Schweizer Banken bauen sich mehr und mehr zu Festungen aus. Trotzdem gibt es noch eklatante Sicherheitslücken, wie Ivano Somaini von Compass Security Schweiz berichtete.
Seine Firma kontaktiert man, wenn man testen will, ob die Sicherheitsvorkehrungen des Unternehmens etwas taugen oder nicht: Ivano Somaini (Bild unten) ist Security Analyst und Social Engineer bei Compass Security Schweiz.
Die Firma wird unter anderem von Banken und Versicherungen dafür bezahlt, sich an den Sicherheitsvorkehrungen vorbei zuschleusen und Lücken aufzuzeigen, was virtuell oder in Person erfolgen kann. «Ab und zu treten wir auch verkleidet auf, zum Beispiel als Belüftungstechniker, als Mitarbeiter, oder als Student», so Somaini.
Er sprach am Private Banking Day, dem jährlichen Treffen, das die Vereinigung Schweizerischer Assetmanagement- und Vermögensverwaltungsbanken sowie die Vereinigung Schweizerischer Privatbanken organisieren und das heuer unter dem Motto «Cyber-Ära: Ist der Schutz von Vermögen und Privatsphäre noch möglich?» über die Bühne ging.
Doch nicht nur als Mitarbeiter gelang es ihm bereits, sich Zutritt in fremde Firmen zu verschaffen: «Zweimal sind wir auch schon als Samichlaus und Schmutzli aufgetreten, das hat auch sehr gut funktioniert.»
«Sie waren extrem zufrieden»
Auf die Frage der Moderatorin, ob niemand nachgefragt habe, sagte Somaini nur: «Jene Bank hat solche Aktivitäten nie organisiert. Dieses Jahr haben sie sich besonders gefreut, dass das in diesem Jahr gemacht wurde, und ich habe gesagt, dass wir vom HR engagiert wurden. Sie waren extrem zufrieden und haben uns Badges für das Gebäude ausgehändigt.»
Das brauche starke Nerven, so Somaini. Selbstvertrauen ausstrahlen müsse er aber nicht, erklärt er. «Man muss nur die richtige Rolle spielen. Ich weiss, dass ich nicht sehr autoritär aussehe. Ich sehe mehr wie jemand aus, der Hilfe braucht, darum spiele ich sicher nur solche Rollen und mache mir das so zunutze.»
Mitarbeitende das schwächste Glied
Gefährlich kann ihm sein Beruf eigentlich nicht werden, und doch gibt es Unternehmen, die sich noch richtig schützen. Er selber wurde zwar noch nie verhaftet, einer seiner Mitarbeiter aber hingegen schon: «Es war in einer Anwaltskanzlei in Zürich und wir mussten sie mehrmals testen. Und beim vierten Mal hatten sie wohl irgendwie genug und haben gemerkt, dass etwas falsch war.»
Die grösste Schwachstelle, sagt er aus Erfahrung, sei in allen Fällen der Mensch: «97 Prozent unserer Erfolge basieren darauf, dass jemand einen Fehler macht. Etwa auf einen Link klickt, einen fremden USB-Stick einsteckt, oder was auch immer.» Vor allem Banken rät er, sie sollen statt nur in teure Sicherheitssysteme mehr Geld in entsprechende Schulungen von Angestellten investieren.