffen, doch die von Mitnick angeführten Beispiele zeigen auf, wie auf eine ähnliche Art und Weise Schaden in Millionenhöhe entstehen kann. So wurde einer Firma die Arbeit von zwei Jahren innerhalb kürzester Zeit zunichte gemacht, indem alle Unterlagen ihres neuen Produktes geklaut und an eine andere Firma weiterverkauft wurden. Und das einfach, indem jemand danach gefragt hat.
Eindrücklich auch das Beispiel der Wette des Vaters mit seinem Sohn. Der Vater geht relativ lax mit seinen Kreditkartenangaben um. "Die sind doch gut geschützt", denkt er. Der Sohn sieht das anders und meint, er könne alle relevanten Informationen erhalten, ohne dass er vom Tisch aufstehen müsse. Innerhalb von 10 Minuten. Top, die Wette gilt. Der Sohn zückt sein Telefon, wendet seine Fähigkeiten als Social Engineer an und erhält nicht nur die Kreditkartennummer und Ablaufdatum, sondern auch das Geburtsdatum des Vaters. Alles, in dem er einfach danach gefragt hat.
Auch finden sich Geschichten darüber, wie Informationen aus Hochsicherheitsgefängnissen oder von hohen Ämtern entwendet wurden. Also von Orten, an denen man mit einer hohen Anforderung an die Sicherheit rechnet.
Mitnick zeigt uns in seinem Buch die Tricks und Kniffe der Angreifer und hängt dem Leser ein gutes Werkzeug aus, wann er aufmerksam und vorsichtig werden sollte. Im Grossen und Ganzen wendet sich der Autor an die Führungsetage einer grösseren Firma, die die Möglichkeit hat, Änderungen und Regeln in Bezug auf die Sicherheit durchzuführen. Aber auch als einfacher Angestellter (wie ich es bin) erfährt man viel darüber, was eine gut gemeinte Auskunft alles anrichten kann.
Zwar hat das Buch schon ein paar Jährchen auf dem Buckel (Originalausgabe erschien 2002), aber an der grundsätzlichen Aussage Mitnicks hat sich nichts geändert. Die Medien mögen andere sein, vielleicht auch die Quellen der Angriffe, aber da das Handwerk der Social Engineers auf den Menschen abzielt, sind diese Vorgehensweisen noch immer dieselben.
Auch ich habe schon arglos Informationen weitergegeben. Dies wird nun nicht mehr vorkommen. Man mag denken "Wieso sollte jemand ein so kleines Geschäft wie unseres angreifen wollen?", aber genau mit dieser Haltung rechnen die Angreifer. Niemand geht davon aus, dass der freundliche Herr am Telefon, der so sehr in der Misere steckt, gar nicht der ist, der er zu sein scheint. Es geht dabei nicht um Informationen wie "wo finde ich die Post?", sondern um Daten, die man nicht einfach blindlings jemandem anvertrauen sollte.
Jemand möchte ein Passwort wissen? Vorsicht ist geboten! Etwas herunterladen? Lieber erst vergewissern, dass man wirklich mit jemandem aus der IT spricht!
Nach der Lektüre dieses Buches werde ich vorsichtiger sein, auch unseren Kunden zuliebe. Ich möchte nämlich nicht, dass deren Daten in die Finger irgendwelcher Krimineller geraten! Ausserdem muss ich dringend meine Passwörter ändern...