Industriespione wollen an sensible Unternehmensdaten gelangen – und nutzen dabei die Hilfsbereitschaft und Gutgläubigkeit von Mitarbeitenden aus. Social Engineering ist für Unternehmen daher ein sehr ernstzunehmendes Problem. Denn nicht die Technik ist das schwächste Glied in der Sicherheitskette. Sondern der Mensch. Attacken von Cyberkriminellen zielen immer häufiger auf den Menschen ab. Und erst in einem zweiten Schritt auf die technische Infrastruktur. Wie sieht es in Ihrem Unternehmen aus? Wir zeigen Ihnen hier und jetzt, wie Sie sich und Ihre Mitarbeitenden schützen können!
Unsere Erfahrung aus zahlreichen Social Engineering Audits in der Schweiz bestätigen die Annahme: Das grösste Sicherheitsrisiko für Unternehmen sind die eigenen Mitarbeitenden. Klingt hart. Ist aber Tatsache.
Und zwar nicht aus Nachlässigkeit oder gar kriminellen Absichten – sondern durch die Hilfsbereitschaft und Gutgläubigkeit. Zusammenfassen lässt sich sagen: Die positiven Eigenschaften von Mitarbeitenden werden von Cyberkriminellen gnadenlos ausgenutzt.
Es ist daher auch nicht verwunderlich, dass Hacker die «Schwachstelle Mensch» immer ungenierter ausnutzen: Warum nächtelang gegen ausgefeilte Sicherheitssysteme kämpfen, wenn ein kurzes E-Mail genügt? Und so werden zur Ausbreitung von Ransomware, Malware oder Trojanischen Pferden in der initialen Phase des Angriffs immer wieder Social Engineering Techniken eingesetzt.
Das Glück währt oft nicht lange ...
Ein Praxisbeispiel gefällig? Das sieht dann so aus: Herr Muster erhält per E-Mail eine verlockend klingende Nachricht: «Allen Teilnehmern der Testphase werden drei zusätzliche Ferientage gutgeschrieben», verspricht das vermeintliche HR-Team, das ein Motivationsprogramm testen will. Klingt doch toll, wer will das schon nicht. Also nichts wie los: Wie gefordert auf der erwähnten Website die User-ID und das Passwort eingeben und gewinnen. Das verlängerte Weekend in Paris ist zum Greifen nah! Genau wie Herrn Muster erging es auch weiteren rund 500 Empfängern… Aber Sie hatten Glück im Unglück – dabei hat es sich nur um einen Social Engineering Audit unserer Experten bei einem namhaften Schweizer Unternehmen gehandelt. Aber Sie sehen, so einfach kann man Opfer einer Social Engineering-Attacke werden. Daher sollten Sie als Sicherheitsverantwortlicher das Augenmerk auf das Sicherheitsbewusstsein der Mitarbeitenden richten.
(Mehr zum Thema «Phishing» erfahren Sie in unserem Blogbeitrag «Warum Sie vor Spear-Phishing (keine) Angst haben müssen».)
Der Mensch wird gezielt manipuliert
Die oben beschriebene «Phishing-Attacke» ist aber nur eine der Möglichkeiten, um an vertrauliche Informationen zu gelangen. Genauso erfolgsversprechend ist z.B.
- der direkte Kontakt mit den Opfern per Telefon
- oder gar physisch vor Ort des Zielunternehmens.
Dabei handelt es sich um die klassische Form des Social Engineering. Der Angreifer nutzt den direkten Kontakt, resp. die persönliche Konversation mit seinem Opfer. Z.B. per Telefon, um an die gewünschten Informationen zu gelangen. Oder auf dem physischen Weg, um Zugang zum Unternehmen oder zu besonders geschützten Räumen, wie das Rechenzentrum, zu erhalten. Oft gibt er sich dabei als Mitarbeiter einer anderen Abteilung, als Manager, als Mitarbeiter vom Reparaturdienst oder vom IT-Support aus. Die wichtigen Hintergrundinformationen beschafft er sich oftmals aus öffentlich verfügbaren Quellen: Der Website des Unternehmens, von Publikationen oder – wenn es sein muss – auch aus dem "Abfall". Allerdings braucht es diesen Schritt sehr oft gar nicht!
Durch die allgemeine Verfügbarkeit von Daten im Internet – die wir oft selbst online stellen – wird ein gezielter Angriff (leider) sehr einfach. Benutzer vertrauen Social-Networking-Websites wie Facebook, LinkedIn und Twitter nach wie vor grosse Mengen an persönlichen und vertraulichen Informationen an - wie beispielsweise Wohnort, Beruf, Geburtstag oder Hobbys. Derartige Informationen lassen sich von jedem Cyberkriminellen ohne grossen Aufwand ausforschen. Status-Updates liefern den Hackern zudem viele Informationen, um eine persönliche E-Mail-Nachricht zu verfassen, die für das Opfer des Angriffs relevant ist.
So geben Sie Social Engineering keine Chance!
Unsere 15 praktischen und kostenlosen Tipps helfen Ihnen, sich und vor allem auch Ihre Mitarbeitenden besser vor Social Engineering zu schützen:
«Human based» Cyber Security
Angesichts der wachsenden Bedeutung von Daten und Informationen nehmen Massnahmen zu deren Schutz einen immer wichtigeren Platz ein. Daher haben auch internationale Standards zur IT-Sicherheit, wie ISO 27001 oder das NIST Cyber Security Framework, die Sensibilisierung des Sicherheitsbewusstseins von Mitarbeitern als Forderung aufgenommen.
Security Awareness erreicht man aber nicht von heute auf morgen. Das anspruchsvolle Ziel einer Verhaltensänderung lässt sich nicht alleine durch Sicherheitsrichtlinien erreichen. Um den Erfolg nachhaltig zu sichern, ist eine Kombination verschiedener Massnahmen sinnvoll, wie beispielsweise Live-Hacking Shows, e-Learning, Poster-Kampagnen und vieles mehr. Denn nur so kann gewährleistet werden, dass die Mitarbeiter gezielt mit dem Thema Sicherheit konfrontiert werden. Und durchaus kann auch ein Social Engineering- oder ein Phishing-Audit ein gutes Mittel zur gezielten Sensibilisierung sein.
