Möglicherweise haben Sie schon einmal eine solche E-Mail von Ihrer „Geschäftsführung“ erhalten:
„Frau Schulze, Sie wissen ja, dass ich auf Geschäftsreise bin. Ich habe hier die Möglichkeit, ein sehr gutes Geschäft abzuschließen. Bitte führen Sie so schnell wie möglich anliegende Zahlungsanweisung aus! So eine Gelegenheit bietet sich selten. Leider habe ich hier keinen Handyempfang und kann die Angelegenheit nicht persönlich mit Ihnen besprechen. Bitte überweisen Sie schnell – ich bin jetzt auf Sie angewiesen.“
Der Chef eines Unternehmens beauftragt per E-Mail seine Buchhaltungsmitarbeiter mit der Durchführung der Zahlung einer hohen Geldsumme. An und für sich ist das nichts Ungewöhnliches – hier aber ein versuchter Betrug.
Risiko Social Engineering: Fast jedes Unternehmen ist betroffen
Durch kriminelle Attacken auf Unternehmen entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von über 100 Milliarden Euro, analoge und digitale Angriffe zusammengenommen. Das ist das Ergebnis einer 2019 veröffentlichen Studie des Digitalverbands Bitkom. Drei Viertel der Unternehmen waren in den vergangen beiden Jahren von Angriffen betroffen, weitere 13 Prozent vermuten dies.
Dabei ist Social Engineering weiter auf dem Vormarsch und mittlerweile eine der größten Sicherheitsbedrohungen für Unternehmen geworden. Um Social Engineering Angriffe erfolgreich durchführen zu können, suchen Angreifer eine Sicherheitslücke in Ihrer Organisation. Sie suchen dabei aber nicht unbedingt nur nach Schwachstellen in IT-Systemen wie etwa mögliche SQL-Injektionen oder auch ein vernachlässigtes Berechtigungsmanagement. Zunehmend werden die Mitarbeiter als Schwachstelle ausgemacht. Dabei wird das menschliche Verhalten ausgenutzt. Viele Menschen neigen dazu, aus Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität bestimmte Situationen nicht ausreichend zu hinterfragen. Ziel der Angreifer ist es somit, Anwender zu manipulieren und dazu zu bringen, aus Sicht des Unternehmens unerwünschte Aktionen auszuführen. So können Angreifer beispielsweise Zugang zu sensiblen Daten erhalten. Auch werden im Vorfeld gesammelte Informationen über das Angriffsziel genutzt, um Vertrauen aufzubauen oder plausibel zu wirken.
Vorbeugen mit Schulungen
Eine hundertprozentige Sicherheit gibt es natürlich nicht, aber jede Organisation hat ein hohes Eigeninteresse, die Risiken des Social Engineerings zu minimieren. Durch Schulung und Sensibilisierung der Mitarbeiter kann dieses Risiko erheblich gesenkt werden. Es ist also ratsam, ein angemessenes Schulungskonzept umzusetzen, um bei allen Anwendern das Bewusstsein für Sicherheit zu schaffen. Ein solches Konzept sollte geeignete Antworten auf folgende Fragen geben: Wer muss geschult werden? Welche Inhalte müssen vermittelt werden? Und welche Formate sind geeignet?
Das Management, Verantwortliche, Datenschutz- und Informationssicherheitsbeauftragte sowie Personalabteilungen sollten anstreben, möglichst alle Mitarbeiter ausdrücklich zum Thema Social Engineering zu schulen. Einfallstore sind sehr vielfältig und lassen sich überall finden: im E-Mail-Postfach, beim Pförtner, am Lieferanteneingang, in der Telefonzentrale, im Home-Office.
Präsenzschulungen sind derzeit schwierig zu realisieren. Auf unserer eLearning-Plattform privacy train bieten wir folgende Online-Trainings an, mit denen Sie sehr einfach Ihre gesamte Belegschaft für das wichtige Compliance-Thema Datensicherheit sensibilisieren können:
Social Engineering:
Vertiefendes Training zum Schutz vor Social Engineering-Angriffen.
Grundkurs Informationssicherheit:
Umfassende Sensibilisierung zur Informationssicherheit für alle Zielgruppen.