Social Engineering umfasst verschiedene cyberkriminelle Methoden, mit denen Angreifer die Neugier, Unsicherheit und Hilfsbereitschaft ihrer Opfer ausnutzen, um sich Zugang zu Unternehmensnetzwerken und sensiblen Daten zu verschaffen. Roland Latzel, Sr. Director Marketing EMEA Central, OpenText Security Solutions, klärt über die Gefahren des Social Engineerings auf und zeigt, wie Unternehmen das Risiko minimieren können.
Das Vorgehen von Cybekriminellen wird immer perfider. Zwar gibt es Beispiele für betrügerische E-Mails, die so stümperhaft aufgesetzt sind, dass der Empfänger sie schnell als solche entlarven kann. Jedoch entwickeln »professionelle« Angreifer ihre Vorgehensweisen immer weiter und wenden fortschrittliche Tricks an. Mithilfe von gefälschten (Phishing-) E-Mails und Social-Media-Profilen, aber auch Telefon- und Videoanrufen, die sie mittels Deepfakes generieren, bringen sie Mitarbeiter dazu, ihnen vertrauliche Informationen zukommen zu lassen. In der Regel greifen sie dafür auf die Identitäten von Kollegen, Institutionen und Ämtern oder sogar bekannten Marken zurück. Die Folgen können aufgrund von Betriebsausfällen, Datenverlusten und Bußgeldern vor allem in finanzieller Hinsicht enorme Ausmaße annehmen.
Die Frage stellt sich unweigerlich: Wie können Unternehmen darauf reagieren? Zunächst einmal sollten Führungskräfte ihre Belegschaft nicht als Risikofaktor, sondern vielmehr als erste Verteidigungslinie im Kampf gegen Social Engineering verstehen. Das bedeutet, dass sie jeden einzelnen Mitarbeiter aktiv in die Sicherheitsstrategie mit einbeziehen und sie auf die vielen Gesichter der Cyber-Bedrohungslandschaft vorbereiten müssen, damit sie ihren Beitrag zum Schutz sämtlicher Systeme, Netzwerke und Daten leisten können.
- Effektive Security-Awareness-Trainings
Sicherheitstrainings für die gesamte Belegschaft gehören bereits in vielen Unternehmen zur Sicherheitsstrategie dazu. Jedoch sollten die Verantwortlichen folgende Aspekte hinterfragen: Wie oft und in welchen Abständen führen wir die Schulungen durch? Und welche Inhalte werden behandelt und wie effektiv sind die Trainings?
Da die Bedrohungslage höchst dynamisch ist, erzielen vereinzelte Sicherheitstrainings nur selten den gewünschten Effekt. Stattdessen sollten sie in regelmäßigen Intervallen stattfinden, um das Wissen der Mitarbeiter aufzufrischen und sie für neue Entwicklungen zu sensibilisieren. Darüber hinaus sollten Sicherheitstrainings praxisnahe Inhalte abdecken, die die Arbeitsrealität der Belegschaft widerspiegeln. Mitarbeiter könnten während des Trainings echte Phishing- oder Spoofing-Beispiele bearbeiten, mit denen das Unternehmen in der Vergangenheit zu tun hatte. Außerdem sollten Themen wie die sichere und verantwortungsvolle Nutzung der Arbeitsgeräte, Data Governance und Präventionsmaßnahmen Bestandteil der Schulungsagenda sein.
- Was tun, wenn der Ernstfall eintritt?
Mitarbeiter sollten nicht nur wissen, wie sie einen Social-Engineering-Angriff frühzeitig erkennen, sondern auch was zu tun ist, wenn sie darauf hereinfallen und der Angriff erfolgreich ist. Da es vor allem auf eine schnelle Reaktionszeit ankommt, sollten Unternehmen ihrer Belegschaft einfache Mittel und Wege an die Hand geben, Vorfälle der IT und der IT-Sicherheit zu melden. Dafür stellt Microsoft beispielsweise ein Add-on für Outlook bereit, über das Mitarbeiter verdächtige E-Mails dem Systemadministrator mit nur wenigen Handgriffen weiterleiten können. Die IT-Abteilung erhält über solche Funktionen einen besseren Überblick über die Vorgehensweise und den Verlauf des Angriffs. Dabei gilt: Mitarbeiter sollten die IT lieber einmal zu viel als zu wenig auf seltsame Aktivitäten hinweisen.
- Der Schatten-IT keine Chance geben
Endgeräte, Netzwerke und Anwendungen, die entweder nicht ausreichend durch technische Hilfsmittel gesichert sind oder von der IT nicht genehmigt wurden, stellen auch für Cyberkriminelle ein offenes Tor zu IT-Systemen des Unternehmens dar. Auch wenn ein Unternehmen IT-Sicherheitsrichtlinien etabliert hat, gibt es Mitarbeiter, die diese nicht kennen oder die beispielsweise ihre privaten Geräte oder Anwendungen nutzen, weil ihnen auf dem vom Arbeitgeber bereitgestellten Gerät notwendige Funktionen fehlen.
Daher sollten die IT-Sicherheitsverantwortlichen im ersten Schritt die Richtlinien klar definieren und mit der gesamten Belegschaft kommunizieren. Fehlt es Mitarbeitern an Tools und Funktionen, gilt es hier eine Lösung zum Beispiel in Form einer offiziellen Anschaffung zu finden. Darüber hinaus empfiehlt es sich, auch bei privaten Endgeräten von Sicherheitslösungen Gebrauch zu machen. Endpoint-Protection-Lösungen beobachten die Aktivitäten auf den jeweiligen Geräten und sind in der Lage, Anomalien zu erkennen sowie ein Ausbreiten von Schadsoftware zu unterbinden. Verbindet man eine solche Lösung mit Threat Intelligence, wird diese kontinuierlich mit aktuellen Informationen in Bezug auf die Entwicklung der Bedrohungslandschaft versorgt. Der Einsatz zusätzlicher Lösungen wie Email Security und DNS Protection sorgt für einen vielschichtigen Sicherheitsansatz, der sich – in Kombination mit der Aufmerksamkeit geschulter Mitarbeiter – von Cyberkriminellen nur schwer durchdringen lässt.