Wie bereits ausgeführt, handelt es sich bei Social Engineering um ein Problem, das schwerpunktmäßig außerhalb des Unternehmens auftritt, so dass Mittel des Betriebsschutzes nur schwer oder überhaupt nicht greifen. Das eigentliche Ziel einer Operation – das Gehirn des Opfers – kann von seinem Arbeitgeber weder kontrolliert noch überwacht werden. Hinzu kommt, dass das Ziel im – vermeintlich - privaten Umfeld unterwegs ist, so dass hier gesetzliche Regelungen zu Daten- und Persönlichkeitsschutz greifen.
Da die Strategien und Handlungsweisen des Social Engineering aus dem Bereich HUMINT, d.h. der nachrichtendienstlichen Praxis kommen, ist es nicht verwunderlich, dass die gangbarsten Lösungen ebenfalls aus diesem Sektor kommen und sich an die Prinzipien der Gegenspionage anlehnen.
Das wirft für Unternehmen zunächst ein Problem auf: Aus Gründen des Persönlichkeitsschutzes, dürfen Unternehmen ihre Mitarbeiter nicht aktiv und dauerhaft im Internet überwachen. Während es technisch möglich wäre, per Data Mining und Web Crawling ständig den Überblick zu behalten, wäre eine solche Operation nach den meisten westlichen Rechtsordnungen schlicht und ergreifend illegal. Richtig ist, dass Unternehmen im konkreten Verdachtsfall analog zum Einsatz von Privatdetektiven vorgehen können. Auch hier sind jedoch enge Grenzen gesetzt, so dass es im Zweifelsfall sinnvoller sein kann, polizeilichen Beistand einzuholen.
Da mitarbeiterbezogene aktive Gegenspionage somit ausfällt, bleiben einem Unternehmen fünf aktive, vorbeugende Maßnahmen zum Schutz gegen Social Engineering:
- Überwachung der eigenen Webpräsenz und von im Zusammenhang mit dem Unternehmen und seinen Produkten, Techniken und Strategien stehenden Postings.
- Steigerung des Gefahrenbewusstseins der Mitarbeiter.
- Aus- und Weiterbildung der Mitarbeiter.
- Einrichtung einer proaktiven Unternehmenspolitik, um Mitarbeiter im Falle einer erfolgten Operation einzubinden und nicht zu verängstigen.
- Aktive Verschleierung und Desinformation.
Die erste Maßnahme stellt gewissermaßen das Gegenstück zu den Handlungen der Gegenseite dar. Das Unternehmen versucht hier einerseits ein genaues Bild dessen zu erhalten, was ein Gegner durch OSINT herausbekommen könnte. Andererseits dient sie dazu, Sicherheitsverstöße und Informationsaustritte zu identifizieren und zu lokalisieren. Mittel der Wahl sind hier üblicherweise Webcrawler und Data Mining. Allerdings kann bisweilen bereits eine erste Google-Suche wichtige Hinweise auf bestehende Probleme geben.
Wie bereits ausgeführt sind Mitarbeiter und ihr Verhalten im Internet die Schnittstelle an die Social Engineering andockt. Unternehmen, die ihre Sicherheit ernst nehmen, müssen daher ihren Mitarbeitern aller Verantwortungsebenen, von der Direktion bis zum Hausmeister, das Konzept verdeutlichen und ihnen klar machen, was für sie persönlich und für ihren Arbeitsplatz auf dem Spiel steht. Ziel ist es, das abstrakte, unrealistische Bild der Spionage durch ein realistisches Risikobewusstsein zu ersetzen.
