Social Engineering

Sicherheitslücke Mensch

| Autor / Redakteur: Pierre Curien / Peter Schmitz

Mitarbeiter sind für viele Experten die größte Schwachstelle im System. Hier ist das Management gefragt, die Mitarbeiter für das Thema Social Engineering zu sensibilisieren.
Mitarbeiter sind für viele Experten die größte Schwachstelle im System. Hier ist das Management gefragt, die Mitarbeiter für das Thema Social Engineering zu sensibilisieren. (Bild: Pixabay / CC0)

Wenn herkömmliche Cyberangriffe an ihre Grenzen stoßen, greifen Hacker auf Social Engineering zurück. Durch die gezielte Manipulation von Mitarbeitern entstehen jährlich Schäden in Milliardenhöhe. Dabei können IT-Manager bereits mit einfachen Methoden das Risiko minimieren.

„Du verrätst mir dein Passwort, dafür bekommst du eine Tafel Schokolade.“ Was sich zunächst wie ein Witz anhört, ist in Wahrheit das Prinzip einer Studie von Forschern aus Deutschland und Luxemburg. Das erschreckende Ergebnis: Fast jeder zweite war bereit, sein persönliches Passwort gegen eine Tafel Schokolade einzutauschen.

Dieser Anreiz, im Rahmen einer wissenschaftlichen Umfrage sowie der nicht alltäglichen Interviewsituation, reichten aus, um den Befragten ihr Passwort zu entlocken. Diese Methode, die die Autoritätshörigkeit, Gier und Neugier sowie das im Menschen verwurzelte Prinzip der Reziprozität (Gegenseitigkeit) ausnutzt, nennt man soziale Manipulation oder eben Social Engineering.

Mitarbeiter sind oft die größte Schwachstelle

In der IT-Sicherheit bezeichnet Social Engineering Angriffsmethoden, bei denen Cyber-Kriminelle durch die Manipulation von Personen versuchen, an sensible Informationen von Unternehmen zu gelangen. Aktuelle Beispiele zeigen, wie anfällig selbst große Unternehmen sind und wie viel Geld durch Social Engineering erbeutet wird: Der Spielzeughersteller Mattel verlor 2016 durch Social Engineering drei Millionen US-Dollar, der Autozulieferer Leoni sogar 40 Millionen Euro.

Diese Angriffe sind deshalb so erfolgreich, weil sie zielgerichtet und personalisiert erfolgen, geringe Kosten verursachen sowie komplexe technologische Barrieren umgehen können. Für viele IT-Sicherheitsforscher sind Mitarbeiter sogar die größte Schwachstelle im System, da sich etwaige Sicherheitslücken nicht durch das Aufspielen von Patches beheben lassen. Hier ist die Management-Ebene gefragt, die Mitarbeiter für das Thema Social Engineering zu sensibilisieren und sie durch gewisse Methoden und Leitlinien zu schulen. Die folgenden vier Schritte sorgen bereits für einen umfassenden Schutz:

Schritt 1: Awareness-Kampagne und Schulungen

Zunächst sollte eine Awareness-Kampagne durchgeführt werden, um auf die Gefahren und die verschiedenen Formen von Social Engineering hinzuweisen. Die Hacker verwenden für ihre Angriffe mitnichten ausschließlich E-Mails, sondern jegliche Chat-Dienste, das Telefon und auch klassische Briefpost. Mitarbeiter sollten verpflichtend in das IT-Sicherheitskonzept eingebunden werden und durch Präventionsschulungen unterstützt werden. Neue Mitarbeiter werden am besten standardmäßig mit dem Begrüßungspaket und während der Einführungstage geschult. Es ist wichtig, dass diese Trainings in regelmäßigen Abständen durchgeführt werden, um über die aktuellsten Probleme und Methoden aufzuklären. Ferner sollte auch der persönliche Nutzen für den Mitarbeiter hervorgehoben werden, um das Interesse für die Thematik auch im privaten Bereich zu erhöhen.

Security Awareness ist Zeitverschwendung!

Lohnt sich Sicherheits-Training?

Security Awareness ist Zeitverschwendung!

23.12.16 - Bei Security Awareness gehen die Meinungen über die Nützlichkeit stark auseinander. Während die einen Security Awareness (#SecAware) als lobenswerte und nützliche Maßnahme einschätzen, behaupten andere, dass es schlichtweg Zeit- und Geld-Verschwendung ist. lesen

Schritt 2: Sicherheitsrichtlinien

Ein weiterer wichtiger Schritt ist die Implementierung von Sicherheitsrichtlinien, die von allen Mitarbeiter zu befolgen sind. Diese Richtlinien werden am besten sowohl schriftlich als auch digital zur Verfügung gestellt. Das richtige Verhalten muss hier klar und präzise formuliert sein, damit Mitarbeiter in kritischen Situationen genau wissen, welche Schritte einzuleiten und welche Personen zu informieren sind.

Auf Cyberangriffe richtig reagieren

Incident Response Planung

Auf Cyberangriffe richtig reagieren

29.05.17 - Unternehmen jeder Größe sind heute ständig durch moderne Cyberattacken bedroht. Das Wissen um die Gefahr alleine reicht allerdings nicht aus. Entscheidend bei einem Sicherheitsvorfall ist eine effiziente und unmittelbare Reaktion. Unternehmen brauchen daher einen aktualisierten Vorgehensplan, einen sogenannten Incident Response Plan. lesen

Schritt 3: Live-Hacking-Sessions

Als sehr erfolgreich haben sich auch Live-Hacking Sessions erwiesen. In diesen Workshops werden praxisnahe Szenarien durchgespielt, die die Mitarbeiter gezielt auf mögliche Social Engineering Angriffe vorbereiten. Diese Sessions sind am hilfreichsten, wenn der Sicherheitsbeauftragte des Unternehmens gleichzeitig auch genaue Handlungsempfehlungen für die jeweiligen Szenarien ausspricht. So sind die Angestellten im Ernstfall nicht vom Überraschungseffekt gelähmt und haben eine genaue Vorgehensweise zur Hand. In sogenannten Penetrationstests können IT-Verantwortliche zusätzlich stichprobenartig unangekündigte Tests durchführen, um zu prüfen, wie Mitarbeiter auf mögliche Social Engineering Angriffe reagieren. Hier ist jedoch zu beachten, dass ggfs. der Betriebsrat im Voraus darüber informiert werden muss.

Intensivtraining gegen Phishing-Angriffe

Security-Startups im Blickpunkt: IT-SEAL

Intensivtraining gegen Phishing-Angriffe

21.03.17 - Security-Tools die heute noch den Angriffen von Cyberkriminellen erfolgreich Paroli bieten können, sind morgen vielleicht schon nutzlos gegen neue Angriffsformen. Startup- Unternehmen, neugegründet, mit Begeisterung, innovativen Ideen und kreativen Konzepten nehmen den Kampf auf und helfen den IT- und Security-Verantwortlichen, den neuen und modifizierten Bedrohungen von Morgen zu begegnen. lesen

Schritt 4: Passender Antivirenschutz

Daneben ist es sehr wichtig, eine passende IT-Sicherheitsarchitektur zu implementieren und seine Antiviren-Programme mit regelmäßigen Updates immer auf dem neuesten Stand zu halten. Denn diese sind immer nur so effizient, wie es ihre Datenbanken sind. Eine gleichwertige Alternative dazu sind cloudbasierte Schutzprogramme oder Lösungen, die als Security as a Service angeboten werden.

Um sich erfolgreich vor Social Engineering zu schützen, bedarf es also eines integrierten IT-Security-Konzepts, das hinsichtlich der aktuellen Risiken und Methoden permanent aktualisiert wird. Das Sicherheitskonzept und die zugrundeliegende Sicherheitsphilosophie müssen bis zum letzten Mitarbeiter durchgedrungen sein, sodass das Sicherheitsdenken im Unternehmen tief verankert ist. Denn nur wenn sich die Mitarbeiter über die psychologischen Methoden der Angreifer im Klaren sind, können sie diese auch durchschauen.

Über den Autor: Pierre Curien ist Geschäftsführer der Doctor Web Deutschland GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44718509 / Hacker und Insider)