DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Social Engi­neering

Social Engineering

Täg­liche Berichte über erfolg­reiche Cyber­at­tacken. Zunehmend wird der Faktor Mensch als „Ein­fallstor“ genutzt: Social-Engi­neering. Was sollten Unter­nehmer wissen? Eine neue Serie „Ver­hal­tens­regeln Spezial: Social Engi­neering“  gibt prak­tische Tipps.

 

Der Digi­tal­verband BITKOM publi­zierte im April 2015 erstaun­liche Zahlen zu digi­talen Angriffen auf Unter­nehmen. Demnach wurden 52% aller Unter­nehmen in Deutschland in den ver­gan­genen zwei Jahren Opfer von digi­taler Wirt­schafts­spionage, Sabotage oder Daten­dieb­stahl. Der jähr­liche dadurch ent­ste­hende Schaden beläuft sich laut BITKOM auf 51 Mil­li­arden Euro. Der Studie zu Folge sind mit­tel­stän­dische Unter­nehmen mit 61% am stärksten von Spionage- und Sabo­ta­ge­ak­tionen betroffen. Fast ein Fünftel (19%) der befragten Unter­nehmen wurden zum Opfer von Social Engi­neering Angriffen. 

Was ist Social Engi­neering?

Mit Social Engi­neering wird im All­ge­meinen eine Methode von Kri­mi­nellen bezeichnet, die mittels „Aus­horchen“ an sen­sible Infor­ma­tionen von Unter­nehmen gelangen möchten. Im Gegensatz zum „nor­malen“ Hacking nutzen die Angreifer nicht die Schwach­stellen eines Com­pu­ter­systems aus, um an geheime Infor­ma­tionen zu gelangen, sondern die Schwach­stellen des Men­schen. Dar­unter fallen bspw.:

  • Gut­gläu­bigkeit und Hilfs­be­reit­schaft
  • Ver­trauen
  • Eitelkeit
  • Auto­ri­täts­hö­rigkeit
  • Gier
  • Angst
  • Respekt
  • Scham

Die Angreifer schmei­cheln sich in der Regel anonym oder unter einer fal­schen Iden­tität bei ihren Opfern ein, um diesen Daten zu ent­locken.

Doch auch das Unter-Druck-Setzen und die Betonung der Dring­lichkeit des Anliegens sind Anzeichen eines Social Engi­neering Angriffs, wenn die Person unbe­kannt ist. Häufig sind diese Angriffe nur die Vor­stufe von wei­teren Social Engi­neering oder Hacking Angriffen und können somit Jeden im Unter­nehmen treffen. Noch so unwichtig schei­nende Infor­ma­tionen können dem Angreifer bei seinem Anliegen bereits behilflich sein.

Vor­ge­hens­weise der Angreifer

All­ge­meines Ziel eines jeden Social Engi­neers ist zunächst immer die Infor­ma­ti­ons­be­schaffung. Die Ver­wen­dungs­zwecke vari­ieren aller­dings:

  • Zugriff auf geheimen Daten (Login-Daten, Trans­ak­ti­ons­nummern für Online Banking, Kon­to­daten, fir­men­in­terne und geheime Infor­ma­tionen eines Unter­nehmens, per­sön­liche Infor­ma­tionen etc.)
  • Iden­ti­täts­diebstal (Nutzung um an „kos­tenlose“ Dienst­leis­tungen oder Waren zu kommen, Repu­tation des Opfers schä­digen etc.)
  • Zugangs­be­rech­ti­gungen zu PCs oder gar Sys­temen
  • Image­schä­digung des Unter­nehmens
  • Erpressung
  • Wett­be­werbs­vor­teile
  • Pla­giate unbe­merkt her­stellen  

Men­schen sind am ein­fachsten zu hacken!

Generell baut ein Social Engineer Ver­trauen zu seinen Opfern auf oder setzt diese unter Druck und nutzt Ver­hal­tens­muster aus:

  • Der Wunsch in Not­si­tua­tionen unbü­ro­kra­tisch zu helfen
  • Der Wunsch auf Hilfe mit Gegen­hilfe zu reagieren
  • Die Angst vor seinem Vor­ge­setzten schlecht da zu stehen
  • Die Angst einen wich­tigen Kunden (durch Unwis­senheit) nicht ange­messen zu behandeln

Prin­zi­piell kann jeder einem solchen Angriff zum Opfer fallen, doch es gibt ver­schiedene Ziel­gruppen, auf die solche Angriffe abzielen. Je nachdem was das Ziel der Angreifer ist:

  • Tech­nisch unsi­chere MA und Unter­nehmer
  • Naive oder uner­fahrene Per­sonen (Stu­denten, Aus­zu­bil­dende, neue Mit­ar­beiter etc.)
  • Sekretär/Innen von Unter­neh­mens­hohen Ange­stellten

Awe­ren­ess­bildung im Unter­nehmen

Unter­nehmen sind darauf ange­wiesen, dass ihre Mit­ar­beiter sen­sible Infor­ma­tionen sorgsam behandeln und sich deren Bedeutung für das Unter­nehmen  bewusst sind.

Beim Thema Social Engi­neering ist es für jedes Unter­nehmen, ob KMU, Bank oder andere Groß­un­ter­nehmen, wichtig das Thema in den Alltag der Mit­ar­beiter ein­zu­binden.

Um Mit­ar­beitern eine kri­tische Ein­stellung gegenüber Unter­neh­mens­spionage zu ver­mitteln genügt es nicht ihnen nur tech­nische Werk­zeuge an die Hand zu geben. Infor­ma­ti­ons­si­cherheit kann in einem Unter­nehmen nicht als abge­trennte Abteilung betrachtet, sondern muss als Quer­schnitt durch jeden Bereich des Unter­nehmens ange­sehen werden.

Nur durch eine Unter­neh­mens­kultur, in der die Risiken von Social Engi­neering dis­ku­tiert und die Schutz­maß­nahmen durch jeden Mit­ar­beiter gelebt werden, kann eine wir­kungs­volle Sicher­heits­kultur und ein nach­hal­tiges Risi­ko­be­wusstsein geschaffen werden.

Start Spezial-Serie „Social Engi­neering“ zu Ver­hal­tens­regeln für Mit­ar­beiter im Unter­nehmen

Mit einer neuen Bei­trags­serie „Ver­hal­tens­regeln zu Social Engi­neering“ startet der Blog  eine tie­fer­ge­hende und pra­xis­ori­en­tierte Auf­be­reitung dieses spe­zi­ellen Themas, welches in der letzt­jäh­rigen Bei­trags­reihe „Ver­hal­tens­regeln für Mit­ar­beiter im Unter­nehmen zur Infor­ma­ti­ons­si­cherheit“ schon all­gemein beschrieben wurde.

Nach dem bewährten Muster werden anhand von einigen besonders gefähr­deten Lebens- und Arbeits­be­reichen für Mit­ar­beiter und Mit­ar­bei­te­rinnen die Risiken und Gefahren auf­ge­zeigt. Kurze Zusam­men­fas­sungen in Form von ein­fachen Ver­hal­tens­regeln am Ende jedes Kapitels geben Tipps für einen sicher­heits­be­wussten Umgang mit diesen Gefahren.

Der Erste Beitrag beschäftigt sich dabei mit dem Bereich „Social Network“ und wird Anfang nächste Woche hier erscheinen.

Ich bin gespannt auf Ihre Anmer­kungen hierzu und freue mich auf einen Dialog mit Ihnen.

Bild: © Tijana / fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awa­reness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.