Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

Dirk Drechsler über die Aktualität von Social Engineering (Foto: privat)
Nachgefragt bei: Prof. Dr. Dirk Drechsler

Drechsler: „Das Social Engineering ist eine Form der Cyberkriminalität”

ESV-Redaktion Management & Wirtschaft
24.10.2019
Die Techniken des Social Engineering stellen Unternehmen aller Größen vor ein erhebliches Problem. Über die neuen Herausforderungen, die mit der  Fortentwicklung digitalwirtschaftlicher Ökosysteme entstehen, gibt Prof. Dr. Dirk Drechsler, Herausgeber des Bandes „Schutz vor Social Engineering”, der ESV-Redaktion im Interview Auskunft.



Herr Drechsler, Sie haben ein Buch mit dem Titel Schutz vor Social Engineering herausgegeben. Können Sie uns kurz beschreiben, was Social Engineering bedeutet?


Dirk Drechsler: Mit den Techniken des Social Engineering beabsichtigt ein Angreifer, eine Zielperson zu einer Entscheidung zu bringen, ohne dass dabei nachgedacht wird. Das betrifft im weitesten Sinne ein routinemäßiges Verhalten. Dazu wendet der Cyberkriminelle manipulative Techniken an, nutzt menschliche Eigenschaften wie beispielsweise Hilfsbereitschaft oder Autoritätshörigkeit aus und gelangt dadurch in die Räumlichkeiten oder IT-Systeme eines Unternehmens. Sofern das eigentliche Ziel nicht erreicht ist, geht es manipulativ und/oder technisch weiter.

Haben Sie ein Beispiel aus der Praxis für eine Social-Engineering-Attacke?

Dirk Drechsler: Eine besonders lohnenswerte Masche ist der CEO-Fraud, zu deutsch Chefbetrug. Der Cyberkriminelle gibt sich per E-Mail als Führungskraft oder Vorsitzender der Geschäftsleitung bzw. des Vorstands aus. Ziel ist es, den Mitarbeiter der Finanzabteilung zur Überweisung eines höheren Geldbetrags zu veranlassen. Der Flugzeugzulieferer FACC überwies beispielsweise Ende 2015 bzw. Anfang 2016 bis zu 50 Millionen Euro nach China, Taiwan und in die Slowakei. Der Internetbetrüger konnte den Mitarbeiter der Finanzabteilung davon überzeugen, dass er sich in der Person des Vorstandsvorsitzenden an ihn wendet und der Kommunikationsaustausch in Form von 40 E-Mails absolut vertraulich zu behandeln ist. Die öffentlich verfügbaren Informationen über diesen Vorfall sprechen davon, dass zum einen der Faktor Mensch Opfer der Manipulation wurde und interne Prozesse im Finanzbereich nicht adäquat funktioniert haben. Zudem wurden Kreditlinien bei Banken überzogen und der bestehende Kreditrahmen ausgeschöpft.  

Haben Sie noch ein weiteres Beispiel?

Dirk Drechsler: Ein etwas älteres Beispiel wurde mit „Catch me if you can” bereits filmisch umgesetzt. Frank Abagnale brachte als Hochstapler, Scheckbetrüger und Dokumentenfälscher Banken, Hotels und andere Unternehmen dazu, Bargeld auszuzahlen bzw. Produkte oder Dienstleistungen bereitzustellen. Das ist die klassische Form der Manipulation unter nur geringer Zuhilfenahme von Technologie.

Zur Person

Dr. rer. soc. HSG Dirk Drechsler ist Professor für betriebswirtschaftliches Sicherheitsmanagement mit den Schwerpunkten Risiko-, Betrugs- und Compliance-Management an der Hochschule für angewandte Wissenschaften in Offenburg. In seiner letzten praktischen Funktion bei der FUCHS Petrolub SE verantwortete er das konzernweite Audit, Risikoreporting und Kapitalkostencontrolling als Head of Internal Audit. Er führte risikoorientierte Prüfungen in mehr als 30 Ländern durch. Seine Promotion schloss er in St. Gallen auf dem Gebiet der Wirtschaftskriminalität ab.

Nun ist Social Engineering nicht wirklich neu, dennoch bleibt das Thema aktuell. Warum eigentlich?

Dirk Drechsler: Nachdem der Erich Schmidt Verlag mit einem Buchvorschlag an mich herangetreten ist, habe ich tatsächlich lange überlegt, ob eine Abhandlung dazu Sinn macht. Autoren wie Kevin Mitnick und Christopher Hadnagy haben sehr umfänglich dazu beigetragen, unser Verständnis bezüglich Social Engineering zu verbessern. Ich empfehle nach wie vor jedem, der Interesse hat oder sich berufsbedingt damit auseinandersetzen muss, die Monografien intensiv zu studieren. Aber Cyberkriminelle entwickeln sich genauso weiter wie wirtschaftliche Organisationsformen oder verwendete Technologien. Für das Social Engineering bedeutet das eine Kombination mit anderen Formen der Cyberkriminalität. Der aktuelle IOCTA-Bericht - die Abkürzung steht für Internet Organised Crime Threat Assessment - von EUROPOL kategorisiert es als einen von mehreren kriminellen Querschnittsfaktoren (engl.: cross-cutting crime factors) neben Geld, Kryptowährungen und weiteren zukünftigen Herausforderungen. Der von mir herausgegebene Sammelband thematisiert zudem die neuen Themen, die mit der stetigen Fortentwicklung digitalwirtschaftlicher Ökosysteme entstehen. Die sich dadurch entwickelnde Angriffsoberfläche ist größer, komplexer und stärker verflochten als je zuvor. Die vielen Vorteile der bestehenden und weiterwachsenden Hyperkonnektivität führen bei unzureichender Absicherung zu neuen Schwachstellen. Der Faktor Mensch steht im Mittelpunkt dieser Entwicklung. Sie können sicher sein, dass sich Cyberkriminelle dessen bewusst sind.

Die Kombination aus analogen und digitalen Schwachpunkten macht den Schutz vor Angriffen so schwierig für Unternehmen. Welcher Schwachpunkt ist schwieriger in den Griff zu bekommen: Die Technik oder der Mensch?

Dirk Drechsler: Das Social Engineering ist ja nur eine Form der Cyberkriminalität. Menschen und Technologie müssen gleichermaßen berücksichtigt werden. Beides stellt die Verantwortlichen vor erhebliche Herausforderungen.

Die Fortsetzung des Interviews lesen Sie auf COMPLIANCEdigital.de.

Schutz vor Social Engineering

Erscheinungstermin: 01.10.2019

Herausgegeben von: Prof. Dr. Dirk Drechsler

Wirtschafts- und Cyberkriminalität stellen ein erhebliches Problem für Unternehmen aller Größen dar. Als besonders kritisch erweisen sich zunehmend die Techniken des Social Engineering – koordinierte Attacken, die sowohl analoge als auch digitale Zugangsmöglichkeiten nutzen, um an sensible Informationen zu gelangen oder unternehmerische Prozesse zu sabotieren.

Wie Sie der neuen Risikolandschaft begegnen, die in einer wachsenden Digitalwirtschaft und einem immer komplexeren Geflecht abhängiger Infrastrukturen entsteht, beleuchtet dieser Band. Mit vielen Fallstudien behandelt er u.a. die Themen:

  • Digitalwirtschaftliche Ökosysteme als neues Organisationsparadigma
  • Spezifische Risikolagen digitalwirtschaftlicher Ökosysteme
  • Manipulative und technische Angriffsmöglichkeiten, auch aus polizeilicher Sicht
  • Social Engineering Kill Chain als integriertes Abwehrmodell

Ein systematischer Zugang zu einem wichtigen Verantwortungsbereich des Risikomanagements. Und ein nützlicher Werkzeugkasten für den Aufbau von resilienten Organisationen, die sich kurz- und langfristig gegen solche Angriffe verteidigen können.


(ESV/ps)

Programmbereich: Management und Wirtschaft