Cyber-Angriffe
15.10.2015, 10:20 Uhr
Social Engineering - Der Mensch als Firewall
Cyber-Angriffe auf Unternehmen erfolgen meist, indem die Mitarbeiter getäuscht werden. Hilfsmittel wie das SEEF-Framework und Awareness-Schulungen verringern das Risiko des Social Hacking.
Social Engineering, also die Täuschung und Manipulation von Mitarbeitern, ist für Internetkriminelle ein erfolgversprechendes Mittel, um illegal an Daten zu gelangen.
Phishing-Attacken etwa sind vor allem deshalb eine so grosse Gefahr für Unternehmen, weil sie zielgerichtet und personalisiert erfolgen. Sprache und Stil werden immer professioneller imitiert, sodass selbst Experten die Fälschungen auf den ersten Blick kaum erkennen.
Wie stark Social Engineering bereits professionalisiert ist, hat der Wettbewerb Social Engineering Capture the Flag (SECTF) auf der Hacker-Konferenz Defcon 22 vergangenes Jahr in Las Vegas eindrucksvoll gezeigt.
Schwachstelle Mensch
Nur mit Technik ist den Betrügern nicht Einhalt zu gebieten. Der wichtigste Faktor sind die Mitarbeiter. Sie müssen sensibilisiert und geschult werden. Da sich eingeschleuste Schadsoftware innerhalb weniger Minuten verbreitet, müssen sämtliche Mitarbeiter auf dem gleichen (hohen) Wissensstand sein. Jeder einzelne muss quasi zu einer menschlichen Firewall werden.
Eine sehr erfolgreiche Methode, um Mitarbeiter zu sensibilisieren, ist die Security-Awareness-Schulung, bei der mit eigens erstellten Phishing-E-Mails gearbeitet wird. Sobald der Mitarbeiter auf einen Link darin klickt oder ein Attachment öffnet, wird er auf eine Schulungsseite weitergeleitet. Dieser Ansatz bietet auch die Möglichkeit, eine Meldestelle für Phishing-Mails einzurichten, wo findige Mitarbeiter Attacken oder Verdachtsmomente melden können.
Neben klassischen Hacking-Attacken gibt es noch einen ganz simplen Weg, an Informationen zu gelangen. Warum nicht einfach danach fragen? Auch diese Methode des Social Engineerings ist effizient und auch dafür wird die Schwachstelle Mensch genutzt. Angriffe dieser Art beschränken sich nicht auf den persönlichen Kontakt, sondern können auch über Telefon, E-Mail und andere Kommunikationswege erfolgen.
Die Kosten für Social Engineering sind verschwindend gering und man umgeht dabei die komplexesten technologischen Barrieren. Umso wichtiger ist es, das eigentliche Angriffsziel, die Mitarbeiter, entsprechend vorzubereiten. Eine solche Sensibilisierung kann mit einer Awareness-Kampagne erreicht werden.