Social Engineering - wie Soft Skills zur Sicherheitsfalle werden können

Die Sicherheit Ihrer Daten wird in Ihrem Unternehmen groß geschrieben. Sie schützen Ihre IT-Systeme vor unerwünschten Angriffen und Abhöraktivitäten, protokollieren, wer Zugänge in Ihrem Unternehmen besitzt, und wissen, dass Sie in Sachen Security keine Kompromisse eingehen dürfen.

Doch wie steht es in Ihrem Unternehmen mit einer anderen möglichen Schwachstelle, auf welcher der Erfolg Ihres Unternehmens gebaut ist – Ihren Mitarbeitern?

Neben dem Angriff auf technische Weise wird bei der Methode des Social Engineering durch direkte Kontaktaufnahme ü̈ber das Telefon, auf Messen, über soziale Netzwerke und über andere Kommunikationskanäle Ihr Unternehmen ausspioniert.

Die von der Corporate Trust GmbH durchgeführte Studie "Industriespionage 2012" ergab bei einer Befragung von 6.924 deutschen Unternehmen in 70,5 % der Fälle eine wissentliche Informationsweitergabe und Datendiebstahl durch Social Engineering1. Hierbei stellt sich die Frage, warum diese Methode so erfolgreich ist?

Aufgrund der Natur des Menschen, gutgläubig und hilfsbereit zu sein und Sympathie zu empfinden, wird einer fremden Person im ersten Augenblick Vertrauen entgegengebracht. Mit psychologischen Tricks kann der Angreifer sich dies zunutze machen und sein Opfer täuschen und manipulieren, um sich die gewünschten Informationen zu beschaffen. Das Opfer wird beispielsweise nach der Anwesenheit des Kollegen gefragt oder der Angreifer gibt vor, ein Partner oder Geschäftsleiter zu sein. Es wird Bekanntschaft gemacht und aus Sympathie, Bequemlichkeit oder Respekt der vorgetäuschten Autorität gegenüber, werden vertrauliche Informationen freigegeben.

Längerfristig besteht für den Angreifer dadurch die Möglichkeit, sich ein grundlegendes Informationsgerüst über das Unternehmen aufzubauen, was folglich der Schlüssel für weitere Angriffe, wie zum Beispiel Social Hacking, Phishing oder Diebstahl von Zugangsdaten zum Unternehmensgebäude, sein kann. Unter diesen Umständen ist das Ausmaß des Schadens beim Social Engineering jedoch meist erst spät, nicht in vollem Umfang oder gar nicht einzuschätzen.

Durch die stetig zunehmende interne sowie externe Vernetzung der Unternehmen entstehen weitere Angriffspunkte, die das Sicherheitsrisiko dementsprechend erhöhen und das Unternehmen angreifbarer machen.

Unternehmen müssen sich dieser Bedrohung bewusst sein, die Ursachen erkennen und diesen mit geeigneten Maßnahmen entgegenwirken. Ein ganzheitliches IT-Sicherheitskonzept erfordert deshalb nicht nur die technische Umsetzung von Sicherheitsmaßnahmen, sondern auch eine Sensibilisierung der Mitarbeiter. Die Bildung von Security Awareness und dem daraus resultierenden Bewusstsein ist von großer Bedeutung, um die Mitarbeiter in der Erkennung potenzieller Angriffe aufzuklären und sie im Umgang mit diesen zu schulen.

Tatsächlich führen jedoch laut der Studie "Industriespionage 2012" ganze 73,9% der Unternehmen keine regelmäßigen Schulungen zur Sensibilisierung der Mitarbeiter durch und belassen es bei der Geheimhaltungsverpflichtung in den Arbeitsverträgen. Es wird ersichtlich, dass das Bewusstsein für die Gefahr und das Risiko unter diesen Bedingungen nur bedingt bei den Mitarbeitern vorhanden sein kann.

Hierfür müssen individuelle Sicherheitslösungen gefunden werden. Unser Partner, die Firmengruppe CONNECT, bietet Ihnen in dem "Security Best Practice Workshop für Insider" die Möglichkeit, sich zum Thema Bedrohungen in Ihrem Unternehmen einen Überblick zu verschaffen und sich mit unseren Experten auszutauschen. Sie erfahren, wie Sie sich technisch sowie organisatorisch vor diesen schützen können.

Im Workshop werden Details zur technischen Sicherheit erörtert. Der Fokus wird hierbei auf die Verschlüsselung von Daten, sowie dem Schutz sensibler Datenspeicher, wie etwa das Rechenzentrum, Netzwerk-, (mobile) Clients- und Server gelegt. Ebenso erfahren Sie, wie Ihre Unternehmenssicherheit organisatorisch mithilfe von Risikobewertungen, Policies, User Awareness und nach dem IT-Grundschutz (BSI) aufrechterhalten werden kann.

1 Studie: Industriespionage 2012 der Corporate Trust- Business Risk & Crisis Management GmbH

  • Appenweier
  • Freiburg
  • Strasbourg
  • Karlsruhe
  • Achern