Categories: Management

Social Engineering als Gefahrenquelle unterschätzt

Social Engineering wird immer beliebter. Es ist, nach einer Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI), eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Aushorchen zu erlangen. Dabei werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln.

Typische Fälle sind demnach das Vortäuschen, am Telefon ein anderer zu sein. Häufig würden sich Kriminelle ausgeben als Vorzimmerkraft, deren Vorgesetzter schnell noch etwas erledigen will, aber sein Passwort vergessen hat und es jetzt dringend braucht; als Administrator, der wegen eines Systemfehlers anruft, da er zur Fehlerbehebung noch das Passwort des Benutzers benötigt; als Telefonentstörer, der einige technische Details wissen will; als Externer, der gerne Herrn X sprechen möchte, der aber nicht erreichbar ist. Die Information, dass Herr X drei Tage abwesend ist, sagt ihm auch gleichzeitig, dass der Account von Herrn X in dieser Zeit nicht benutzt wird, also unbeobachtet ist.

Wenn kritische Rückfragen kämen, stelle sich der Neugierige als “nur eine Aushilfe” dar oder erwecke den Eindruck, eine “wichtige Persönlichkeit” zu sein. Eine weitere Strategie beim systematischen Social Engineering sei der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld könne der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen könne. Solche Angriffe könnten auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut werde, die in vorhergehenden Stufen erworben wurden.

Sind solche Attacken erfolgreich, wird oft der Mitarbeiter verantwortlich gemacht. Das finden die Security-Experten des IT-Schulungsunternehmens The Training Camp falsch. Sie plädieren für die Pflicht der Unternehmen, ihre Angestellten einerseits für das Thema IT-Sicherheit zu sensibilisieren und andererseits deren Wissen ständig zu aktualisieren.

Internet-Kriminelle seien schließlich erfinderisch: Nachdem viele Unternehmen ihre IT-Infrastruktur inzwischen auf dem neuesten Stand halten, nehmen Hacker verstärkt die Mitarbeiter für ihre gefährlichen Attacken ins Visier. “Es ist die Aufgabe der Unternehmen, ihre Angestellten für das Thema IT-Sicherheit zu sensibilisieren”, so Robert Chapman, Mitbegründer und Geschäftsführer von Training Camp. “Aufgrund der technischen Weiterentwicklungen und des schier grenzenlosen Erfindungsreichtums der Angreifer ist außerdem eine kontinuierliche Aktualisierung des Wissens gefragt. Doch es wäre fatal, den ‘Schwarzen Peter’ den Mitarbeitern zuzuschieben und sie unwissend im Regen stehen zu lassen”, sagte er.

Vielmehr seien aufgeklärte Mitarbeiter gefragt, die wissen, dass ein scheinbar harmloses Gespräch im Büro oder bei einem Bier nach Feierabend Cyber-Kriminellen Tür und Tor zu geschäftskritischen Informationen öffnen kann. Außerdem brauchen die Angestellten konkrete Handlungsempfehlungen, wie sie im Fall einer entdeckten Social-Engineering-Attacke reagieren sollen, so Chapman. Denn einfache Hinweise wie ‘IT-Sicherheit ist wichtig’ oder ‘Passwörter müssen geheim bleiben’ greifen ihm zufolge bei den raffinierten Vorgehensweisen der kriminellen Hacker zu kurz.

Silicon-Redaktion

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

In Deutschland hat das Zahlungsverhalten 2024 eine deutliche Entwicklung hin zu Sofortüberweisungen und Instant Payment…

32 Minuten ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago