Die Gefahr durch Social Engineering
Oftmals taucht in den Medien der Begriff Social Engineering auf. Doch was bedeutet das überhaupt? Bei der IT-Sicherheit spielt nicht nur die technische Komponente eine große Rolle, sondern oftmals auch die Menschliche. Denn der Mensch ist eine der Schwachstellen im System. Denn er hat Zugang zu sensiblen Systemen und Bereichen, die oftmals mit einem mehr oder weniger sicheren Passwort gesichert sind. Und genau hier liegt der Angriffspunkt.
Wer sich dieser Schwachstelle bewusst wird, kann sie auch besser absichern. Und dabei geht es primär um die Sensibilisierung von Mitarbeitern. Einerseits natürlich ein sicheres Kennwort zu wählen, es regelmäßig zu tauschen und auch darauf zu achten, keinen persönlichen Bezug zum Passwort herzustellen. So sollte das Kennwort keine persönlichen Angaben wie Wohnort oder Name des Haustieres enthalten.
Denn hier können über das sogenannte Social Engineering Rückschlüsse von fremden Hackern auf das persönliche Leben gezogen werden. Dabei soll es schon vorgekommen sein, dass Fremde den Hausmüll durchwühlen, um an die persönliche Post zu kommen. Auch Social Media sollte an der ein oder anderen Stelle kritisch beleuchtet werden, also welche Informationen mit der Öffentlichkeit geteilt werden und welche nicht.
Auch wenn ein privates Profil verwendet wird, besteht keine Nachvollziehbarkeit was mit den eigenen Informationen und Bildern passiert. Also nicht primär durch Schlupflöcher der Plattformen selbst, sondern über sogenannte Bekannte oder Freunde, welche die Daten absichtlich oder unabsichtlich weiter geben könnten.
Phishing im betrieblichen Umfeld
Auch Phishing ist eine beliebte Masche von Fremden sich das Vertrauen zu erschleichen und auszunutzen. Beispielsweise sind Emails so geschrieben, dass der Eindruck erweckt wird, dass diese vom Vorgesetzten oder gar Geschäftsführer kommen. Die darin enthaltenen Handlungsaufforderungen werden oft nicht hinterfragt und blind ausgeführt. Ob das die Herausgabe vertraulicher Informationen ist oder eine Bank-Überweisung vom Geschäftskonto. Der Schaden kann beträchtlich sein.
Dabei gibt es entweder die Möglichkeit einen gezielten Angriff über Emails an einen einzelnen Mitarbeiter zu senden oder gar Massenemails an sämtliche Mitarbeiter. Nach dem Motto einer von hunderten wird schon darauf reinfallen. Und genau hier liegt auch die Chance über eine Sensibilisierung der Mitarbeiter diesen Schwachpunkt zu schließen.
Auch ein Angriff per Telefon ist denkbar und die Masche immer die Selbe. Der Angreifer gibt sich als Autoritätsperson aus und baut so das Vertrauen auf, um an sensible informationen zu kommen.
Abwehrmaßnahmen gegen Social Engineering
Die Sensibilisierung und Aufklärung der Mitarbeiter wirkt hier wahre Wunder. Also aufzuzeigen, welche Gefahren bestehen und wie damit bestmöglich umgegangen werden kann. Auch eine technische Lösung kann parallel zielführend sein, beispielsweise die Einführung einer Zwei-Faktor-Authentifizierung. Übrigens, auch telefonische Rückfragen an den vermeintlichen Adressaten der gefälschten Emails können wahre Wunder bewirken.
Wichtig ist sich der Gefahr bewusst zu werden, die Schwachstellen zu analysieren und geeignete Maßnahmen treffen. Genau dabei helfen wir gerne und können auf langjähriges Wissen in der IT-Sicherheit zurückgreifen. Denn wenn man vor lauter Bäumen den Wald kaum sieht, ist es unentbehrlich sich Hilfe von Außen zu holen. Und genau hier setzt unser IT-Sicherheits-Consulting an. Wir ermitteln Schwachstellen, zeigen Lösungswege auf und setzen gemeinsam die Lösung um. Zögern Sie nicht und sprechen Sie uns an!