Social Engineering

Der Hack des menschlichen Betriebssystems

Seite: 3/4

Anbieter zum Thema

Angriffswege

Social-Engineering-Angreifer können zwischen mehreren Mitteln und Wegen wählen:

Webseiten: Social-Engineering-Angriffe nutzen häufig böswillige Webseiten als Angriffsweg. Laut dem 2014 Verizon Data Breach Investigations Report (Untersuchungsbericht von Verizon zu Datenkompromittierungen 2014) nutzen „20 Prozent der durch Spionage motivierten Angriffe eine strategische Web-Kompromittierung, um Malware zu übertragen“.

E-Mail: Die häufigste Form des Social Engineering per E-Mail sind Phishing sowie das gezieltere Spearphishing. E-Mails sind eine effektive Methode für Internetkriminelle, da laut dem Verizon-Bericht „18 Prozent aller Benutzer auf einen Link in einer Phishing‑E‑Mail klicken“.

Telefon: Dieser Weg wird von Informationshändlern gern genutzt.

Von Angesicht zu Angesicht: Hier wird ein Mitarbeiter angesprochen und gezwungen oder überlistet, die gewünschten Informationen preiszugeben.

Post: Obwohl dieser Angriffsweg weniger offensichtlich erscheint als die zuvor genannten, gibt es immer noch Berichte über Social-Engineering-Angriffe per Post.

Fax: Hierzu zählen beispielsweise E-Mails, die sich als Nachrichten von Online-Zahlungsdiensten ausgeben.

Schutz vor Social Engineering

Mit den folgenden Kontrollen können Sie die Risiken durch Social Engineering verringern. Diese Maßnahmen werden in drei Kategorien eingeteilt: Mitarbeiter, Prozesse und Technologien. Die Kontrollen bieten keinen umfassenden Schutz und sind nicht in allen Unternehmen anwendbar.

Mitarbeiter

  • Legen Sie klare Grenzen fest: Alle Mitarbeiter sollten stets die Richtlinien zur Weitergabe von Informationen beachten und sich an feste Eskalierungsstufen halten, falls eine Anfrage außerhalb ihres Zuständigkeitsbereichs fällt.
  • Laufende Schulungen: Starten Sie ein Programm zur Förderung des Sicherheitsbewusstseins, um die Mitarbeiter langfristig zu schulen. Nutzen Sie Mittel wie das McAfee-Phishing-Quiz, um bei Angriffen häufig eingesetzte Taktiken vorzustellen.
  • Überprüfen von Berechtigungen: Geben Sie Ihren Mitarbeitern das Selbstvertrauen, auch scheinbar harmlose Anfragen zu hinterfragen. Beispielsweise sollten Ihre Mitarbeiter nachfragen, wenn fremde Personen im Schlepptau einer Gruppe in die Büroräume gelangen wollen.
  • Betonung der Bedeutung von Informationen: Selbst scheinbar harmlose Informationen wie Telefonnummern (nutzbare Information) können der Durchführung eines Angriffs dienen.
  • Aufbau einer Kultur der Schuldlosigkeit: Die Ziele der Social-Engineering-Angreifer sind Opfer. Durch die Bestrafung von Mitarbeitern, die auf einen solchen Angriff hereingefallen sind, werden die übrigen Mitarbeiter weitaus weniger gewillt sein, eine Informationsweitergabe zuzugeben. Sobald sie einmal hereingelegt wurden, könnten sie dadurch dauerhaft vom Social-Engineering-Angreifer erpresst werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:43239250)