IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

Social Engineering besonders effektiv bei Führungskräften – L’arnaque au Président

Wenn Sie mit Social Engineering Geld machen wollen, dann machen Sie es gleich richtig: Bauen Sie sich als Ansprechpartner in der Supply Chain auf, etwa als der neue CFO eines halbwegs bedeutenden Lieferanten. Gewinnen Sie das Vertrauen der Geschäftsführung, des Einkaufs oder Sourcing des “Kunden”. Und dann geben Sie ihm eine Bank-Adresse an, auf die er die nächste fällige Rechnung begleichen soll. Die Kontoverbindung darf ruhig im befreundeten Ausland liegen. Ist alles so global heute, da kommt keiner drauf, dass das ungewöhnlich sein soll.

Das auf Sicherheit spezialisierte Unternehmen hapsis macht (natürlich eigennützig, genau wie ich) auf einen fast schon amüsanten Vorfall aufmerksam. Denn genau das oben beschriebene Muster wurde, nach anderen Fällen, diesmal gegen den Reifenhersteller Michelin nutzbringend angewandt. Nutzbringend freilich nur für die freundlich-professionellen Betrüger. Immerhin wurden laut hapsis stattliche 1,6 Millionen Euro an die Betrüger überwiesen.

Dies war sicher mit viel Arbeit verbunden: Die genauen Kontakte ausmachen, Ansprechpartner beider getäuschter Seiten, mit Rufnummern und Mail-Adressen. Kenntnis erlangen über das mögliche Volumen der Geschäfte und konkret aktuelle Verträge und Leistungen bis hin zu Rechnungsbeträgen. Und genaue Kenntnis der Prozesse beim Kunden. Insiderwissen könnte also eine Rolle gespielt haben. Wenn dann der Betrag noch passt, nicht zu viel und nicht zu wenig (vor Allem nicht zu wenig: Bei 850 Euro wäre die Buchhaltung genau hinterher gewesen und hätte viel genauer geprüft).

Das ist eigentlich kein Thema der IT Security. Aber Nutzung von elektronischer Kommunikation spielt dabei eine zentrale Rolle. Eine gut kopierte Signatur flößt den meisten Leser schon volles Vertrauen ein. Dass E-Mails im Geschäftsverkehr gefälscht sein können, daran denkt doch keiner. Nun, einige schon, in Deutschland ist es durchaus anzutreffen, dass zwischen Partnerunternehmen durch Verschlüsselung und Authentisierung geschützter E-Mail-Verkehr eingerichtet wird. Aber Standard ist das noch nicht.

Die Abwehr solchen Betrugs kann auch nicht allein technisch sein. Die Sicherheit muss hier bewusst als Informationssicherheit, nicht als IT-Sicherheit, verstanden und implementiert werden. Das erfordert Schulung und weitere Maßnahmen zur Erkennung und bewusstem Umgang mit potenziell riskanten Kontakten. So ist es nicht unhöflich, einen neuen Kontakt, der angeblich Frau X von der Buchhaltung für die nächsten 12 Wochen vertritt, und dann in dieser Zeit “im Rahmen der Umgestaltung unserer Prozesse” neue Bankkonten einrichtet, schon nach dem ersten Anruf über das Sekretariat zurückzurufen oder einen Kollegen zu fragen, wer denn der oder die “Neue” sei.

Die Manipulation des Social Engineering macht sich hier zwei Komponenten der modernen Organisation zu Nutzen:

  1. Eine weitgehend sinnentleerte Prozess-Sprache, die es leicht macht, den vertrauten Insider vorzutäuschen.
  2. Die ständigen Umorganisationen und Interimsbesetzungen, die wechselnde Ansprechpartner zu einer Normalität haben werden lassen.

Dies wird weiter geschehen, denn der Kostendruck scheint diese Trends weiter zu treiben, ja unausweichlich zu machen. Aber dann sollte doch unbedingt aber auch und ganz zwingend in die Sicherheitsmaßnahmen investiert werden. Sie sind keine Bremsen, sondern Bestandteil der Investition und machen durch Minderung der Risiken die Kosten reduzierenden Maßnahmen erst wirtschaftlich. Außer, das denken wohl viele, dass sowas bei Uns nicht vorkommt. Nur bei den anderen.

Quelle: hapsis.fr

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.