Gefahr Social Engineering: Diese Maßnahmen helfen

Eine ausgefeilte IT-Sicherheitsstrategie, komplexe technische Sicherungsmaßnahmen und eine starke Firewall – das alles hilft nichts, wenn Mitarbeiter kein Bewusstsein für IT-Sicherheit haben: Beim sogenannten Social Engineering nutzen Angreifer gezielt die “Schwachstelle Mensch”, um an sensible Unternehmensdaten zu gelangen. Bereits einige wenige Maßnahmen helfen, Ihr Unternehmen besser zu schützen.

Was ist Social Engineering?

Beim Social Engineering manipulieren Internetkriminelle gezielt Mitarbeiter, um unberechtigt in IT-Systeme einzudringen und an sensible Daten zu gelangen. Sie wenden sich dabei persönlich, per E-Mail oder Telefon an einzelne Mitarbeiter, deren Umfeld sie im Vorfeld ausspioniert haben, um ihr Vertrauen zu gewinnen. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität bringen Angestellte letztlich dazu, Schutzmechanismen zu umgehen oder unbewusst Schadprogramme zu installieren.

Wie läuft Social Engineering ab?

Vor einem Angriff durch Social Engineering sammeln Cyberkriminelle Informationen über das Unternehmen und mögliche Opfer, zum Beispiel über Organigramm und Ansprechpartner auf der Unternehmenswebsite. Eine der ergiebigsten Datensammlungen für Angreifer sind jedoch Soziale Medien: Zahlreiche persönliche Daten zur Arbeitsstelle, den Interessen oder dem Bekanntenkreis lassen sich hier schnell und anonym abrufen.

 

Taktiken im Social Engineering

      Phishing E-Mails

      Telefonanrufe

      Besuch im Büro

 

Schutz vor Social Engineering

Das IT-Sicherheitskonzept eines Unternehmens sollte neben technischen Aspekten auch die regelmäßige Schulung der Mitarbeiter im Bereich IT-Sicherheit beinhalten, zum Beispiel über Vorträge, Flyer oder Sicherheitstipps im Intranet. Ziel ist, die Risiken des Social Engineerings bewusst zu machen und eine Sicherheitskultur zu entwickeln, die von allen Mitarbeitern getragen wird. Viele bedenkliche Situationen lassen sich vermeiden, wenn Unternehmen bereits im Vorfeld verbindliche Vertraulichkeitsstufen und Kontaktpersonen für bestimmte Daten festlegen.

 1.    Keine Auskünfte erteilen

Seien Sie stets zurückhaltend, wenn Sie nach der Unternehmensorganisation, bestimmten Kollegen oder gar Zugangsdaten gefragt werden – Social Engineers täuschen fremde Identitäten vor.

2. Alle Informationen sind wertvoll

Auch wenn Sie nur ein kleines Rädchen in Ihrem Unternehmen sind und keinen Zugriff auf sensible Daten haben, bieten Sie wertvolle Informationen für Social Engineers. Selbst scheinbar unwichtige Informationsschnipsel bieten geschickt kombiniert mit anderen wichtige Rückschlüsse für Angreifer.

3. Sicherheit geht vor: Nicht unter Druck setzen lassen

Social Engineers setzen ihre Opfer gerne unter Druck, im Sinne von: “Wenn wir diese Information nicht jetzt sofort erhalten, sind Sie schuld, wenn die neue Vertriebsstrategie nicht pünktlich anläuft …” Nehmen Sie sich stets Zeit, um sich rückzuversichern und treffen keine leichtsinnigen.

4. Sicherheit im Büro

Verschließen Sie schriftliche Notizen oder Briefe stets in ihrem Schreibtisch; vertrauliche Dokumente gehören in den Schredder, statt in den Papierkorb. Speichern Sie wichtige Dokumente verschlüsselt auf Ihrem Computer und sperren diesen, wenn Sie Ihren Arbeitsplatz verlassen.

5. Vorsicht vor Links und Anhängen in E-Mails

Vermeiden Sie es Links oder Anhänge aus E-Mails zu öffnen und folgen Sie nicht der Aufforderung, persönliche Daten herauszugeben – auch wenn die E-Mail vermeintlich von Ihrer Bank oder Ihrem Chef stammt. 

Next Generation Endpoint Security: DriveLock präsentiert maßgeschneiderte Sicherheitslösungen auf der it-sa 2016

IT-Security-Spezialist CenterTools setzt Wachstumskurs mit neuem CEO Anton Kreuzer fort