Foto: Kraiss & Wilke Security Consult

Die Quadratur des Kraiss

Subtil

Wer das Wort „subtil“ hört, denkt in erster Linie an „unterschwellig“. Aus dem lateinischen Wort „subtexilis“ kommend, bedeutet es „fein unter anderes gewebt“. Im Deutschen entstanden daraus unterschiedliche Anwendungen. Dem Wortstamm am ähnlichsten, kann es „fein strukturiert“ bedeuten. Es kann auch „unterschwellig“ bedeuten oder in Verbindung mit „großer Sorgfalt“, „Genauigkeit“ oder „Präzision“ verwendet werden. So bezeichnet man beispielsweise fein ausgeklügelte und nuancierte Methoden oder Vorgehensweisen als subtil.

Auf dem Titelbild des Spiegels vom 6. Februar 2016 prangt groß der Kopf von Frauke Petry. Der Blick nach vorn gerichtet, die Augen kritisch zugekniffen, leichte Sorgenfalten, das Kinn energisch vorgestreckt, die Lippen geschlossen. Unterschwellig denkt man sofort an Portraits aus der NS-Zeit. Ein Narr, der glaubt, das Bild wäre rein zufällig gewählt worden. Im Gegensatz dazu tritt Frauke Petry in Talkshows eher engelsgleich auf: dunkler Hosenanzug, weiße oder blaue Bluse, dezent geknöpft, klarer Gesichtsausdruck, die Lippen meist geschlossen, unmerklich geschminkt, immer leicht lächelnd, aufmerksam zuhörend, wohlbedacht formulierend, radikale Äußerungen relativ sanft verpackend und immer wieder mit einem leichten Lächeln. Der Look ist subtil fein strukturiert, ist ähnlich dem der dynamischen und erfolgreichen Frauen, denen man in den Aufzügen und Foyers Frankfurter Bürohochhäuser begegnet. Äußeres, Auftreten und Äußerungen sind ausgeklügelt, nuanciert und wirken unterschwellig, eben subtil.

Nicht neu, aber bewährt

Kleider machen Leute, Worte können beeindrucken. Mark Twain sagte einmal: „Der Unterschied zwischen dem richtigen und dem beinahe richtigen Wort ist wie der Unterschied zwischen einem Blitz und einem Glühwürmchen.“ Worte können zu Waffen werden. Wer die Klaviatur der Worte, der Gesten und menschlicher Schwächen versteht, beherrscht es meisterlich, Menschen subtil zu manipulieren.

Manipulation ist seit jeher ein wichtiges Werkzeug, auch der Populisten und der Spione. Social Engineering ist nichts anderes als Spionage. Wo Cyberangriffe und Hacking versagen, wird auf klassische Angriffsmethoden der Spionage zurückgegriffen. Besonders subtil wird die „Schwachstelle Mensch“ ausgenutzt. Hilfsbereitschaft, Prahlsucht, Ignoranz, Wunsch nach Anerkennung oder auch Rache werden so gekonnt, so subtil ausgenutzt, dass der Angriff meist nicht erkannt und in den wenigsten Fällen nachgewiesen werden kann. Wer den Feind nicht kennt, wer Angriffstaktiken nicht erkennt, und wer nicht weiß, dass er ein begehrenswertes Ziel ist, der wird hoffnungslos unterliegen. Das Subtile an dieser Methode der Informationsbeschaffung ist, dass in der Regel kein wirklich Schuldiger auszumachen ist, dass dem Angegriffenen kein Vorsatz, sondern höchstens Fahrlässigkeit oder Leichtsinn vorzuwerfen wäre.

Sensibilität ist gefragt

Spione suchen sich gerne Verbündete. Im Fall des Social Engineerings fallen sie ihnen in Form unsensibler Führungsverantwortlicher förmlich in den Schoß. Wer die Gefahr nicht kennt, oder sie schlichtweg ignoriert, ist der beste Freund des Angreifers.

Abwehrinstrumente gegen Social Engineering sind in erster Linie Erkenntnis, Verantwortung, Organisation, Sensibilisierung und Mitarbeiterschulung. Wer mit einer gesunden Portion Sensibilität ausgestattet ist, dem kann eine subtile „Anmache“ nichts anhaben. Um sich gegen Social Engineering erfolgreich zu schützen, ist es wichtig zu wissen, welche Informationen öffentlich und nicht öffentlich sind. Egal ob an der Bar oder am Telefon – Fremden gegenüber sollte man sich mit der Preisgabe von Informationen grundsätzlich zurückhalten. Nicht mit Wissen prahlen und immer ein wachsames Auge auf die Umgebung haben. Sich im Netz zurückhalten und das Berechtigungsmanagement seines Unternehmens nicht als „Hemmschuh“, sondern als notwendige Sicherheitsmaßnahme sehen. Wer mit Wissen grundsätzlich sensibel umgeht, kennt bereits die wichtigsten Verhaltensregel gegen Social Engineering.

Sich mit Populisten nicht auseinanderzusetzen und ihnen die kalte Schulter zu zeigen, ist wenig hilfreich. Personen, die mit der „Antanzmethode“ Taschendiebstähle kaschieren, als „Fachkräfte für rhythmische Eigentumsübernahme“ zu bezeichnen, ist auch nicht hilfreich. Informationssicherheit nur auf IT zu reduzieren, ist schon fast fatal. Mir gefällt der Gedanke, dass Abwehrmaßnahmen gegen Informationsverlust nicht nur „technisch“, sondern mehr „menschlich“ gesehen werden.

Foto: Thinkstock/Push

Coach mit Fred Maro

Die Gefahr von innen

Während sich Unternehmen über die Spionagegefahr durch ausländische Geheimdienste den Kopf zerbrechen, stiehlt man ihnen meist unbemerkt wichtiges unternehmerisches Wissen. Die größte Gefahr für die Betriebsgeheimnisse droht nicht durch Hacker, sondern von – meist beauftragten – Spezialisten für „Social Engineering“.

Foto: Fotolia/ArTo

Datenklau

Willkommen in der Realität

Fast täglich ist über spektakuläre Datendiebstähle oder Hackingversuche zu lesen, und es betrifft „prominente“ Opfer wie Behörden, Banken oder Versicherungen ebenso wie die „normale“ Wirtschaftswelt. W&S befragte zum Thema Datenabfluss und Abwehrstrategien den IT-Sicherheitsberater Wolfram Funk, Principal Consultant bei der Steria Mummert Consulting AG.

Foto: qSkills

4. qSkills Security Summit

Vom Feind auf leisen Sohlen

Im Rahmen des vierten qSkills Security Summit, am 10. Oktober 2011 in Nürnberg, zeigten Experten aus dem Security- und Risk-Umfeld praxisnahe Wege zu mehr Sicherheit und Sensibilität im Umgang mit der Ware Nummer eins: Informationen.

Foto: NTT Security

Social Engineering als Waffe

Keine gläserne Firma

Rein technische Angriffe auf eine Unternehmens-IT sind bei weitem nicht mehr so erfolgversprechend, wie sie es noch vor einigen Jahren waren. Die Täter verschaffen sich daher durch Social Engineering Informationen sozusagen über die Hintertür. Die Betroffenen unterschätzen die daraus entstehenden Risiken, gegen die es keine formalen Abwehrmaßnahmen gibt.