Sergio P. bricht in Gebäude ein und manipuliert Menschen – alles legal und im Namen der Sicherheit (lies Teil 1 des Interviews, um zu sehen, was ein Penetration Tester genau macht). Was ihm auffällt: Oft scheinen Menschen das schwächste Glied der Sicherheitskette zu sein.

Beim «Social Engineering» greifen Penetration Tester genau dieses Glied an. «Menschen wollen einander helfen. Die meisten sind von Natur aus nicht misstrauisch.» Grundsätzlich empfiehlt P., immer alles zu überprüfen. Wenn jemand am Empfang auftaucht, den man noch nie gesehen hat, sollte man erstmals stutzig werden.

Erklärt die Person dann, dass sie den Eintritts-Badge oder ID vergessen hat, sollte man sie nicht ohne zu überlegen ins Gebäude lassen. Man soll immer nachhacken, was genau die Person will und im Zweifel verifiziert man die Geschichte mit einer kurzen Mail oder einem Telefon bei einer betreffenden Person oder bei einem Vorgesetzten.

Wachsamkeit trainieren

Kriminelle sehen nicht aus wie in den Filmen. Wer ein Sommerkleid trägt, kann genau so böse Absichten haben, wie jemand mit schwarzem Kapuzenpullover. Der Experte rät Unternehmen dazu, das Personal regelmässig zu schulen. «Nur so bleiben die Leute wachsam und lernen, andere kritisch zu hinterfragen.»

Ausserdem dienen solche Penetration-Tests genau dazu, Sicherheitslücken zu identifizieren. Wer also eine Firma wie Secmentis anheuert, tut sich keinen Gefallen daran, die Arbeitenden darüber zu informieren. Kriminelle würden ihren Angriff ja auch nicht ankündigen.

*Das Interview wurde über Zoom und auf Englisch geführt.

(wan.)