In dieser Episode von BlueScreen vertiefen wir uns in ein faszinierendes Thema – die Welt des Social Engineering und wie Lügen in diesem Kontext zur Berufung werden können. Ich bin Alex, euer Host, und ich habe den Penetrationstester Alexander Politz im Studio, der uns einen aufregenden Einblick in seine Arbeit und die psychologischen Aspekte von Social Engineering geben wird.

Wir beginnen mit einer Diskussion über Alexanders faszinierenden Werdegang in der IT-Sicherheit, wo er sich auf die sozialen und zwischenmenschlichen Aspekte konzentriert. Er erklärt, dass Lügen und Täuschung zentrale Werkzeuge in seiner Arbeit sind, da er oft von Unternehmen beauftragt wird, Sicherheitslücken zu schließen. Während wir tiefer in das Thema eintauchen, erklärt Alex, dass Social Engineering weit über die typischen Phishing-Methoden hinausgeht und wirft einen Blick auf die vielfältigen Techniken, die er in der Praxis anwendet, um Zugang zu sensiblen Informationen und Räumlichkeiten zu erlangen.

Das Gespräch verlagert sich auf die strategische Vorbereitung auf einen Test: Alex erläutert die Bedeutung von Open Source Intelligence (OSINT) und wie er Informationen über das Zielunternehmen sammelt. Dabei beleuchtet er, worauf man bei der Auswahl einer Technik achten sollte und wie wichtig es ist, flexibel auf sich ändernde Gegebenheiten vor Ort zu reagieren. Er vermittelt, dass der Schlüssel zum Erfolg oft darin besteht, die Körpersprache der Menschen zu lesen und empathisch auf ihre Reaktionen zu reagieren.

Ein besonders spannendes Segment des Gesprächs dreht sich um die Herangehensweise an Social Attacks in Deutschland im Vergleich zu anderen Ländern. Alex diskutiert, wie hierarchische Strukturen und eine generelle Vertrauensseligkeit dazu führen können, dass Menschen weniger vorsichtig sind und leichter in eine Falle tappen. Dies führt zu der Frage, wie Unternehmen ihre Sicherheitsmaßnahmen optimieren können, um widerstandsfähiger gegen solche Angriffe zu werden. Alex gibt praxisnahe Tipps dazu, wie Organisationen Schulungen und Trainings gestalten sollten, um ein Bewusstsein für die Gefahren des Social Engineering zu schaffen und eine offene Fehlerkultur zu fördern.

Neben der Theorie teilt Alex auch spannende Geschichten aus seiner Praxis. So erzählt er von seinem Erlebnis, als er in einem Autohaus durch eine Mischung aus Hilfsbedürftigkeit und Charme Zugang zu sensiblen Informationen erlangte. Dies wird von ihm als Paradebeispiel für die Wirksamkeit von Social Engineering dargestellt – eine fesselnde Anekdote, die verdeutlicht, wie einfach es sein kann, Vertrauen zu missbrauchen.

Im Laufe des Gesprächs verweisen wir auch auf ethische Fragestellungen und die Verantwortung, die Sicherheitsprofis tragen, um sicherzustellen, dass ihre Arbeit nicht zulasten der angestellten Personen geht. Alex betont, dass es wichtig ist, sämtliche Ergebnisse anonymisiert zu behandeln und dass im Vordergrund stets das Ziel stehen sollte, die Organisationen zu sensibilisieren, ohne dass Einzelpersonen angreifbar gemacht werden.

Bevor wir zum Schluss kommen, gibt Alex Politz unseren Zuhörern wertvolle Ratschläge mit auf den Weg: Jeder Mensch spielt eine Rolle in der Sicherheitsarchitektur eines Unternehmens, und es ist entscheidend, das Vertrauen, das in einen gesetzt wird, ernst zu nehmen. Sicherheit ist nicht nur eine Frage der Technologie, sondern auch der zwischenmenschlichen Interaktionen und der persönlichen Verantwortung.

Shownotes: