:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Social Engineering Sicherheitslücke Mensch
Wenn herkömmliche Cyberangriffe an ihre Grenzen stoßen, greifen Hacker auf Social Engineering zurück. Durch die gezielte Manipulation von Mitarbeitern entstehen jährlich Schäden in Milliardenhöhe. Dabei können IT-Manager bereits mit einfachen Methoden das Risiko minimieren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
„Du verrätst mir dein Passwort, dafür bekommst du eine Tafel Schokolade.“ Was sich zunächst wie ein Witz anhört, ist in Wahrheit das Prinzip einer Studie von Forschern aus Deutschland und Luxemburg. Das erschreckende Ergebnis: Fast jeder zweite war bereit, sein persönliches Passwort gegen eine Tafel Schokolade einzutauschen.
Dieser Anreiz, im Rahmen einer wissenschaftlichen Umfrage sowie der nicht alltäglichen Interviewsituation, reichten aus, um den Befragten ihr Passwort zu entlocken. Diese Methode, die die Autoritätshörigkeit, Gier und Neugier sowie das im Menschen verwurzelte Prinzip der Reziprozität (Gegenseitigkeit) ausnutzt, nennt man soziale Manipulation oder eben Social Engineering.
Mitarbeiter sind oft die größte Schwachstelle
In der IT-Sicherheit bezeichnet Social Engineering Angriffsmethoden, bei denen Cyber-Kriminelle durch die Manipulation von Personen versuchen, an sensible Informationen von Unternehmen zu gelangen. Aktuelle Beispiele zeigen, wie anfällig selbst große Unternehmen sind und wie viel Geld durch Social Engineering erbeutet wird: Der Spielzeughersteller Mattel verlor 2016 durch Social Engineering drei Millionen US-Dollar, der Autozulieferer Leoni sogar 40 Millionen Euro.
Diese Angriffe sind deshalb so erfolgreich, weil sie zielgerichtet und personalisiert erfolgen, geringe Kosten verursachen sowie komplexe technologische Barrieren umgehen können. Für viele IT-Sicherheitsforscher sind Mitarbeiter sogar die größte Schwachstelle im System, da sich etwaige Sicherheitslücken nicht durch das Aufspielen von Patches beheben lassen. Hier ist die Management-Ebene gefragt, die Mitarbeiter für das Thema Social Engineering zu sensibilisieren und sie durch gewisse Methoden und Leitlinien zu schulen. Die folgenden vier Schritte sorgen bereits für einen umfassenden Schutz:
Schritt 1: Awareness-Kampagne und Schulungen
Zunächst sollte eine Awareness-Kampagne durchgeführt werden, um auf die Gefahren und die verschiedenen Formen von Social Engineering hinzuweisen. Die Hacker verwenden für ihre Angriffe mitnichten ausschließlich E-Mails, sondern jegliche Chat-Dienste, das Telefon und auch klassische Briefpost. Mitarbeiter sollten verpflichtend in das IT-Sicherheitskonzept eingebunden werden und durch Präventionsschulungen unterstützt werden. Neue Mitarbeiter werden am besten standardmäßig mit dem Begrüßungspaket und während der Einführungstage geschult. Es ist wichtig, dass diese Trainings in regelmäßigen Abständen durchgeführt werden, um über die aktuellsten Probleme und Methoden aufzuklären. Ferner sollte auch der persönliche Nutzen für den Mitarbeiter hervorgehoben werden, um das Interesse für die Thematik auch im privaten Bereich zu erhöhen.
:quality(80)/images.vogel.de/vogelonline/bdb/1132700/1132752/original.jpg "Die Akzeptanz und Unterstützung von Security Awareness bzw. IT Sicherheit durch Mitarbeiter ist keine universelle Voraussetzung. Man muss auch damit rechnen, dass sich Mitarbeiter nicht für dieses Thema interessieren. (geralt-Pixabay)")
Lohnt sich Sicherheits-Training?
Security Awareness ist Zeitverschwendung!
Schritt 2: Sicherheitsrichtlinien
Ein weiterer wichtiger Schritt ist die Implementierung von Sicherheitsrichtlinien, die von allen Mitarbeiter zu befolgen sind. Diese Richtlinien werden am besten sowohl schriftlich als auch digital zur Verfügung gestellt. Das richtige Verhalten muss hier klar und präzise formuliert sein, damit Mitarbeiter in kritischen Situationen genau wissen, welche Schritte einzuleiten und welche Personen zu informieren sind.
:quality(80)/images.vogel.de/vogelonline/bdb/1235600/1235634/original.jpg "Der wichtigste Faktor bei einem Cyberangriff ist eine sofortige und konsequente Reaktion. Sie kann darüber entscheiden, ob der Angriff ernsthafte Schäden verursacht oder nicht. (Pixabay)")
Incident Response Planung
Auf Cyberangriffe richtig reagieren
Schritt 3: Live-Hacking-Sessions
Als sehr erfolgreich haben sich auch Live-Hacking Sessions erwiesen. In diesen Workshops werden praxisnahe Szenarien durchgespielt, die die Mitarbeiter gezielt auf mögliche Social Engineering Angriffe vorbereiten. Diese Sessions sind am hilfreichsten, wenn der Sicherheitsbeauftragte des Unternehmens gleichzeitig auch genaue Handlungsempfehlungen für die jeweiligen Szenarien ausspricht. So sind die Angestellten im Ernstfall nicht vom Überraschungseffekt gelähmt und haben eine genaue Vorgehensweise zur Hand. In sogenannten Penetrationstests können IT-Verantwortliche zusätzlich stichprobenartig unangekündigte Tests durchführen, um zu prüfen, wie Mitarbeiter auf mögliche Social Engineering Angriffe reagieren. Hier ist jedoch zu beachten, dass ggfs. der Betriebsrat im Voraus darüber informiert werden muss.
:quality(80)/images.vogel.de/vogelonline/bdb/1203300/1203342/original.jpg "IT-SEAL ist ein Security-Startup, das durch die realistische Nachbildung eines Cyber-Angriffs auf Phishing-Basis Unternehmen dabei hilft zu erkennen, wo Verbesserungsbedarf besteht. (schinsilord - Fotolia)")
Security-Startups im Blickpunkt: IT-SEAL
Intensivtraining gegen Phishing-Angriffe
Schritt 4: Passender Antivirenschutz
Daneben ist es sehr wichtig, eine passende IT-Sicherheitsarchitektur zu implementieren und seine Antiviren-Programme mit regelmäßigen Updates immer auf dem neuesten Stand zu halten. Denn diese sind immer nur so effizient, wie es ihre Datenbanken sind. Eine gleichwertige Alternative dazu sind cloudbasierte Schutzprogramme oder Lösungen, die als Security as a Service angeboten werden.
Um sich erfolgreich vor Social Engineering zu schützen, bedarf es also eines integrierten IT-Security-Konzepts, das hinsichtlich der aktuellen Risiken und Methoden permanent aktualisiert wird. Das Sicherheitskonzept und die zugrundeliegende Sicherheitsphilosophie müssen bis zum letzten Mitarbeiter durchgedrungen sein, sodass das Sicherheitsdenken im Unternehmen tief verankert ist. Denn nur wenn sich die Mitarbeiter über die psychologischen Methoden der Angreifer im Klaren sind, können sie diese auch durchschauen.
Über den Autor: Pierre Curien ist Geschäftsführer der Doctor Web Deutschland GmbH.
(ID:44718509)
:quality(80)/p7i.vogel.de/wcms/ec/bd/ecbdc129c5aaf6aeebcf06f0a9948183/0109633518.jpeg "Deep-Fake-Attacken werden zunehmend zu einer Gefahr für IT-Administration und Service Desks. Specops Software bietet die passenden Tools an, um derartige Angriffe abzuwehren. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/e3/4a/e34a68d48018059ecb7aef41e101dcff/0111274291.jpeg "Wenn Mitarbeitende durch Simulationen lernen, was im Notfall zu tun ist, wissen sie, wie sie im Ernstfall reagieren sollten. (Bild: Andrea Danti - stock.adobe.com)")