Einfallstor Mensch: Warum Social Engineering ein nicht zu unterschätzender Risikofaktor im Unternehmen ist
Unternehmen fokussieren sich meistens auf den Schutz vor spezifischen Angriffsvektoren, die auf das Firmennetzwerk zielen. Angefangen bei Malware wie Ransomware, Trojaner, Viren, über Fehlkonfigurationen der Systeme bis hin zu DDOS-Attacken. Eine Schwachstelle, die von IT-Security-Verantwortlichen als Einfallstor häufig unterschätzt wird: Social Engineering.
Social Engineering: Cyberkriminelle lassen die Puppen tanzen
Längst sind die Tage vorbei, an denen Mitarbeiter in Personalabteilungen kryptische E-Mail-Bewerbungen von vermeintlichen Interessenten erhalten. Eine schlechte Grammatik oder Rechtschreibfehler haben früher als Indikator für eine unseriöse oder gefährliche Nachricht ausgereicht. Heutzutage bereiten sich Cyberkriminelle auf einen Angriff besser vor, denn auch sie haben dazugelernt. Laut Erkenntnissen aus der Studie „Social Engineering Attack Framework“ gibt es sechs Schritte, die ein solcher Angriff durchläuft:
- Schritt 1: Angriffsformulierung
- Schritt 2: Sammeln von Informationen
- Schritt 3: Vorbereitung
- Schritt 4: Beziehung herstellen
- Schritt 5: Beziehung manipulieren
- Schritt 6: Debriefing
Ein gutes Beispiel ist ein Recruiter eines Unternehmens, der häufig auf Social-Media-Plattformen zugreift, um nach geeigneten Bewerbern zu suchen. Scouting lautet das Stichwort. Scheint ein geeigneter Kandidat gefunden zu sein, so wird mit ihm Kontakt aufgebaut. Auch Kriminelle wissen das und erstellen sich Fake-Profile, mit denen sie im passenden Moment mit dem Personalverantwortlichen in Kontakt treten. Der Täter versucht sich Informationen über den HR-Angestellten zu verschaffen bevor er Vertrauen bei seinem Gegenüber aufbaut und sendet ein Bewerbungsschreiben, bezugnehmend auf die sympathische Konversation über Social Media, an den HR-Angestellten. Dieses Konzept ist erfolgsversprechender, als initiativ eine standardisierte Bewerbung zu verfassen Darin enthalten: Ein kurzer und knapper Text sowie ein Bild- und ein PDF-Anhang. Die E-Mail sowie die Anhänge werden geöffnet und die Malware auf dem Computer ausgespielt. Der Angreifer hat den Mitarbeiter folglich zum Öffnen der Dateien beeinflusst. Dahinter kann sich eine Ransomware befinden, bei der wichtige Dateien verschlüsselt werden und ein Lösegeld zum Entschlüsseln eingefordert wird. Das kann aber auch ein Trojaner sein, der die Tastaturanschläge aufzeichnet und an den Angreifer zurücksendet. In anderen Worten: Anmeldepasswörter werden aufgenommen und stehen fortan dem Cyberkriminellen zur Verfügung.
Social Engineering verursacht finanzielle Schäden
Social Engineering wird überall dort eingesetzt, wo Menschen beeinflusst werden können und ein passender Schlüssel Geld für den Angreifer verspricht. Das können sowohl wertvolle Mitarbeiter-Informationen sein, direkte Zugangsdaten oder Zugriff zu geheimen Dokumenten, die ein Betriebsgeheimnis preisgeben. Laut einer Studie des IT-Branchenverbands Bitkom von 2017 verursacht die digitale Spionage, Sabotage oder Datendiebstahl deutscher Unternehmen jedes Jahr einen Schaden von rund 55 Milliarden Euro. Da der Trend dieser Angriffsart aber an Beliebtheit gewinnt und somit steigt, ist inzwischen mit höheren Schadenssummen zu rechnen. Die Lösung gegen dieses Angriffsszenario sind Awareness-Trainings für Mitarbeiter
Worauf müssen IT-Verantwortliche achten?
Der erste Schritt ist es, als IT-Verantwortlicher seine Mitarbeiter für Social Engineering zu sensibilisieren. Diesen Service bietet beispielsweise die G DATA Advanced Analytics an, ein Tochterunternehmen der G DATA Software AG. Mit einem Awareness-Training können Angriffe dieser Art leichter erkannt und verhindert werden. Beispielsweise lernen Mitarbeiter dort, dass E-Mails kritisch begutachtet werden sollen, am Telefon keine sensiblen Daten preisgegeben werden sollten und keine Links zu öffnen sind, die beispielsweise auf eine Login-Seite führen.
Ein weiterer, ebenso wichtiger Schritt ist eine gute Sicherheitssoftware, die einen Phishing-Schutz bereitstellt. Viele Angriffe lassen sich so bereits im Vorfeld abfangen. Dadurch werden die Mitarbeiter deutlich entlastet und relevante E-Mails, die auch für die tägliche Arbeit wichtig sind, werden schneller bearbeitet. In anderen Worten: Das Risiko wird minimiert, auf einen Social-Engineering-Angriff hereinzufallen, der finanzielle Schäden verursachen könnte.
Die G DATA Software AG hat ihren Sitz in Bochum, einem der europäischen Hotspots für Cyber Security. 1987 wurde hier die weltweit erste Antiviren Software entwickelt. G DATA gilt daher als Erfinder des Antivirus. Heute sorgen über 500 Mitarbeiter für die digitale Sicherheit von Unternehmen und Heimanwendern. Einzigartig dabei: Forschung und Software-Entwicklung erfolgen ausschließlich in Deutschland. Service und Support gehören zum G DATA Campus in Bochum, genauso wie das Trojan Horse Café, das Bistro und eigene Honigbienen.
G DATA bietet als Hersteller das mit Abstand beste IT-Security-Produkt und wird als CHAMPION vor allen anderen Herstellern bewertet – das bilanziert die PUR 2018 Studie der techconsult GmbH (eine Tochter des Heise Verlags) nach einer Befragung von 2.000 Anwendern von IT-Sicherheitslösungen für Unternehmen.
IT-Security „Made in Germany“ schützt Internetnutzer am besten: Stiftung Warentest überprüft regelmäßig Internet Security Software. In allen zehn Vergleichstests, die von 2005 bis 2017 durchgeführt wurden, erreichte G DATA stets die beste Virenerkennung.
Mit der Aussage „Meine Daten bleiben in Deutschland“ garantiert G DATA, die von 90% des Deutschen Mittelstandes als wichtig oder sehr wichtig betrachtete Speicherung und Verarbeitung von personenbezogenen Daten ausschließlich in Deutschland zu gewährleisten. Darüber hinaus hat G DATA bereits 2011 im Rahmen des TeleTrust-Vertrauenszeichens „IT Security made in Germany“ eine „No-Backdoor“ Garantie abgegeben. Die Produktpalette umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen sowie Sicherheitsdienstleistungen wie Incident Response, Analysen, Gutachten und Penetrationstests. G DATA Security-Lösungen sind weltweit erhältlich.
Weitere Informationen zum Unternehmen und zu G DATA Security-Lösungen von G DATA, finden Sie unter www.gdata.de.
G DATA CyberDefense AG
Königsallee 178
44799 Bochum
Telefon: +49 (234) 9762-0
Telefax: +49 (234) 9762-299
http://www.gdata.de
Public Relations Managerin
Telefon: +49 (234) 9762-507
Fax: +49 (234) 9762-299
E-Mail: kathrin.beckert@gdata.de
Public Relations Manager
Telefon: +49 (234) 9762-160
E-Mail: christian.lueg@gdata.de
Public Relations Manager
Telefon: +49 (234) 9762-610
E-Mail: dominik.neugebauer@gdata.de
Head of Corporate Communications
Telefon: +49 (234) 9762-239
E-Mail: christoph.roesseler@gdata.de