grandeduc - Fotolia

Social Engineering: Der Risikofaktor Mensch

Viele Unternehmen setzen IT-Security gleich mit technischer Sicherheit. Die Absicherung hilft aber wenig, wenn Mitarbeiter gezielt angegangen werden.

Obwohl IT-Abteilungen immer komplexeren Aufgaben gegenüberstehen und mit Budgetkürzungen und Personalabbau zu kämpfen haben, fühlt sich die Mehrheit der Unternehmen sicherheitstechnisch gut aufgestellt. Was viele jedoch unterschätzen: Die größte Gefahr geht vom Benutzer aus, dem schwächsten Glied der Kette. Für Hacker sind Mitarbeiter ein lohnendes Ziel, denn sie lassen sich oft leicht überrumpeln. Darauf setzen die Social Engineers oder Social Hacker, die bei ihren Betrugsversuchen persönlich mit den Opfern in Kontakt treten, um ihnen wertvolle Informationen zu entlocken. Unternehmen brauchen deshalb eine ganzheitliche IT-Strategie, die den „Risikofaktor Mensch“ berücksichtigt.

Technik alleine reicht für einen umfassenden Schutz nicht aus, denn das größte Sicherheitsrisiko ist und bleibt der Mensch. Die beste technische Absicherung hilft nichts, wenn Mitarbeiter Fehler machen oder sich nicht an Richtlinien halten. So können sie Cyberkriminellen unbewusst sensible Informationen in die Hände spielen.

Sogenannte „Social Engineers“ setzen auf die Gutgläubigkeit ihrer Opfer: Beim Social Engineering oder Social Hacking greifen Kriminelle sensible Daten nicht mit technischen Mitteln ab, sondern indem sie die Anwender im direkten Kontakt täuschen. Sie geben sich beispielsweise als Techniker aus und fragen nach Zugangsdaten und anderen vertraulichen Informationen. Die Taktik dabei: Der Social Engineer überhäuft sein Opfer mit technischen Fachbegriffen und verführt es mit bekannten Unternehmensdetails dazu, Daten preiszugeben.

Besonders in großen, internationalen Firmen, in denen die Mitarbeiter den Vorgesetzten nicht persönlich kennen, ist die Fake-President-Betrugsmasche erfolgreich. Ein Cyberkrimineller gibt sich dabei als vermeintlicher Chef aus. Dann erteilt er einem Buchhalter die Anweisung, eine größere Summe auf ein bestimmtes Konto zu überweisen. Der Auftrag sei streng vertraulich und Nachfragen nicht erwünscht.

Das Konto befindet sich meist in Asien oder Osteuropa und wird sofort leergeräumt, wenn das Geld eingetroffen ist. Schutz vor diesem Trick bieten kryptografische E-Mail-Signaturen, indem sie die Identität eines Absenders verifizieren. Doch die letzte verbliebene Sicherheitshürde ist und bleibt der Mensch – und diesen Faktor sollten Unternehmen in ihrer Sicherheitsstrategie unbedingt berücksichtigen.

Angriffsfläche Endanwender

Unachtsamkeit und Nachlässigkeit stellen Gefahren für die IT-Sicherheit im Unternehmen dar. Mitarbeiter öffnen E-Mails mit Schadcode, gehen unvorsichtig mit sensiblen Daten um, nutzen risikobehaftete Cloud-Dienste oder stecken unerlaubterweise private USB-Sticks an Geräte im Unternehmensnetzwerk an. Damit bieten sie eine Angriffsfläche für Cyberkriminelle und sind – für Hacker und Social Engineers gleichermaßen – ein beliebtes und erfolgversprechendes Ziel.

Schulungsmaßnahmen, in denen die Mitarbeiter sicherheitsgerechtes Verhalten lernen und ein gesundes Misstrauen bei verdächtigen Dateien, E-Mails und anderen Machenschaften entwickeln, können hier helfen. Generell sollten Mitarbeiter nie auf Dateien aus unbekannten Quellen klicken, sondern Angebote sehr kritisch hinterfragen, insbesondere wenn sie aus nicht vertrauenswürdigen Quellen zu kommen scheinen. Im Zweifel sollten Mitarbeiter diese ablehnen oder erfahrene IT-Experten zu Rate ziehen.

Vorschriften einheitlich definieren

Um sich gegen Gefahren aus dem Internet zu wappnen, brauchen Unternehmen eine umfassende Sicherheitsstrategie, die Vorschriften und Prozesse einheitlich definiert. Diese müssen allen Beschäftigten bekannt sein, so dass sie sich im Regelbetrieb richtig verhalten und auch bei einem Sicherheitsvorfall ordnungsgemäß reagieren können.

Stecken wichtige Informationen nur in den Köpfen spezialisierter Mitarbeiter, vergeht unter Umständen wertvolle Zeit, wenn diese im Ernstfall nicht verfügbar sind. Eine solche Security-Strategie schließt auch Anweisungen für Lieferanten, Kunden oder Gäste mit ein.

„Ein Information Security Management System stellt sicher, dass alle für den Ernstfall relevanten Informationen schnell zugänglich sind und die Mitarbeiter zielgerichtet handeln können.“

Olaf Niemeitz, Crocodial IT Security

 xxx

Eine zentrale Rolle spielt hier der Aufbau eines Information Security Management Systems (ISMS). Damit ist nicht eine technische Lösung gemeint, sondern ein Paket aus Sicherheitsprozessen, Regeln, Verfahren und Verantwortlichkeiten. Es dient als Qualitäts-Management für IT-Security, gepaart mit einer stetigen Verbesserung der IT-Sicherheit. Außerdem dokumentiert ein ISMS bisher erreichte Erfolge.

Zuweilen herrschen Vorbehalte, dass ein solches System eher die IT überprüft. Andere halten es für überflüssig, weil theoretisch ja alle potenziell Betroffenen Bescheid wissen sollten. Menschen verarbeiten Informationen jedoch unterschiedlich. Ein ISMS stellt sicher, dass alle für den Ernstfall relevanten Informationen schnell zugänglich sind und die Mitarbeiter zielgerichtet handeln können. So lässt sich die Zahl derer, die unbedarft einem Hacker-Angriff zum Opfer fallen, vermindern und man erzielt mit überschaubarem, kontinuierlichem Aufwand einen hohen Sicherheitsgewinn.

Über den Autor:
Olaf Niemeitz ist Geschäftsführer des IT-Security-Spezialisten Crocodial und verantwortet den gesamten Vertrieb des herstellerunabhängigen IT-Hauses Fritz & Macziol. Das Unternehmen gehört zu Axians, der Marke für ICT-Lösungen von Vinci Energies.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Angreifbarkeit testen: Social-Engineering-Analyse für Unternehmen.

Ransomware: Menschliches Fehlverhalten nicht unterschätzten.

IT-Security: Technologie alleine löst keine Sicherheitsprobleme.

Zugangsdaten gestohlen: Was können Unternehmen tun?

 

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über IT-Sicherheit: Prozeduren und Richtlinien

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close