Michael „Mike” Willer ist Experte für Kommunikation und Sicherheit, der sich auf den menschlichen Sicherheitsfaktor in Unternehmen spezialisiert hat. Als führende Sicherheitsberater für Social Engineering Security in der DACH-Region unterstützt Mike mit seinem Team der Human Risk Consulting GmbH seit 2015 Organisationen und Unternehmen dabei, sich effektiv gegen Social Engineering Angriffe durch feindliche Akteure zu verteidigen. Wie seine tägliche Arbeit aussieht und ob elektronische Schließtechnik dabei helfen kann, Sicherheitslücken zu vermeiden, habe ich ihn in diesem Interview gefragt.
Mike, du beschäftigst dich tagtäglich mit dem „Faktor Mensch“ in der Unternehmenssicherheit. Erzähl uns kurz, wie du zu diesem – wie ich finde – unfassbar spannenden Beruf gekommen bist.
In meinem ersten Berufsleben war ich beim Militär und dort im Bereich HUMINT (Human Intelligence), also der Informationsgewinnung durch menschliche Quellen eingesetzt. Ich komme also aus dem militärischen Nachrichtenwesen und war neben der Fachrichtung HUMINT auch auf Befragungen (Vernehmungen) spezialisiert.
Dadurch spielten für mich der Faktor Mensch, die Psychologie und das Verhalten des Menschen immer eine wesentliche Rolle. Nach 16 Dienstjahren habe ich meinen Beamtenstatus zurückgegeben und gekündigt. Ich wollte mein Wissen und meine Erfahrung aus vielen Auslandseinsätzen nochmal anders einsetzen. 2015 gründete ich die Human Risk Consulting GmbH.
Ist das Thema Human Risk Management tatsächlich auch interessant für KMUs? Oder nur für große Konzerne und KRITIS-Unternehmen mit hunderten Mitarbeitenden?
Ob ein Unternehmen interessant ist für einen Angreifer entscheidet nie das Unternehmen, sondern immer der Angreifer. Es sind besonders die KMUs, die spannend für Kriminelle etc. sind, weil sie oft in der Lieferkette der „Großen“ eine entscheidende Rolle spielen – und oftmals nicht ausreichend geschützt sind.
Gehen wir mal in medias res. Hast du ein konkretes Beispiel, wie du z.B. das Besucher- oder Lieferantenmanagement von Unternehmen konkret aushebelst? Wo setzt du typischerweise in deinen Pen-Tests an, um physische Schwachstellen im Sicherheitskonzept zu finden?
Bei einem physischen „Angriff“ spähen wir zu Beginn erstmal die Örtlichkeiten verdeckt aus. Dadurch erhalten wir Erkenntnisse über wiederkehrende Abläufe und das bestehende Sicherheitskonzept, also die eingesetzten Sicherheitsmaßnahmen.
Wir schauen genau hin, wie Mitarbeiter, Lieferanten, Reinigungskräfte, Haustechnik, Catering, externe Berater, Handwerker, Kunden etc. sich im und am Zielobjekt bewegen. Wie funktioniert das Besuchermanagement? Gibt es Besucherausweise? Werden Besucher immer am Empfang abgeholt? Wo verbringen die Mitarbeiter ihre Pausen? Verlassen sie dazu das Zielobjekt und wie verhalten sich Gruppen beim Betreten des Objekts? Geht jeder durch die Vereinzelungsanlage oder hält einer für alle eine Nebentür auf? Wenn wir das beobachtet haben, versuchen wir in der Regel, uns als jemand auszugeben, der so aussieht, als würde er genau dahingehören. So können wir dann zum Beispiel den Lieferantenbereich betreten, weil wir exakt so aussehen, wie ein üblicher Lieferant einer bestimmten Firma. Wenn man die Erwartungshaltung der anderen Menschen erfüllt, also im Verhalten und im Aussehen, nehmen einen diese Menschen kaum noch wahr. Insbesondere wenn man sich nicht im teuren Anzug, sondern im Blaumann bewegt.
Wir interessieren uns besonders für das sogenannte Tailgating. Kannst du kurz erklären was das ist und uns ein, zwei Beispiele für solche Tailgating-Szenarien geben?
Tailgaiting bedeutet, dass man gemeinsam mit einer anderen Person eine Zutrittskontrolle überwindet, also „mit reingenommen wird“. Das kann aktiv und bewusst passieren, weil die Person uns für einen Kollegen etc. hält, oder unbewusst, weil viele einfach überhaupt nicht darauf achten, wer mit oder direkt nach ihnen durch eine Tür geht. Tailgaiting kann gut nach der Mittagspause funktionieren, wenn die Mitarbeiter draußen essen waren und jetzt zurück zum Arbeitsplatz gehen. Dann werden sie auf einmal begleitet von einem vermeintlichen Kollegen – sie führen Smalltalk und plaudern und gehen alle gemeinsam zurück an den Arbeitsplatz.
Ebenso gut funktioniert es, sich als Handwerker / Haustechniker etc. auszugeben und nur nonverbal zu kommunizieren und einfach eindeutig zu suggerieren, dass bitte die Tür von innen aufgemacht werden soll oder man mit reingenommen werden möchte.
Können elektronische Schließsysteme im Gegensatz zum mechanischen Schlüssel Sicherheitsrisiken im Zusammenhang mit den Mitarbeitenden, die sie nutzen, minimieren? Wo siehst du hier Vorteile?
Technik ist gut und wichtig, wenn sie am richtigen Platz eingesetzt und gut konfiguriert ist. Auch eine teure Vereinzelungsanlage gibt keine Sicherheit, wenn diese zu lange benötigt, um hinter der eintretenden Person wieder zu schließen, oder sogar die Möglichkeit bietet gleichzeitig mit der ausgehenden Person das Objekt zu betreten. Aber ja, gut konfigurierte und am richtigen Platz eingesetzte Technik reduziert das Restrisiko.
Du plädierst für ein ganzheitliches Sicherheitskonzept beim Kunden. Was verstehst du genau darunter?
Sicherheit muss ganzheitlich gedacht und gelebt werden. Jedes Sicherheitskonzept besteht aus technischen, organisatorischen und personellen Sicherheitsmaßnahmen, dem sogenannten TOP Prinzip. Erst, wenn alle ineinandergreifen, entsteht Sicherheit.
Einfaches Beispiel bei einer teuren Vereinzelungsanlage. Wenn der Haken in der Software nicht gesetzt wurde, dass jeder Mitarbeiter sich nur einmal einloggen kann, weil er dann ja auch schon drin ist und diese Sicherheitskarte somit übertragbar wird, dann kann mit der richtigen psychologischen Technik und Ansprache leicht eine Person dazu gebracht werden, dass sie ihre eigene Karte nutzt, um eine „fremde“ Person mit reinzunehmen.
Du hast sicherlich hunderte Beispiele, wo du Sicherheitslücken aufgedeckt hast. Gibt es auch ein echtes Positiv-Beispiel, wo der Kunde / das Unternehmen alles richtig gemacht hat? Was können wir daraus lernen?
Es gibt natürlich viele Beispiele aus der Pen-Test Praxis, wo wir mal nicht so einfach reingekommen sind, aber ich kann deutlich sagen, das lag selten an der guten Sicherheitstechnik.
Prozesse und Richtlinien sind ebenso wichtig, wie gute Sicherheitstechnik. Wer eine klar definierte Zutrittskontrolle hat und es schafft, dass sich seine Mitarbeitenden an diese Richtlinien halten, der erhöht sein Sicherheitsniveau. Damit sich die Menschen an Richtlinien halten, muss man ihnen den Sinn und Zweck vernünftig erklären, damit sie verstehen, welche Rolle jeder einzelne von ihnen in der Unternehmenssicherheit eigentlich hat. Wir sagen nicht ohne Grund, „der Mensch ist das wichtigste Element in der Unternehmenssicherheit“.
Wie kann man seine Mitarbeitenden bestmöglich für Social Engineering-Attacken sensibilisieren? Was rätst du deinen Kunden?
Ich rate immer, mehrstufig zu trainieren und dabei möglichst viele unterschiedliche Lernmethoden und Kommunikationskanäle zu verknüpfen. So ein Live-vor-Ort-Training, in dem die Mitarbeiter direkt erleben, wie ein solcher Angriff aussehen kann, bringt viele Erkenntnisse und Einsicht bei den „Betroffenen“. Dann aber bitte auf den Begriff Pen-Test verzichten. Niemand wird gern getestet und vorgeführt, wenn er etwas falsch macht. Nutzt lieber den Begriff Situations-Training oder Live-Sicherheitstraining, denn genau das soll es ein, ein Training – genau da, wo auch die echten Angriffe stattfinden würden. Danach oder davor können E-Learnings, Workshops, Lernspiele etc. Sinn machen, um das Wissen immer weiter zu vertiefen und die Awareness der Menschen immer weiterzuentwickeln. Security und Awareness ist ein strategisches Thema, in jedem Unternehmen, man wird damit nie fertig.
Vielen Dank für deine Zeit, Mike!
Das Interview wurde vom unserem Content Marketing Manager Marius Meyer geführt.