Social Engineering wird eine neue Generation von Bedrohungen hervorbringen, da Cyber- und physische Sicherheit zusammenwachsen. Kriminelle Hacker werden neben IT-basierten Angriffen auch Keystroke-Logger und USB-Sticks einsetzen, um sich Zugang und Informationen zu verschaffen. Und bösartige Akteure werden immer auf der Suche nach menschlichen Schwächen sein.
Dies war die Botschaft von Jenny Radcliffe, The People Hacker, auf der Infosecurity Europe 2022, als sie in die Infosecurity Hall of Fame aufgenommen wurde. In ihren über 30 Jahren als Social-Engineering-Expertin ist Radcliffe von Hunden gejagt worden, hat sich vor Sicherheitskräften in Büschen versteckt und ist mehr als einmal von einem Dach gefallen.
„Wie kann man diesen Job erklären? Mein ganzes Leben lang bin ich eingebrochen, habe mir den Weg in Gebäude freigeredet und Menschen überredet und manipuliert, damit ich unter ihrem Schutz hindurchgehen und an Orte gelangen konnte, die ich nicht betreten sollte.“ Aber das Ziel war immer, die Sicherheit zu verbessern.
Social Engineering gibt es schon so lange, wie es Betrügereien gibt, erinnerte sich Radcliffe. Das Wachstum der elektronischen Kommunikation hat jedoch ein neues Licht auf die Gefahren geworfen. Die Informationssicherheitsbranche ist eine der wenigen, die dies verstanden hat, so Radcliffe.
Die Erforschung von Zielpersonen wurde im Laufe der Jahre durch die Verbreitung sozialer Medien erleichtert“, sagte sie. Früher mussten Social Engineers stundenlang in Kneipen oder Cafés sitzen, um Informationen zu sammeln, die heute in Sekundenschnelle online gefunden werden können.
Aber das, so Radcliffe, macht die Arbeit der Social Engineers umso wichtiger. Die Branche muss nach strengen ethischen und rechtlichen Standards arbeiten, um zu verhindern, dass Organisationen und Menschen zu Opfern werden.
„Abgesehen von dem eher quantifizierbaren Schaden, den wir sahen, sahen wir, wie diese Verbrechen Menschen auf andere Weise zerstörten“, sagte sie. „Es waren nicht nur finanzielle Verluste, sondern sie zerstörten auch das Vertrauen der Menschen, ihre Lebensfreude und das Vertrauen in andere Menschen.“
Die Verteidigung gegen diese Angriffe, sowohl in der physischen als auch in der Cyberwelt, erfordert Professionalität, Disziplin und ein gewisses Maß an Demut.
„Wir erproben die Kunst des Möglichen. Es ist ein schmaler Grat, aber besser wir als die Kriminellen, besser ich zeige es ihnen, ich bringe es in Ordnung und teste es, als dass ich es nie versuche und ihnen Tür und Tor öffne“, sagte sie.
Trotz des technischen Fortschritts wird der Mensch immer im Fokus von Kriminellen stehen. „Wir können uns nicht verteidigen, ohne eng zusammenzuarbeiten. Ich habe schon erlebt, dass Tech-Unternehmen und Direktoren Social Engineering als Phishing abgetan haben oder sich mit einem Zwinkern und einem Lächeln vorbeischleichen. So einfach ist es aber nicht.
„Die Besten unter Ihnen wissen, und haben es immer gewusst, dass die Antwort auf gute Sicherheit immer bei den Menschen liegt.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
#InfosecurityEurope2022: Fokus auf das Verhalten der Endnutzer zur Verbesserung der Sicherheit