Bob

Chief Security Architect, RSA

Trainings sind nicht das Allheilmittel: Mit Wissen und Technologie gegen Social Engineering

Letzte Woche habe ich auf dem RSA Security Summit in München eine Präsentation zum Thema „Best Practices in Breach Readiness“ gehalten – eine gemeinsame Arbeit mit meiner Kollegin Rashmi Knowles. Wir haben die Praxiserfahrung aus der Zusammenarbeit mit zahlreichen Kunden einfließen lassen. Ergänzend haben wir auch andere Ressourcen genutzt, wie etwa die Empfehlungen des neuesten SBIC Reports, den aktuellen  Data Protection & Breach Readiness Planning Guide der Online Trust Alliance, die Empfehlungen von PWC aus ihrer Global State of Information Security® Survey 2014 und den „Zehn Schritte für mehr Cyber-Sicherheit“-Vorschlag der britischen Regierung.

Eine optimale Vorgehensweise umfasst unseres Erachtens auch die Ausbildung und Beteiligung der Nutzergemeinschaft. Zum Nachdenken hat mich die Abschluss-Session des diesjährigen Münchner Summit angeregt. Leo Martin, ein Ex-Agent aus Deutschland sprach über Techniken, die erfahrene Ermittler beim Profiling von anderen Menschen nutzen. Zufällig habe ich zur gleichen Zeit das Buch von Christopher Hadnagy „Social Engineering: the Art of Human Hacking“ gelesen. Es bietet eine detaillierte technische und praktische Darstellung von Social Engineering.

Am Ende seines Buches schreibt Harnagy: „Die Kenntnis der Taktiken, die die Angreifer verwenden, verhindert,  dass Sie diesen zum Opfer fallen.“ In Wirklichkeit zeigt sein Buch aber, dass wir alle Schwierigkeiten damit haben, den Social-Engineering-Taktiken zu widerstehen –  auch wenn wir uns dieser noch so bewusst sind. Ich bin mir sicher, dass Schulungen sehr wichtig sind – insbesondere szenariobasierte Kurse, die wir bei EMC anbieten und die auch Harnagy empfiehlt. Aber es gibt keine absolute Sicherheit in der Abwehr von Social Engineering.

Was können wir tun?

Ich glaube an die Bedeutung von Schulungen. Aber es ist klar, dass selbst die erfahrensten Anwender  durch Prozesse und Technologien unterstützt werden müssen, um die Erfolgschancen eines Angreifers zu minimieren. Wir brauchen Wissen, das unsere  Fähigkeiten verbessert, Social Engineering zu erkennen, zu bekämpfen und ihm entgegenzutreten. Es gibt Technologien, die dabei helfen können. Die mehr als zehnjährige Erfahrung des  RSA Cybercrime Intelligence Service hat gezeigt, dass Phishing und andere Social-Engineering-Angriffe mit unternehmensübergreifenden  Maßnahmen reduziert werden können. Auch Technologien wie zum Beispiel Honeypots erleichtern die Erkennung und Abwehr von Angreifern. Ebenfalls wichtig sind Systeme, die die Folgen von unerwünschtem Social Engineering minimieren. Dazu gehört die „Adaptive Authentifizierung“. Sie erhöht die Anzahl der Faktoren, die ein Angreifer kompromittieren muss. Auch Sicherheitsanalysen, die Anomalien im System erkennen, erhöhen die Resistenz gegen Social Engineering.

Aus dem Buch von Harnagy nehme ich mit, dass absolute Sicherheit und ein hundertprozentiger Schutz unmöglich sind. Denn wie Bruce Schneier in seinem Buch „Liars and Outliers“ zeigt, ist Vertrauen wichtig für uns Menschen. Und so werden wir immer anfällig gegenüber Social Engineering bleiben. Aber wenn wir das wissen, haben wir auch die Möglichkeit, Technologien und Prozesse zu nutzen, die die Risiken des Social Engineering verringern, uns Angreifer leichter erkennen lassen und die negativen Auswirkungen einer Attacke minimieren.