Auf vielfachen Wunsch eines einzelnen Herrn fange ich heute eine neue Rubrik an: Meine Leseempfehlungen – oder kurz RTFB – Read This Fabulous Book.
Kevin Mitnick und William Simon: Risikofaktor Mensch – Die Kunst der Täuschung.
Dieses Buch handelt von IT-Sicherheit. Aber es handelt nicht von Antiviren-Software, Patch-Strategien, Grey-Listing, Backup-Reglungen oder Multiplen DMZ-Umgebungen. Es handelt von der häufigsten Fehlerquelle, von dem, was Admins gerne als den OSI-Layer-8 nennen. Es handelt von den Menschen, die in Firmen arbeiten.
Social Engineering gilt als die gefährlichste Angriffsform auf Rechnernetze. Mit ihr greift man an der verwundbarsten Stelle des Rechnersystems an. Und wie Social Engineering funktioniert, wie es durchgeführt wird und wie man Schutzmaßnahmen dagegen aufbaut, ist das Thema, welches von Mitnick und Simon gekonnt und anschaulich dargestellt wird.
Mitnick und Simon verwenden einen sehr gut nachvollziehbaren Erzählstil, um ihre Beispiele für Social Engineering auszuschmücken. Sie machen an vielen Beispielen die Gefahr deutlich, die von Social Engineering ausgeht: So erzählen Sie, wie man durch scheinbar harmlose Telefongespräche Vertrauen aufbauen kann oder wie man durch geschicktes Nachfragen Information für weitere Angriffe sammelt. Sie beschreiben, wie man Eitelkeiten oder auch die Hilfsbereitschaft von Mitarbeitern ausnutzt, um an Information zu kommen.
Doch beschränken Sie sich nicht auf eine reine erzählende Darstellung eines Angriffs mittels Social Engineering. Sie analysieren im Nachgang auch, welche Schwachstellen sie ausgenutzt haben und wie man sich davor schützen könnte. Der Stil dabei ist unterhaltsam, aber zugleich präzise. Dies macht das Buch einfach verständlich, und dennoch tiefgehend genug.
Es ist klar, keiner der Autoren ist ein Psychologe und wäre somit in der Lage, wissenschaflich exakt die Denkmuster und Verhaltensweisen zu analysieren, welche ausgenutzt werden. Doch das ist auch nicht das Ziel des Buches. Es ist auch kein Werk wie das IT-Grundschutz-Handbuch, welches genaue Handlungsanweisungen gibt. Und es ist auch keine Wissenschaftliche Abhandlung über IT-Sicherheit. Es ist eine Einführung in das Social Engineering. Und die ist gelungen!
Um sich den Stil besser vorstellen zu können, habe ich ein Social-Engineering-Experiment, an dem ich selbst mitgewirkt habe, ein wenig im Stil von Mitnik und Simon ausgeschmückt. Wem der Stil gefällt, dem sei das Buch von Mitnik und Simon empfohlen. Gute Unterhaltung.
Zur Zeit habe ich eine Klausur nach der anderen und nach etwas interessanter Lektüre zum entspannen gesucht. Da kam mir deine Empfehlung genau recht.
Amazon hat auch schnell geliefert und nun bin ich nach 3 Tagen schon halb durch.
Ich muss sagen, dass Buch ist wirklich klasse geschrieben, sehr interessante Ansätze sind dabei.
Besonders der Aufbau:
Geschichte => Erklärung => mögliche Gegenmaßnahmen
gefällt mir sehr gut.
Also, vielen Dank für den Tipp, bitte weitere Empfehlungen posten 🙂