Das größte Risiko für die IT-Sicherheit sitzt 40 cm vor dem Bildschirm

IT-Sicherheit
Social Engineering als Gefahr für die IT-Sicherheit in Unternehmen
Quelle: Tijana Moraca/Shutterstock.com

Die Ausgaben für IT-Sicherheit nehmen in Deutschland stetig zu. Doch gleichzeitig steigt die Zahl der Schadprogramme und Cyberangriffe. Die Angreifer nutzen häufig technische Schwachstellen, doch das größte Sicherheitsrisiko für ein Unternehmen sitzt 40 cm vor dem Bildschirm: Es ist die Schwachstelle Mensch. Social Engineering zieht seine Stärke aus den menschlichen Schwächen

Wir Menschen haben von Natur aus Schwächen wie Angst, Neugier, Autoritätshörigkeit oder Bedürfnisse wie den Drang nach sozialer Bestätigung oder den Wunsch anderen zu helfen. Genau diese tiefsitzenden menschlichen Eigenschaften nutzen Cyberkriminelle immer gezielter aus. Sie packen die psychologische Trickkiste aus. Der neue Trend heißt Social Engineering. Was Social Engineering genau ist und wie Sie sich dagegen schützen können, erfahren Sie in diesem Artikel.

Was ist Social Engineering?

Social Engineering ist darauf aus, die natürlichen Schwächen des Menschen zu nutzen, um ihn damit zu manipulieren. Die Täter sammeln im Vorfeld berufliche und private Hintergrundinformationen über mögliche Personen und Mitarbeiter eines Unternehmens. Dies gelingt über Unternehmenswebseiten oder private und berufliche soziale Netzwerke. Es können aber auch mitgehörte Anrufe oder Gespräche sein. So können Kriminelle die Angriffe sehr gezielt vorbereiten und eine höhere Erfolgsquote erzielen. Der Angriff erfolgt über verschiedene Kommunikationskanäle: E-Mail ist noch eines der meistgenutzten Medien, aber es erfolgt auch über SMS, Anrufe, persönliche Ansprache und Videokonferenzen.

Ziel sind hierbei nicht nur Konzerne, sondern gerne auch kleine und mittelständische Unternehmen. Es ist eine enorme Gefahr für die IT-Sicherheit der betroffenen Firmen.

  1. Spear-Phishing:
    Phishing ist eine bekannte Methode, bei der massenhaft E-Mails versandt werden. Der E-Mail-Empfänger wird unter Vorwänden aufgefordert, auf einen Link zu klicken und auf der dahinterliegenden Website vertrauliche Informationen wie Passwörter oder Bankverbindungen einzugeben.
    Spear-Phishing funktioniert im Prinzip genauso, doch es nutzt nicht mehr das Gießkannenprinzip. Der Angreifer recherchiert im Vorfeld und sammelt persönliche Informationen. So kann er die E-Mail viel gezielter und für den Empfänger relevanter gestalten. Denn wenn es plötzlich das kleine Lieblingsrestaurant um die Ecke ist, das schreibt, wird vermutlich weniger von einem Angriff ausgegangen.
  2. CEO-Fraud:
    CEO-Fraud, auch als CEO-Betrug oder Chef-Betrug bezeichnet, ist eine Methode, bei der sich der Angreifer als Geschäftsführer oder Chef ausgibt. In dieser Rolle fordert er Mitarbeiter beispielsweise auf, Überweisungen auf ein bestimmtes Konto zu tätigen. Bei dieser Betrugsvariante können verschiedene Kommunikationsmittel zum Einsatz kommen. Die Anweisungen können über E-Mails, aber auch Telefonanrufe stattfinden. Die Landeskriminalämter warnen schon einige Jahre vor dieser Methode, doch nach wie vor kommt es zu vielen Betrugsfällen, denn viele Mitarbeiter wissen immer noch nicht von dieser gängigen Angriffstechnik.
  3. Deepfake:
    Ein Deepfake ist manipuliertes Audio- oder Videomaterial, das täuschend echt wirkt. So werden beispielsweise bekannten Personen falsche Worte in den Mund gelegt. Was als Spielerei begann, hat sich zu einer realen Bedrohung entwickelt. So könnte ein Angreifer ein Video vom Chef erstellen, in dem er eine Überweisung in Auftrag gibt.

Wie können Sie sich und Ihr Unternehmen vor Social Engineering Angriffen schützen?

Rein technische Maßnahmen zur IT-Sicherheit sind sehr wichtig, aber nicht mehr ausreichend. Die Menschen, die tagtäglich mit den verschiedenen Kommunikationsmitteln arbeiten, müssen auf die Techniken von Social Engineering vorbereitet sein. Sie müssen Awareness-Schulungen absolvieren. Und dies nicht einmalig, um ein Zertifikat abheften zu können. Es ist eine permanente, sich weiterentwickelnde Gefahr, die den Menschen bewusst gemacht werden muss. Diese Awareness muss ein fester Bestandteil des IT-Sicherheitskonzepts im Unternehmen werden, denn Cyberangriffe sind eine existenzielle Bedrohung für Unternehmen jeder Größe geworden.

Gerne unterstützen wir Sie mit einer IT-Sicherheitsberatung darin, Ihr Unternehmen vor diesem Hintergrund zukunftsorientiert aufzustellen. Vereinbaren Sie dazu ein kostenfreies Beratungsgespräch mit uns.