Aus dem Unterricht des CAS Mobile Business & Ecosystems mit Gastdozent Ivano Somaini berichtet Student Roger Sutter:

Am Letzten Unterrichtstag vom CAS Mobile Business & Ecosystems Herbst 2018 stellt uns Ralph Hutter Ivano Somaini als Impulsreferent vor. Ivano arbeitet bei der Compass Security und ist dort spezialisiert auf Social Engineering. Ivano definiert Social Engineering wie folgt:

„Any act that influences a person to take an action that is or is not in their best interest“.

Konkret besteht der Job von Ivano darin, durch Social Engineering Sicherheitssysteme von Firmen zu überprüfen und zu knacken. Er macht dies im Auftrag der Firma und bricht dabei nicht nur elektronisch, sondern auch physisch in Firmen ein. Ivano hat IT-Security an der ETH studiert und hat sich nebenbei als Schauspieler versucht. Beide Leidenschaften kann er perfekt in seinem Job kombinieren.

Im Folgenden stellt uns Ivano 5 reale Beispiele für Social Engineering vor, welche er selber durchgeführt hat.

  • Beim ersten Beispiel sehen wir in einem Überwachungsvideo, wie Ivano in er Einstellhalle einer Schweizer Privatbank mithilfe der Kaffeebohnenlieferantin in die Bank eindringt. Dabei nutzt er geschickt die Situation aus und tut so, als hätte er keine Hand frei um mit seinem, natürlich gefälschten, Badge reinzukommen. Vor dem Angriff hat er das Gebäude und die regelmässigen Abläufe genau studiert, nur so lässt sich ein Social Engineering Angriff erfolgreich durchführen.
  • Im zweiten Beispiel wird der Angriff digital ausgeführt. Ivano sendet eine E-Mail mit gefälschten Absender (HR-Chef) und einem Link auf einen angeblichen Bonuskalkulator an Bankmitarbeiter. Viele Mitarbeiter klicken auf den Link und installieren somit unbeabsichtigt einen Trojaner.
  • Im dritten Beispiel erwirkt Ivano mittels gefälschten E-Mail-Verlauf eine Firewall-Änderung. Dabei nutzt er geschickt die Tatsache, dass der CEO am Freitag jeweils abwesend ist und die Stellvertreter somit unter Druck gestellt werden können.
  • Im vierten Angriff nutzt Ivano SMS als Angriffsmedium. Er sendet eine SMS an die Assistentin des CEO mit dem gefälschten Absender vom CISO und verschafft sich so Zugriff auf einen Computer.
  • Im fünften Beispiel prallen die Angriffe von Ivano vorerst an der Sicherheit ab. Bis sich Ivano und ein Arbeitskollege am 06.12. als Samichlous und Schmutzli verkleiden und so in die Firma eindringen können.

Das Referat von Ivano ist sehr eindrucksvoll und äusserst amüsant. Es führt uns vor Augen, wie einfach in Firmen eingedrungen werden kann. Dabei verwendet Ivano immer eine Mischung aus IT und menschlicher Beeinflussung – Social Engineering eben! Zum Abschluss mahnt uns Ivano, nicht zu viele persönliche Details im Internet zu veröffentlichen, denn genau diese Informationen können in gesammelter Form für Social Engineering genutzt werden. Mit jedem Post gibt man ein Stück Privatsphäre preis, das wird uns durch das Referat eindrücklich vor Augen geführt!

Zum Abschluss diskutieren wir als Klasse zusammen mit Ralph Hutter über den CAS und haben Gelegenheit unsere Gedanken zu äussern. So viel sei gesagt: der CAS hat allen Studenten insgesamt sehr gut gefallen und war professionell organisiert. Chapeau HWZ!