19.06.2013, 10:00 Uhr | 0 |

Sichere IT reicht nicht Betriebsspionage setzt häufig beim Menschen an

Mit Hilfe sozialer Kontakte gelangen Spione an vertrauliche Informationen. Diesem sogenannten Social Engineering kann nicht alleine mit technischen Mitteln begegnet werden. Die Sensibilisierung der Mitarbeiter stehe an erster Stelle. Das erklärte Andreas Schnitzer, Sicherheitsexperte des Beratungsunternehmens HSV Consulting für Business-Security auf dem Kongress der Studenten und Jungingenieure.

In der Kantine oder Kneipe wieder zu viel erzählt, dem sympathischen, aber unbekannten Kollegen die Sicherheitstür aufgehalten oder dem vermeintlichen IT-Fachmann am Telefon das eigene Passwort verraten – die Sicherheitslücken in Unternehmen liegen meist beim Faktor Mensch.

Auch Betriebsspione wissen das und setzen an diesem Punkt an. Das erklärte Andreas Schnitzer, Sicherheitsexperte des Beratungsunternehmens HVS Consulting für Buisness-Security, auf dem Kongress der Studenten und Jungingenieure beim Deutschen Ingenieurtag. Generell sei Industriespionage eine Wachstumsbranche.

Umsatzverlust von 50 Milliarden Euro durch Industriespionage bei deutschen Firmen

Das Bundesamt für Verfassungsschutz geht davon aus, dass deutsche Firmen allein 2010 einen Umsatzverlust von über 50 Mrd. € durch ungewollten Know-how-Abfluss erlitten haben. "Und das Ausspionieren von Unternehmen ist leichter als gemeinhin vermutet", sagte Schnitzer.

Der Sicherheitsexperte aus München spricht dabei aus eigener Erfahrung. Als Social Engineer macht er Unternehmen auf Schwachstellen aufmerksam. Dabei greift Schnitzer tief in die Trickkiste und versucht unter Vorspiegelung falscher Tatsachen Zugriff auf relevante Informationen zu bekommen.

Spionage mit und ohne technische Hilfsmittel

Bei der Betriebsspionage unterscheidet man zwischen dem Human-Based und dem Tool-Based Social Engineering.

Beim Human-Based Social Engineering verwendet der Spion keinerlei technische Hilfsmittel. Hier versucht er die Mitarbeiter mithilfe von psychologischen Methoden, so zu manipulieren, dass sie ihm die gewünschten Informationen verraten. Der Spion setzt Lockmittel ein, strahlt Hilfsbedürftigkeit aus oder erzeugt Druck oder Schuldgefühle bei seinen ahnungslosen Opfern.

Beim Tool-Based Social Engineering setzt der Spion zusätzlich technische Hilfsmittel ein. So bringt er z. B., nachdem er sich durch seine psychologischen Tricks und sein schauspielerisches Talent Zugang zu Büroräumen verschafft hat, kleine Kameras und Mikrofone an oder installiert auf den Rechnern Spionagesoftware wie z. B. Trojaner und Keylogger.

Abwehr: Sichere IT als allein reicht nicht aus

Um der Betriebsspionage entgegenzuwirken wäre eine sichere IT Voraussetzung. Sie reiche aber bei Weitem nicht aus, so Schnitzer. "Verlassen sich die Mitarbeiter auf die Technik, hat es ein Spion, der Social-Engineering-Methoden einsetzt, meist noch leichter", betont der Sicherheitsexperte weiter.

An erster Stelle stünde daher die Sensibilisierung der Mitarbeiter. Sie sollen durch gezielte Schulungen lernen zu erkennen, wann sie jemand versucht gezielt auszuhorchen oder ihre Freundlichkeit auszunutzen.

Dabei sei es nötig, die Mitarbeitersensibilisierung in eine Einführung unternehmensweiter Sicherheitsmaßnahmen einzubetten, betont Schnitzer. So sollten Unternehmen z. B. Sicherheitsrichtlinien einführen, sicherheitsrelevante Prozesse optimieren, diese dokumentieren und eine Regelung für den Katastrophenfall bestimmen.

Um die Effizienz der Maßnahmen zu steigern, könnten Unternehmen auch externe Dienstleister ins Boot holen. Diese verfügten oft über das größere Know-how und wirke einer möglichen Betriebsblindheit bei der Erstellung von Sicherheitsmaßnahmen entgegen. "Sicherheitsbewusste Unternehmen schaffen sich so einen deutlichen Wettbewerbsvorteil", sagt Schnitzer. Der Dienstleister müsse aber, wie jeder andere externe auch, im Hinblick auf die Vertrauenswürdigkeit und Referenzen überprüft werden. 

Anzeige
Von Christoph Böckmann | Präsentiert von VDI Logo
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden