entwickler.de

Die GUUG-Konferenz 2009 ist zu Ende gegangen. Das Frühjahrsgespräch der German Unix User Group (GUUG) e.V. findet einmal im Jahr statt und richtet sich an Profis, die in den Bereichen Unix, Netze und IT-Sicherheit tätig sind. Unter einer Reihe von Vorträgen wurden u.a. die Ausführungen von Stefan Schumacher zum Thema "Psychologische Grundlagen des Social-Engineering" präsentiert.

Demnach sei das Verhalten von Führungskräften und Mitarbeitern in Unternehmen und Verwaltungen maßgeblich für die Sicherheit von IT-Systemen verantwortlich.

Stefan Schumacher, Unternehmerberater für Social Engineering und Security Awareness aus Magdeburg, nahm den mehr als 100 Teilnehmern der diesjährlichen Unix- und Linux-Konferenz zunächst eine Hoffnung – nur mit Software-Tools sei die Sicherheit von IT-Netzwerken nicht zu gewährleisten. Grund: Social-Engineering hebelt durch manipulativ erzeugte Gefühle rationale Sicherheits-Maßnahmen aus. Anhand "stereotyper Verhaltensweisen" aus der Psychologie stellte der langjährige IT-Security-Fachmann Methoden für ein nachhaltiges Sicherheits-Management vor:

Methoden für nachhaltiges Sicherheits-Management

Geschenke: Der Grundsatz "kleine Geschenke" ist für die IT-Sicherheit äußerst gefährlich. Durch die "Reziprozität" werden Mitarbeiter verleitet, fragwürdiger Hilfe zu vertrauen und leichtgläubig Informationen – wie Benutzerkennungen oder Passwörter – Preis zu geben. Im Gegenzug hilft das Prinzip "wechselseitiger Unterstützung" Entscheidern, durch großzügige Eingeständnisse IT-Leitlinien durchzusetzen.

Vertrauen: Das "vereinbarte Verhalten" von Menschen ist ein weiterer kritischer Aspekt bei der Sicherheit von IT-Infrastrukturen. Da jeder im Arbeitsleben Kollegen und Partnern Vertrauen entgegen bringen muss, kann das "Commitment" auch manipulativ mißbraucht werden. Ein "Einschwören" auf die Nutzung von IT bietet aber auch die Chance, Anwender für Sicherheitsthemen zu begeistern und die Eigenverantwortung zu fördern.

Herdentier: Die "Vorbildfunktion" birgt ebenfalls gefährliche Fallstricke im sicheren Umgang mit Netzwerken. Im kritischen Fall sorgt die "Herdentier-Funktion" für Ablehnung einer neuen Sicherheitsrichtlinie. Andererseits kann durch Multiplikatoren bzw. Promotoren mittels "sozialer Bewährtheit" die kritische Masse in Firmen und Verwaltungen dazu bewegt werden, eine Sicherheitsrichtlinie anzunehmen und umzusetzen.

Autoritäten: Die "Autoriätsgläubigkeit" verleitet IT-Anwender, unautorisierten Personen leichtgläubig den Zugang zu vertraulichen Geschäftsdaten einzuräumen. Falsche Titel, Maßanzüge oder ein teures Auto können Mitarbeitern vorgaukeln, einer Autorität zu folgen. Leitende Mitarbeiter, die durch Fachkenntnis und Teamwork überzeugen, können ihre Rolle im Umkehrschluss dazu nutzen, IT-Sicherheit zu akzeptieren.

Sympathie: Eine weiterer Aspekt des Social-Engineering ist das "Sympathie-Prinzip". Positive Gefühle zu Personen beeinflussen auch Mitarbeiter in Wirtschaft und öffentlichem Dienst. User fallen u. a. durch "Fishing for Compliments" auf Betrüger rein, ebenso wie durch das Produzieren von Mitleid. Im negativen Fall führen "Konditionierung" und "Assoziation" zu einer sich wiederholenden Falle ("Pawlow-Effekt").

Verknappung: Zu guter Letzt birgt die "Künstliche Verknappung" Bedrohungen für die Sicherheit von IT-Systemen. "Exklusive Informationensquellen" sind für die Bewertung von sicherheitsrelevanten Entscheidungen kein sinnvolles Vorgehen. Dagegen kann ein externer Experte der IT-Abteilung durch "exklusives Wissen" helfen, Gehör für wichtige Security-Themen zu finden und das Problem des "Propheten im eigenen Land" zu überwinden.