Was bietet Schutz vor Social Engineering?

Ob Internet of Things, Smart Factory oder Big Data – all diese Themen drehen sich um steigende Vernetzung, maximale Effizienz und die Gewinnung wertvoller Daten. Gleichzeitig entstehen dadurch neue Anforderungen an die Sicherheit. Denn wie jede gesellschaftliche Entwicklung bringt auch die digitale Transformation vielfältige Risiken und Bedrohungen mit sich. Besonders häufig kommen dabei Methoden des Social Engineerings zum Einsatz, die mitunter massive Schäden verursachen. Mit dem richtigen Schutz vor Social Engineering minimieren Sie dieses Risiko jedoch deutlich – auf dem Weg zu einer sicheren Systemlandschaft.

Was ist Social Engineering?

Der Begriff Social Engineering beschreibt die gezielte Manipulation von Personen, um Zugang zu Systemlandschaften, internen Prozessen und vertraulichen Informationen zu erlangen. Dabei sammeln Angreifer Informationen über Mitarbeitende, um deren menschliche Natur gezielt auszunutzen. Die Technik lässt sich als Trickbetrug bezeichnen – nur eben auf dem neuesten Stand der Technik. Solche Versuche sind keineswegs neu: Trickbetrüger gab es lange vor der Digitalisierung und Industrie 4.0, sogar lange vor Computern und Laptops. Da die Methode jedoch nach wie vor effektiv ist, wird sie weiterhin intensiv eingesetzt. Weiterführende Informationen zum Thema Social Engineering finden Sie beim BSI.

Die Kunst der Manipulation

Auch Sie kennen vermutlich Geschichten von E-Mails mit scheinbar harmlosen Anhängen oder unauffälligen Links, die ein böses Erwachen nach sich zogen. Die betroffene Person war unvorsichtig und öffnete den Anhang oder klickte auf den Link. Die Methoden des Social Engineerings gehen jedoch noch einen Schritt weiter: Um sich Zugang zu einem Netzwerk zu verschaffen, geben sich Social Engineers beispielsweise als Mitarbeitende, Kunden oder IT-Techniker aus. Sie versuchen, das Vertrauen autorisierter Nutzer zu gewinnen und vertrauliche Informationen zu erlangen. Nicht selten bauen die Betrüger über einen längeren Zeitraum ein Vertrauensverhältnis auf. Nach und nach werden – ohne Verdacht zu erregen – Insiderinformationen über die Softwarelandschaft und die Netzwerksicherheit entlockt. So kontaktieren die Angreifer beispielsweise Mitarbeitende, erwähnen ein angeblich dringendes Problem und fordern Zugriff auf das Netzwerk, um dieses zu lösen. Das erklärte Ziel von Social Engineering ist also der Mensch. Natürlich lassen sich auch Firewalls und andere Sicherheitsmechanismen überlisten, doch Eitelkeit, Autoritätshörigkeit oder Schamgefühl lassen sich mit vergleichsweise wenig Aufwand ausnutzen. Besonders gefährdet sind Mitarbeitende mit viel Kundenkontakt oder neue Teammitglieder, die noch nicht alle Kolleginnen und Kollegen kennen und oft Hilfe beim Einrichten der IT-Systeme benötigen. Der große Vorteil für die Angreifer: Häufig wird der Angriff nicht einmal bemerkt. Das Eindringen bleibt unentdeckt, und dieselbe Person lässt sich bei nächster Gelegenheit erneut ausnutzen.

Schutz vor Social Engineering

Anders als bei anderen Angriffsformen auf Unternehmensdaten und -systeme lässt sich der Schutz vor Social Engineering nicht allein durch technische IT-Maßnahmen erreichen. Der Mensch ist das potenzielle Einfallstor und damit die eigentliche Schwachstelle. Unternehmen sollten ihren Mitarbeitenden daher den Wert von Informationen bewusst machen, sie für die Bedrohung sensibilisieren und gezielt schulen. Was können Sie konkret tun?

• Social Engineers setzen gezielt auf menschliche Impulshandlungen. Unter Zeitdruck und Stress reagieren viele Mitarbeitende unüberlegt. Nehmen Sie sich daher stets einen Moment Zeit zum Nachdenken. Seien Sie misstrauisch bei verdächtigen oder unerwarteten Anrufen – selbst wenn sie scheinbar von einer vertrauten Person stammen.
• Geben Sie über anonyme Kanäle wie E-Mail, Chat oder Telefon keine vertraulichen Informationen weiter. Trotz aller digitalen Möglichkeiten ist der persönliche Austausch von Angesicht zu Angesicht nach wie vor am sichersten. Ein positiver Nebeneffekt: Sie bauen so auch bessere Beziehungen zu Ihrem Gegenüber auf.
• Wenn Sie sich bei einer Anfrage unsicher sind und Ihr Gesprächspartner versucht, Sie unter Druck zu setzen, leiten Sie die Anfrage an Ihre Vorgesetzten weiter. Einschüchterungsversuche gehören zum Standardrepertoire des Social Engineerings.

Angreifer finden mit Social-Engineering-Methoden immer wieder Wege, Mitarbeitenden vertrauliche Informationen zu entlocken. Durch Naivität oder unüberlegtes Handeln lassen sich selbst die besten Sicherheitssysteme umgehen und wertvolle Daten entwenden. Doch mit etwas gesundem Menschenverstand und bewusstem Handeln ist es nicht schwer, sich wirksam zu schützen. Weitere Informationen finden Sie bei datensicherheit.de.