Beim Social Engineering nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich schwächstes Glied innerhalb der Sicherheitskette aus. Um sich vor Social-Engineering-Attacken zu schützen, sollten Unternehmen ihre Mitarbeiter nicht nur sensibilisieren, sie müssen auch technologisch aufrüsten. Wie sie vorsorgen können, erklärt der Sicherheitsspezialist Virtual Solution.
Phishing, Whaling, CEO-Fraud – die Unternehmens-IT wird zunehmend mit Hilfe von Social-Engineering-Angriffen auf Mitarbeiter attackiert. Unternehmen können dabei nicht auf die gängigen Abwehrmechanismen in Form von Anti-Viren-Programmen setzen, denn die Hacker machen sich die menschliche Psyche zunutze. Während gefälschte Mails von Amazon oder PayPal, die in schlechtem Deutsch zur Passworteingabe auffordern, auf dem Rückzug sind, hat sich Social Engineering bei Cyber-Kriminellen zum Kassenschlager entwickelt. Trotz prominenter Beispiele für erfolgreiche Angriffe denken viele Mitarbeiter etwa bei einer E-Mail vom Geschäftsführer nicht gleich an einen möglichen Betrug.
Die Mitarbeiter sind vielleicht der größte kritische Faktor innerhalb der IT-Sicherheit. Es gilt daher, sie für Social-Engineering-Angriffe zu sensibilisieren und die sogenannte Security Awareness im gesamten Unternehmen zu steigern. Dazu zählen die zwei folgenden Maßnahmen:
- Unternehmen sollten den Wissensstand ihrer Mitarbeiter zur IT-Sicherheit und speziell zu Social Engineering erfassen. Im Fokus sollte das Verständnis stehen, warum die Diskretion jedes einzelnen von zentraler Bedeutung für die Sicherheit des Unternehmens ist. Ganz wichtig: Unternehmen sollten Mitarbeitern deutlich vermitteln, dass sie bei einem Verdacht Bescheid sagen, ohne Konsequenzen fürchten zu müssen.
- Neben Schulungen sind für eine kontinuierliche Verbesserung regelmäßige Tests unabdingbar. Die gängigste Methode sind Penetrationstests mit fingierten Phishing-E-Mails. Anhand der Auswertung der Klickraten können Erfolge und Mängel im Security-Awareness-Programm identifiziert und entsprechend angepasst werden. Zudem lassen sich gezielt qualitative Schwachstellen ausmachen.
Diese Maßnahmen sind vor allem deswegen relevant, da es immer selbstverständlicher geworden ist, die mobilen Endgeräte der Mitarbeiter in die Unternehmens-IT einzubinden. Gerade BYOD (Bring your own device)-Modelle haben einen großen Nachteil: Kaum jemand stellt an die private Gerätenutzung dieselben Sicherheitsanforderungen wie sie für Unternehmen gelten. Unsichere Passwörter, die Installation von Apps aus unbekannten Quellen oder die Nutzung des Geräts durch Dritte sind Sicherheitsrisiken, die durch die parallele Nutzung entstehen.
„Der Mensch ist ein Gewohnheitstier: Während man im Büro meistens mehr Vorsicht walten lässt, werden selbst einfache Sicherheitsregeln bei der Nutzung von mobilen Devices aus Gewohnheit und Bequemlichkeit außer Acht gelassen. Viele machen sich beispielsweise nicht die Mühe, die Mail-Adresse des Absenders anzuklicken, um die vollständige Adresse angezeigt zu bekommen“, erklärt Sascha Wellershoff, Vorstand von Virtual Solution in München. „Endgeräte, die auf User Experience getrimmt sind und gegenüber Desktop-Systemen nur reduzierte Display-Darstellungsmöglichkeiten bieten, spielen den Angreifern somit in die Karten.“
Ein einfacher technischer Lösungsansatz, um die negativen Auswirkungen von Social-Engineering-Attacken zu minimieren, besteht in einer strikten Datentrennung auf dem mobilen Endgerät. Mit Container-Technologie wie sie bei der Office-App SecurePIM eingesetzt wird, können Business-Daten von privaten Daten zu 100 Prozent DSGVO-konform getrennt gehalten werden. Zudem werden die Business-Daten im Container verschlüsselt gespeichert und versendet. Allein mit der gekaperten E-Mail-Adresse und dem Passwort ist ein Zugriff nicht möglich. „Mitarbeiter verursachen aus Unvorsichtigkeit oder Goodwill-Mentalität Sicherheitslücken und werden so zum Einfallstor für Social Engineering“, so Wellershoff weiter. „Schulungen allein lösen das Problem nicht. Unternehmen sollten auf keinen Fall die Devices ihrer Mitarbeiter vergessen und sie in ihre Sicherheitslösung einbetten.“
Weitere Informationen zu Virtual Solution stehen im Lösungskatalog zur Verfügung.