5711020

Sicherheitsexpertin über Social Engineering: „Jeder hat eine Schwachstelle“

Betrüger bauen Vertrauen auf, um an Daten oder Geld zu kommen. Welche Tricks sie dafür nutzen, erklärt Sicherheitstrainerin Christina Lekati.

Illustration: Ein Mann sitzt an einem Schreibtisch, eine rote Hand ragt aus dem Bildschirm und hält wie ein Marionettenspieler das Kreuz über dem Kopf des Mannes

Foto: Illustration: Jörg Dommel

taz am wochenende: Frau Lekati, Betrüger, die sich das Vertrauen ihrer Opfer erschleichen, gibt es im digitalen Zeitalter häufiger, man nennt die Masche Social Engineering. Was ist ein Angriff im Rahmen des sogenannten Social Engineering?

Christina Lekati: Angriffe auf Menschen durch soziale Fähigkeiten, um etwas von Wert zu gewinnen. Jeder Angriff besteht aus den gleichen Schritten. Der Angreifer, den wir Social Engineer nennen, sammelt Informationen, sucht ein Opfer, denkt sich eine Cover-Story aus, also einen Grund, um mit dem Opfer in Kontakt zu treten und kontaktiert es. Er baut dann Vertrauen zu dem Opfer auf, um es anschließend auszubeuten.

Wie geht das?

Ein Beispiel: Der Social Engineer hat herausgefunden, dass die Sekretärin eines Unternehmenschefs gerade Mutter geworden ist. Er stellt sich als Bewerber für einen Job vor und behauptet dann, dass sein Kind über die Bewerbungsunterlagen gekotzt habe. Ob die Sekretärin die Unterlagen nochmal ausdrucken könne? Sie müsse nur seinen USB-Stick kurz einstecken. Als frische Mutter kann die Sekretärin einen Bezug dazu herstellen, sie weiß ja selber, wie es mit den Kindern ist, darum steckt sie ohne Sorgen den USB-Stick mit der Schadsoftware in ihren PC. Die Hilfsbereitschaft von Menschen wird oft von den Social Engineers ausgenutzt. Der letzte Schritt: Flüchten, ohne verdächtig zu werden.

Was sind die Motive der Social Engineers?

Bei den meisten Attacken von Social Engineers geht es um Informationen und Geld. Auch Unternehmen nutzen diese Technik, um zum Beispiel durch Industriespionage an Informationen zu kommen, die für ihre Unternehmen einen Wettbewerbsvorteil verschaffen.

Warum wird das Phänomen Social Engineering mit einem technischen Begriff bezeichnet?

Eine Maschine besteht aus verschiedenen Bestandteilen – und in diesem Fall baut jemand verschiedene psychologische Prinzipien und Arten von Manipulation zu einer Technik zusammen, mit der Menschen attackiert werden sollen. Es ist eine Technik, die ein spezifisches menschliches Verhalten auslösen soll. Und es ist vor allem eine Kombination von sozialen und technischen Skills.

Wer kann ins Visier von Social Engineering geraten?

Es kann Einzelne oder Massen treffen, Systemadministratoren oder Zuständige im Finanzbereich einer Firma. Jedes Zielobjekt hat seine Schwachstelle.

im Interview:

Die Sicherheitstrainerin und -beraterin arbeitet bei der Schweizer Firma „Cyber-Risk“. Sie hat Psychologie studiert und tritt bei Konferenzen in Europa, den USA und Asien auf.

Sind wir also alle ein potentielles Opfer für Social Engineers?

Es ist egal, wie schlau oder gebildet man ist. Die Social Engineers jagen Ignoranten. Es kann jedem passieren, der nicht hellwach ist und die erzählte Geschichte glaubt. Ärzten, Anwälten, arme Leute, alle Milieus und Klassen sind schon mal Opfer von Social Engineering geworden.

Ob jemand reinfällt, hängt vor allem davon ab, ob das Opfer einem Betrüger glaubt. Wie ergaunern sich Social Engineers unser Vertrauen?

Es gibt universelle Tricks, die bei jedem von uns funktionieren. Die Social Engineers versuchen, sympathisch rüberzukommen. Wenn du jemanden magst, bist du offener dafür, ihm zu helfen. Sie versuchen, eine Bindung zu dir herzustellen. Meistens beginnt es mit etwas nettem, einem schmeichelnden Kommentar, vielleicht einem Witz.

Bindung zu jemanden Fremden herstellen, geht das so einfach?

Ja, wenn man gute soziale Fähigkeiten hat. Zum Beispiel: Jemand sagt, dass sie Julia heißt – und der Social Engineer antwortet: Wie toll, meine Ehefrau heißt auch Julia! Danach beginnen sie eine angeregte Unterhaltung und es kommt das zweite Prinzip in Spiel: Konsistenz. Sobald Vertrauen aufgebaut ist, wollen wir in unserer Rolle konsequent bleiben und geben weiter Antworten, um nicht die Stimmung zu vermiesen. Das ist menschlich und das nutzen Social Engineers bewusst schamlos aus. Daher sind Fragen anfangs harmlos und alltäglich und zielen später auf sensible Themen ab. Und weil wir alles brav beantworten, fällt uns nicht auf, dass wir zwischendurch wichtige Informationen verraten.

Und wenn ich doch einmal Zweifel äußere?

Wenn Social Engineers merken, dass ihre Gesprächspartner misstrauisch werden, hören sie sofort auf oder wenden andere Tricks an, um dir Schuldgefühle zu machen. Schuld ist eine sehr starke Emotion. Eine weitere Taktik: Angst ausnutzen und mit Zeitdruck verbinden. Das Opfer kann nicht klar urteilen und über die Situation nachdenken. Sehr oft arbeiten Social Engineers auch mit Ehrfurcht vor Autorität, in Deutschland ist darum der CEO-Fraud sehr verbreitet, die Betrugsmasche, bei der sich Social Engineers als Chefs ausgeben. Deutsche respektieren Autorität.

Ist Social Engineering ein neues Phänomen?

Nein. Es ist aber in den vergangenen Jahren immer präsenter, weil mit der digitalen Entwicklung mehr möglich geworden ist. Solange es Menschen gibt, die Zugang zu wertvollen Ressourcen haben, wird es immer auch Betrüger geben. In den Dreißiger Jahren gab es zum Beispiel den Österreicher Victor Lustig. Er hat den Eiffelturm verkauft. Zwei Mal. Frankreich hatte damals finanzielle Probleme. Lustig hatte vorgespielt, für die Regierung zu arbeiten. Er ging zu Bauunternehmen und verkündete, die Regierung habe entschieden, den Bau an den höchsten Bieter zu verkaufen. Das klappte. Die Opfer haben das aus Scham nicht weitererzählt und darum hat er den Trick später ein zweites Mal angewendet.

Gibt es eine Typologie oder Charakteristik für Social Engineerer?

Über ihren sozialen Hintergrund ist wenig bekannt, manche sind arm und smart, andere hochgebildet. Sie schauen nicht verdächtig aus, sondern wie du und ich. Sie sind charmant, haben Charisma und viele soziale Fähigkeiten und verstehen die menschliche Psyche sehr gut. Es macht Spaß, mit ihnen zu reden, aber natürlich ist das fake.

Erst anbandeln, dann abzocken

Was ist Social Engineering?

Kriminelle „hacken“ sich in die Psyche ihrer Opfer und manipulieren etwa Mitarbeitende eines Unternehmens, um an sensible Informationen zu kommen. Aber auch Privatleute können Opfer sozialer Manipulation werden: Trickbetrüger geben sich am Telefon als Gesundheitsamtsmitarbeitende oder als Angehörige aus, die sich angeblich mit Covid-19 infiziert haben, und versuchen so – vor allem bei älteren Leuten – an Geld zu kommen.

Wie viele sind betroffen?

Laut einer Studie des Digitalverbands Bitkom waren 2018 und 2019 insgesamt 22 Prozent in Deutschland von analogem Social Engineering betroffen, also mehr als jede fünfte Firma. 15 Prozent hatten Probleme mit sozialer Manipulation auf digitalem Weg. Für die Studie wurden mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen befragt.

Wie kann man sich schützen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt unter anderem die sparsame Veröffentlichung von Namen, Daten und Adressen aus dem jeweiligen Organigramm. Insbesondere sollten Mitarbeitende jederzeit auf die Einhaltung von organisatorischen Schutzmaßnahmen wie etwa dem Vier-Augen-Prinzip bestehen und sich nicht unter (Zeit-)Druck setzen lassen.

Weiß man mehr darüber, woher die Engineers wissen, wie sie vorgehen müssen?

Sehr viele sind Autodidakten, sie haben sich das selber beigebracht und mit Opfern experimentiert. Oft haben sie auch Psychologie studiert. In kriminellen Kreisen gibt es manchmal auch Veteranen, die ihr Wissen weitergeben. Wir kennen die kriminellen Netzwerke etwa aus Foren im Dark Web. Es gibt einzelne Akteure oder ganze kriminelle Organisationen, die zum Beispiel Callcenter betreiben.

Das heißt, ich könnte das auch lernen und meinen Chef manipulieren?

Absolut. In Bewerbungsgesprächen, im professionellen Verkauf, beim Kampf um eine Gehaltserhöhung – Social Engineering gibt es überall, die Prinzipien werden zum Beispiel in Werbung und Marketing ausgenutzt, oder von Politikern, die ihre Ideen verkaufen wollen. Es gibt aber auch Social Engineering zu einem guten Zweck. Ärzte nutzen die Tricks, damit Patienten ihre Therapie machen. Wir vergleichen die Technik immer mit einem Messer: Du kannst damit Essen für deine Familie zubereiten, oder damit jemanden töten.

Was ist das Werkzeug der Betrüger?

Gute soziale und kommunikative Fähigkeiten. Ein Mann raubte einmal eine Bank aus und benutzte dabei nur seinen Charme und Schokolade. Er konnte die Diamanten stehlen, weil die Sicherheitsleute ihm vertrauten und ihn unbeaufsichtigt im Tresorraum zurückließen. Heutzutage werden meist auch technische IT-Kenntnisse benötigt, wenn Social Engineers Attacken online durchführen.

Wie finden Engineers heraus, welche Schwachstellen eine Person hat?

Sie recherchieren zunächst unter anderem Verfehlungen, unbefriedigte Bedürfnisse, Ängste oder auch Hobbies von Personen von Interesse. Emotionale Bedürfnisse zählen für uns mehr als alles andere, auch mehr als finanzielle Bedürfnisse. Der Engineer befriedigt unsere Bedürfnisse und unser Hirn blendet deswegen automatisch aus, welche Bedrohung der Engineer eigentlich darstellt. Selbst wenn sie Dinge thematisieren, die unangenehm sind: Bietet jemand etwas an, was man emotional brauchen kann, ändert man seine Haltung zu ihm nicht, sondern ignoriert wohlwissend jegliche Warnhinweise. Daher suchen sie nach Leuten, die naiv oder generell ignorant sind. Aber auch wenn du introvertiert bist, kann es dich treffen. Solange du unbefriedigte Bedürfnisse hast, ist man ein gutes Opfer.

Was ist die häufigste Strategie, die Engineers anwenden?

Phishing Mails. Zirka 80 Prozent der Cyberangriffe sind im ersten Schritt Social Engineering Attacken.

Gerade die Gefahr von Phishing-Mails ist doch seit Jahren bekannt?

Die Sicherheitstechnologien haben sich zwar verbessert, aber die menschliche Psyche ist die gleiche geblieben. Alle Menschen sagen sich immer: Mir passiert das nicht. Hinzu kommt, dass Unternehmen ihr Geld lieber in Technologien investieren, anstatt in Schulungen der Mitarbeiter, wie sie sich schützen und verhalten sollen.

Wie soll ich mit einem Engineer umgehen, wenn ich ihn an der Strippe habe?

Bleiben Sie standhaft. Niemals eine Debatte darüber beginnen, wieso Sie eine Information nicht weitergeben wollen. Wenn Ihnen etwas verdächtig vorkommt, sagen Sie den Satz: „Es tut mir leid, so sehr ich dich mag/ Sie schätze, aber ich kann dir/ Ihnen diese Informationen nicht geben“. Drohen Sie damit, den Anruf polizeilich oder im Unternehmen zu melden, das verscheucht den Anrufer. Werden Sie nach einem Passwort gefragt, weigern sie sich. Versuchen Sie, die Identität des Anrufers so weit wie möglich zu verifizieren. Trauen Sie niemals der Nummer, die ist leicht zu fälschen.

taz am wochenende

Ein Huhn, das vor über 100 Jahren eingemacht wurde, zwei Weltkriege überstanden hat und angeblich immer noch existiert? Klingt irre, ist aber eine seit Generationen erzählte Familiensaga unserer Autorin – in der taz am wochenende vom 12./13. September. Außerdem: Jens Spahn im Interview über Corona und die Grünen. Und: Moria ist abgebrannt. Wie geht es für die Geflüchteten weiter? Ab Samstag am Kiosk, im eKiosk, im praktischen Wochenendabo und rund um die Uhr bei Facebook und Twitter.

Sie arbeiten für eine Sicherheitsfirma. Wie können sich Unternehmen schützen?

Aufmerksamkeit und Bewusstsein kann man trainieren. Wir bieten Unternehmen dazu Trainings an. Wir untersuchen auch, welche Social Engineering-Schwachstellen Mitarbeiter und Unternehmen haben könnten, damit die Firmen besser vorbereitet sind. Ich habe auch selber schon Attacken ausprobiert und weiß, wie das funktioniert. Jede Firma hat unterschiedliche Bedürfnisse und Schwächen und diese arbeiten wir gemeinsam in deren Verteidigungsstrategien ein.

Woher kommt Ihr Interesse an Engineering?

Bereits als ich ein Kind war, hat mein Vater in der Cyber-Sicherheitsindustrie gearbeitet und mich regelmäßig mit seinen Geschichten fasziniert. Aus diesem Grund handelte vermutlich mein erstes selbstgekauftes Buch von Profiling. Ich liebe es einfach, herauszufinden, wie das menschliche Gehirn und Social Engineering funktioniert. Menschen dabei zu helfen, sich selbst zu schützen, macht mich zudem glücklich.

Und wurden Sie selber schon attackiert?

Ja! Es hat jedoch nicht geklappt. Aber das muss nichts heißen, auch Sicherheitsexperten können reinfallen. Niemand ist gegen „Social Engineering“ komplett immun.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Hans Kork

    Im Call Centren gibt es solche Beispiele.. auf jeden Fall... zuerst wird gelernt wie man Bindung herstellt... einige persönlichen Fragen ausfragt... und womöglich um an Infos zu kommen und so später eine Basis bereitlegt... um was es genau geht..

    war dort nicht persönlich beschäftigt... aber habe mir einiges angehört.. so hat man es halt.... es gibt auch solche bekannte Verführung Tricks... die dienen ja zum selben Zweck.. also überrascht mich das nicht..

  • Bullsh_itdetector

    "Hinzu kommt, dass Unternehmen ihr Geld lieber in Technologien investieren, anstatt in Schulungen der Mitarbeiter, wie sie sich schützen und verhalten sollen."

    Diesen Satz sollte man am besten in Adamantium einrahmen, mit Panzerglas abdecken und jeden Firmenchef verprügeln, der diesen Leitsatz unironisch vertritt.

    In einer dermaßen durchtechnisierten Welt, wie der unseren, sollte es selbstverständlich sein, an der größten Schwachstelle jedes noch so sicheren Systems zu arbeiten: dem Menschen

  • BUBU

    "Social Engineering"? Darunter zählt doch dann wohl auch, wenn man einen Begriff wie "Betrüger*in" durch einen erdachten neuen wie "Social Engineer" ersetzt, diesen neuen Begriff penetrant wiederholt und damit suggeriert, man habe eine sensationelle Entdeckung gemacht. Nice try, Social Engineer.

  • Rudolf Fissner

    Kein Wunder das irgendwelche Rechte an Daten bei der Polizei ran kamen ...

    • Rainer B.

      @Rudolf Fissner Klar - die müssen dann wohl bei der Polizei angerufen, sich als Polizisten ausgegeben und mal eben nach den Daten von Frau XY und Herrn Z gefragt haben. Sowas klappt eigentlich immer.

  • noevil

    Es gibt Punkte, bei denen schon grundsätzlich die Alarmglocken klingen müssen.

    Wen jemand anruft und dubiose Zahlungsanweisungen in Auftrag geben will, ist grundsätzlich - bei allem Geheimhaltungs-Befehl - erst eine Rücksprache mit dem Vorgesetzten angesagt. Warum sollte irgend jemand als Oberboss, den ich als kleine /r Angestellte/r gar nicht kenne, von mir verlangen, dass ich vertrauend auf einen Befehl per Telefon - eine Geldüberweisung auf ein unbekanntes Konto - vornehme. Nonsens!

    Ich wäre ein Sicherheitsrisiko auf meinem Arbeitsplatz.

    Das gleich gilt für fremde USB-Sticks.

    Und erst recht für Passwörter oder Kontodaten.

    Geht gar nicht.

    Habe schon mal so einen dreisten Versuch mit Hausverweis abgewehrt. Ebenso am Telefon und schriftlichen Versuch. An mir kam bisher noch keiner vorbei. Bei aller Sympathie für charmante Menschen. Beim Aufleuchten der roten Lampe erlischt schlagartig das Sympathielämpchen.

    • Ingo Bernable

      @noevil "An mir kam bisher noch keiner vorbei."

      Abgesehen von denen die sie nicht bemerkt haben.

      Wenn man sich die Kommentare hier anschaut sollte man meinen es gibt überhaupt kein Problem. Natürlich gibt man keine Passwörte an Fremde heraus und natürlich hat man einen aktuellen Virenscanner installiert der jegliche Bedrohung abfängt und natürlich sind es immer nur die anderen Idioten die immer noch mit Win XP arbeiten und eben zu doof sind, die sich übertölpeln zu lassen.

      Die Informationen und Dinge die sich letztendlich als kritisch herausstellen liegen aber oft genug weit unterhalb dieser Schwelle. Da wird einem Kollegen über dessen Abteilungszugehörigkeit man sich nicht komplett sicher ist die Tür aufgehalten weil es arg unhöflich erschiene sie ihm vor der Nase zuzuschlagen und man meint bei Nachfrage als Paranoiker dazustehen, oder erzählt, dass das Archiv im Gebäude gegenüber zu finden ist, da aber gerade Bauarbeiten laufen oder nebenbei der Termin des kommenden Betriebsausflugs fallen gelassen. Dinge eben die man eben so macht oder die niemand als geheimzuhalten vermuten würde, die sich aber, wenn in ausreichendem Umfang gesammelt, eben auch kriminell verwenden lassen.

      • noevil

        @Ingo Bernable Dann sitzt der Übeltäter aber schon in der Firma/dem Amt. Und da muss jeder Einzelne aufpassen und verantwortlich handeln. Und eben auch hin und wieder riskieren, sich unbeliebt zu machen. ...solange, bis etwas auffliegt!

      • noevil

        @Ingo Bernable Beschweren Sie sich am Besten bei der Verfasserin des Artikels. Darauf nämlich bin ich nur eingegangen.

      • Bullsh_itdetector

        @Ingo Bernable " und natürlich hat man einen aktuellen Virenscanner installiert der jegliche Bedrohung abfängt"

        spätestens seit windows 10 sollte dieser Punkt eigentlich obsolet sein

  • noevil

    Einen fremden USB-Stick in meinen Dienst-PC zu stecken, das finde ich schon grundsätzlich bodenlos leichtsinnig. Käme überhaupt nicht in Frage!

    • Rainer B.

      @noevil Der größste Leichtsinn liegt hier allerdings darin, dass Sie über ihren Dienst-PC überhaupt noch auf USB-Sticks zugreifen können.

      • Bullsh_itdetector

        @Rainer B. USB-Sticks Pauschal zum Sicherheitsrisiko zu erklären ist das IT-Pendant zur Hypochondrie... und die wird für gewöhnlich therapiert :)

        • Rainer B.

          @Bullsh_itdetector Wieso „Pauschal“? Es geht hier um Dienst-PCs. Privat zu Hause können Sie mit ihren USB-Sticks gerne machen, was Sie wollen.

  • tomás zerolo

    "Hinzu kommt, dass Unternehmen ihr Geld lieber in Technologien investieren, anstatt in Schulungen der Mitarbeiter, wie sie sich schützen und verhalten sollen."

    Diesen Satz einrahmen. Am besten in Gold.

    Ich beobachte mit grosser Sorge, dass die "Lösungen", die zu diesem Problem immer technischer Natur sind und die Benutzer*in "aus der Schleife" nehmen will (aktuelle Sau, die durchs Dorf getrieben wird: 2FA).

    Das ist aus Sicht der Plattformen, die ihre "User" als Ware betrachten, und diesen Kostenfaktor minimieren wollen, verständlich. Aber wir alle äffen das nach, statt die Benutzer*in ins Zentrum zu stellen und zu ermächtigen.

    So arbeiten wir alle an der nächsten Dystopie mit.

  • Grenzgänger

    > "darum steckt sie ohne Sorgen den USB Stick mit der Schadsoftware in ihren PC."

    In meinem Unternehmen würde in so einem Fall erst einmal der Malwarescanner den USB-Stick auf Schadsoftware scannen und, würde er fündig werden, in Quarantäne schicken...

    • Bullsh_itdetector

      @Grenzgänger Malwarescanner können umgangen werden. bei "unsicheren" USB-Sticks, und davon gibt es viele, sollte man im Idealfall einen abgekoppelten Rechner nutzen, auf dessen Speicher sich keine kritischen Informationen befinden und der zu keinem Zeitpunkt zum gesicherten Netzwerk Kontakt aufbaut und auch nicht aufbauen kann.

    • 70704 (Profil gelöscht)

      Gast

      @Grenzgänger "In meinem Unternehmen würde in so einem Fall erst einmal der Malwarescanner den USB-Stick auf Schadsoftware scannen"

      So war das Procedere bei meinem Arbeitgeber, einer obersten Bundesbehörde, auch. Als ich - neu im IT-Bereich - darauf bestand, dass der USB-Stick eines Externen kontrolliert wurde, wurde ich von meinem Chef, einem Ingenieur, und meinem Kollegen, einem Informatiker, fast für verrückt erklärt. Ich bin aber hart geblieben.

    • TRG

      @Grenzgänger Falls es sich um eine selbst geschriebene Malware handelt, kann es vorkommen, dass die Anti-Viren-/Malwaresoftware das nicht bemerkt, da das nirgendwo aufgetaucht ist und von daher kein Signature davon gibt.

      Es ist ein sehr faszinierendes Thema.

      Hier können Sie weiter darüber:

      www.keirstenbrager...etects-and-reacts/

      • Grenzgänger

        @TRG In der Theorie sicher möglich, in der Praxis wohl eher so wahrscheinlich wie ein 6er im Lotto. Ich habe das in 30 Jahren als IT-Admin nicht erlebt...

        In der IT gibt es keine 100% Sicherheit - nur das Bestreben, täglich möglichst dicht an die 100% heranzukommen.

        Monokulturen (MS Outlook / AD / Office etc.) in der IT sind genauso schädlich wie in der Landwirtschaft. Die Welt ist bunt - so sollte es allein schon aus Gründen der Risikominimierung auch in der IT sein :-)

        • Rudolf Fissner

          @Grenzgänger Monokulturen sind schädlich ....

          Der Rechner und die Software sind nicht das Produkt, die Monokultur n einem Betrieb. Das sind nur Werkzeuge. Und da ist es hilfreich nur ein System zu bedienen und nich 12und30 verschiedene Textverarbeitungssysteme.

    • haribo

      @Grenzgänger und das Scannen selbst ist übrigens auch ein Einfallstor, denn der Scanner kann durchaus auch Sicherheitslücken haben, die durch zum Fraß Vorwerfen darauf zugeschnittener Daten Code ausführen, genauso wie es in der Vergangenheit schon mit mp3-Dateien oder Videos gescheen ist, die ja auch nur passive Daten sind. Eine Schwachstelle sind dabei z.B. Buffer-Overflows durch die Code in Bereiche geschrieben wird wo er nicht hingehört.

    • haribo

      @Grenzgänger Das größte Problem sind sicherlich Menschen, die sich wegen angeblich wasserdichter Maßnahmen sicher fühlen und deswegen ihren Verstand abschalten.

      Gute Malware (die aktuell eingesetzt wird und nicht schon wochenlang in Umlauf ist) ist natürlich neuer als die Daten der Scanner und wird somit nicht erkannt. Das testet man natürlich vor dem Angriff bzw. generiert man einfach eine neue Version ohne die bekannten Kennungen.

      Im angegebenen Fall müsste die Infizierung heutzutage wohl über das Öffnen bzw. Drucken des PDF durch eine Person geschehen. Deswegen das social Engeneering. USB-Geräte (wie z.B. Tastatur) sollten nicht mehr automatisch eingebunden werden.

      Man braucht also unbehandelte aktuelle Sicherheitslücken, die es wohl immer in ausreichender Zahl gibt und die in aktuell käufliche Malware schon eingearbeitet ist.

      Merke: alles was man von außen in das System holt, ist potentiell gefährlich. Jeder Eingang ins System kann wegen Sicherheitslücken möglicherweise ausgenutzt werden. Theoretisch könnte z.B. eine Lücke in der USB-System-Software existieren, die durch speziell aufgebaute Hardware genutzt wird. Dann wäre schon das Einstecken des Sticks ein Problem. Ein einfaches Beispiel für solch ein Vorgehen sind die Sticks, die beim Einstecken den Rechner zerstören können.

    • Rudolf Fissner

      @Grenzgänger Ansonsten könnten aber alle wichtigen betrieblichen Dokumente kopiert werden?

      • Grenzgänger

        @Rudolf Fissner wer sollte die denn kopieren? Die in Quarantäne befindliche Malware??

        • Rudolf Fissner

          @Grenzgänger Lol... keiner mehr im Büro und die Paswort-Notes kleben immer noch am Bildschirmrand :-)

          • Bullsh_itdetector

            @Rudolf Fissner "Lol... keiner mehr im Büro und die Paswort-Notes kleben immer noch am Bildschirmrand :-)"

            90% aller "Horror- und Survivalspiele, die in einer Office umgebung spielen" in der Nussschale^^