Wie Social-Engineering-Attacken die Unternehmen gefährden

Die Kunst der Täuschung

Beim „Social Engineering“ nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich schwächstes Glied innerhalb der Sicherheitskette aus. Um sich vor Social-Engineering-Attacken zu schützen, sollten IT-Chefs die Belegschaft nicht nur sensibilisieren, sie müssen auch technologisch aufrüsten.

Sascha Wellershoff, Vorstand von Virtual Solution

Sascha Wellershoff, Vorstand von Virtual Solution: „Mitarbeiter verursachen aus Unvorsichtigkeit oder Goodwill-Mentalität Sicherheitslücken und werden so zum Einfallstor für Social Engineering. Schulungen allein lösen das Problem nicht.

Phishing, Whaling, CEO-Fraud – die Unternehmens-IT wird zunehmend mit Hilfe von Social-Engineering-Angriffen auf Mitarbeiter attackiert. IT-Chefs können dabei nicht auf die gängigen Abwehrmechanismen in Form von Anti-Viren-Programmen setzen, denn die Hacker machen sich die menschliche Psyche zunutze.

„Der Mensch ist ein Gewohnheitstier: Während man im Büro meistens mehr Vorsicht walten lässt, werden selbst einfache Sicherheitsregeln bei der Nutzung von mobilen Devices aus Gewohnheit und Bequemlichkeit außer Acht gelassen“, erklärt Sascha Wellershoff, Vorstand von Virtual Solution in München. „Viele machen sich beispielsweise nicht die Mühe, die Mail-Adresse des Absenders anzuklicken, um die vollständige Adresse angezeigt zu bekommen. Endgeräte, die auf ‚User Experience‘ getrimmt sind und gegenüber Desktop-Systemen nur reduzierte Display-Darstellungsmöglichkeiten bieten, spielen den Angreifern somit in die Karten.“

Security Awareness“ gefragt

Während gefälschte Mails von Amazon oder Paypal, die in schlechtem Deutsch zur Passworteingabe auffordern, auf dem Rückzug sind, hat sich „Social Engineering“ bei Cyber-Kriminellen zum Kassenschlager entwickelt. Trotz prominenter Beispiele für erfolgreiche Angriffe denken viele Mitarbeiterinnen und Mitarbeiter etwa bei einer E-Mail von der Geschäftsführung nicht gleich an einen möglichen Betrug.

Es gilt daher, sie für Social-Engineering-Angriffe zu sensibilisieren und die sogenannte „Security Awareness“ im gesamten Unternehmen zu steigern. Dazu zählen die zwei folgenden Maßnahmen:

  • Den Wissensstand der Belegschaft zum Thema IT-Sicherheit und speziell zu „Social Engineering“ erfassen. Im Fokus sollte das Verständnis stehen, warum die Diskretion jedes einzelnen von zentraler Bedeutung für die Sicherheit des Unternehmens ist. Ganz wichtig: Jeder sollte schon bei einem Verdacht Bescheid sagen, ohne Konsequenzen fürchten zu müssen.

  • Neben Schulungen sind für eine kontinuierliche Verbesserung regelmäßige Tests unabdingbar. Die gängigste Methode sind Penetrationstests mit fingierten Phishing-E-Mails. Anhand der Auswertung der Klickraten können Erfolge und Mängel im Security-Awareness-Programm identifiziert und entsprechend angepasst werden. Zudem lassen sich gezielt qualitative Schwachstellen ausmachen.

Diese Maßnahmen sind vor allem deswegen relevant, da es immer selbstverständlicher geworden ist, die mobilen Endgeräte der Beschäftigten in die Unternehmens-IT einzubinden. Gerade „Bring your own device“-Modelle haben einen großen Nachteil: Kaum jemand stellt an die private Gerätenutzung dieselben Sicherheitsanforderungen wie sie für Unternehmen gelten. Unsichere Passwörter, die Installation von Apps aus unbekannten Quellen oder die Nutzung des Geräts durch Dritte sind Sicherheitsrisiken, die durch die parallele Nutzung entstehen.

Einen einfachen technischen Lösungsansatz, der die negativen Auswirkungen von Social-Engineering-Attacken minimiert, sieht Wellershoff in einer strikten Datentrennung auf dem mobilen Endgerät. Mit Container-Technologie, wie sie bei der Office-App SecurePIM von Virtual Solution eingesetzt wird, können Business-Daten von privaten Daten zu 100 Prozent DSGVO-konform getrennt gehalten werden.

Zudem werden die Business-Daten im Container verschlüsselt gespeichert und versendet. Allein mit der gekaperten E-Mail-Adresse und dem Passwort ist ein Zugriff nicht möglich. „Mitarbeiter verursachen aus Unvorsichtigkeit oder Goodwill-Mentalität Sicherheitslücken und werden so zum Einfallstor für Social Engineering“, so Wellershoff weiter. „Schulungen allein lösen das Problem nicht. Unternehmen sollten auf keinen Fall die Devices ihrer Mitarbeiter vergessen und sie in ihre Sicherheitslösung einbetten.“

Bildquelle: Virtual Solution

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok