Suchen

Social Engineering Sicherheitslücke Mensch

Autor / Redakteur: Pierre Curien* / Peter Schmitz

Wenn herkömmliche Cyberangriffe an ihre Grenzen stoßen, greifen Hacker auf Social Engineering zurück. Durch die gezielte Manipulation von Mitarbeitern entstehen jährlich Schäden in Milliardenhöhe. Dabei können IT-Manager bereits mit einfachen Methoden das Risiko minimieren.

Firmen zum Thema

Mitarbeiter sind für viele Experten die größte Schwachstelle im System
Mitarbeiter sind für viele Experten die größte Schwachstelle im System
(Bild: Pixabay / CC0 )

„Du verrätst mir dein Passwort, dafür bekommst du eine Tafel Schokolade.“ Was sich zunächst wie ein Witz anhört, ist in Wahrheit das Prinzip einer Studie von Forschern aus Deutschland und Luxemburg. Das erschreckende Ergebnis: Fast jeder zweite war bereit, sein persönliches Passwort gegen eine Tafel Schokolade einzutauschen.

Dieser Anreiz, im Rahmen einer wissenschaftlichen Umfrage sowie der nicht alltäglichen Interviewsituation, reichten aus, um den Befragten ihr Passwort zu entlocken. Diese Methode, die die Autoritätshörigkeit, Gier und Neugier sowie das im Menschen verwurzelte Prinzip der Reziprozität (Gegenseitigkeit) ausnutzt, nennt man soziale Manipulation oder eben Social Engineering.

Mitarbeiter sind oft die größte Schwachstelle

In der IT-Sicherheit bezeichnet Social Engineering Angriffsmethoden, bei denen Cyber-Kriminelle durch die Manipulation von Personen versuchen, an sensible Informationen von Unternehmen zu gelangen. Aktuelle Beispiele zeigen, wie anfällig selbst große Unternehmen sind und wie viel Geld durch Social Engineering erbeutet wird: Der Spielzeughersteller Mattel verlor 2016 durch Social Engineering drei Millionen US-Dollar, der Autozulieferer Leoni sogar 40 Millionen Euro.

Diese Angriffe sind deshalb so erfolgreich, weil sie zielgerichtet und personalisiert erfolgen, geringe Kosten verursachen sowie komplexe technologische Barrieren umgehen können. Für viele IT-Sicherheitsforscher sind Mitarbeiter sogar die größte Schwachstelle im System, da sich etwaige Sicherheitslücken nicht durch das Aufspielen von Patches beheben lassen. Hier ist die Management-Ebene gefragt, die Mitarbeiter für das Thema Social Engineering zu sensibilisieren und sie durch gewisse Methoden und Leitlinien zu schulen. Die folgenden vier Schritte sorgen bereits für einen umfassenden Schutz:

Schritt 1: Awareness-Kampagne und Schulungen

Zunächst sollte eine Awareness-Kampagne durchgeführt werden, um auf die Gefahren und die verschiedenen Formen von Social Engineering hinzuweisen. Die Hacker verwenden für ihre Angriffe mitnichten ausschließlich E-Mails, sondern jegliche Chat-Dienste, das Telefon und auch klassische Briefpost. Mitarbeiter sollten verpflichtend in das IT-Sicherheitskonzept eingebunden werden und durch Präventionsschulungen unterstützt werden. Neue Mitarbeiter werden am besten standardmäßig mit dem Begrüßungspaket und während der Einführungstage geschult. Es ist wichtig, dass diese Trainings in regelmäßigen Abständen durchgeführt werden, um über die aktuellsten Probleme und Methoden aufzuklären. Ferner sollte auch der persönliche Nutzen für den Mitarbeiter hervorgehoben werden, um das Interesse für die Thematik auch im privaten Bereich zu erhöhen.

Schritt 2: Sicherheitsrichtlinien

Ein weiterer wichtiger Schritt ist die Implementierung von Sicherheitsrichtlinien, die von allen Mitarbeiter zu befolgen sind. Diese Richtlinien werden am besten sowohl schriftlich als auch digital zur Verfügung gestellt. Das richtige Verhalten muss hier klar und präzise formuliert sein, damit Mitarbeiter in kritischen Situationen genau wissen, welche Schritte einzuleiten und welche Personen zu informieren sind.

Schritt 3: Live-Hacking-Sessions

Als sehr erfolgreich haben sich auch Live-Hacking Sessions erwiesen. In diesen Workshops werden praxisnahe Szenarien durchgespielt, die die Mitarbeiter gezielt auf mögliche Social Engineering Angriffe vorbereiten. Diese Sessions sind am hilfreichsten, wenn der Sicherheitsbeauftragte des Unternehmens gleichzeitig auch genaue Handlungsempfehlungen für die jeweiligen Szenarien ausspricht. So sind die Angestellten im Ernstfall nicht vom Überraschungseffekt gelähmt und haben eine genaue Vorgehensweise zur Hand. In sogenannten Penetrationstests können IT-Verantwortliche zusätzlich stichprobenartig unangekündigte Tests durchführen, um zu prüfen, wie Mitarbeiter auf mögliche Social Engineering Angriffe reagieren. Hier ist jedoch zu beachten, dass ggfs. der Betriebsrat im Voraus darüber informiert werden muss.

Schritt 4: Passender Antivirenschutz

Daneben ist es sehr wichtig, eine passende IT-Sicherheitsarchitektur zu implementieren und seine Antiviren-Programme mit regelmäßigen Updates immer auf dem neuesten Stand zu halten. Denn diese sind immer nur so effizient, wie es ihre Datenbanken sind. Eine gleichwertige Alternative dazu sind cloudbasierte Schutzprogramme oder Lösungen, die als Security as a Service angeboten werden.

Um sich erfolgreich vor Social Engineering zu schützen, bedarf es also eines integrierten IT-Security-Konzepts, das hinsichtlich der aktuellen Risiken und Methoden permanent aktualisiert wird. Das Sicherheitskonzept und die zugrundeliegende Sicherheitsphilosophie müssen bis zum letzten Mitarbeiter durchgedrungen sein, sodass das Sicherheitsdenken im Unternehmen tief verankert ist. Denn nur wenn sich die Mitarbeiter über die psychologischen Methoden der Angreifer im Klaren sind, können sie diese auch durchschauen.

* Über den Autor: Pierre Curien ist Geschäftsführer der Doctor Web Deutschland GmbH.

(ID:44726202)