In vielen Unternehmen herrscht bereits eine hohe Sensibilität in Bezug auf die Gewährleistung angemessener Maßnahmen zur Datensicherheit. Allerdings erstreckt sich diese Sensibilität zumeist nur auf systemseitige Maßnahmen durch die IT-Abteilung. So werden beispielsweise entsprechend der Vorgaben des § 9 BDSG (Bundesdatenschutzgesetz) iVm Anlage im Bereich der Zugangs- oder Weitergabekontrolle durch Passwortschutz, Verschlüsselung oder  Virenschutz Unternehmensdaten technisch abgesichert. Häufig wird jedoch bei der internen Risikobewertung die Schwachstelle Mensch unterschätzt und die in diesem Zusammenhang erforderlichen organisatorischen Maßnahmen -insbesondere eine Sensibilisierung der eigenen Mitarbeiter für Themen der Datensicherheit – vernachlässigt. Dies macht es Angreifern unnötig leicht. Die meisten Social Engineering-Angriffe lassen sich bereits durch ein geschärftes Gefahrenbewusstsein der Mitarbeiter verhindern. Sensibilisierte Mitarbeiter können Gefahrensituationen besser als solche identifizieren und entsprechend reagieren.

Was ist Social Engineering?

Social Engineering steht für zwischenmenschliche Beeinflussungen, um unberechtigten Zugang zu vertraulichen Informationen oder IT-Systemen zu erlangen. Social Engineers nutzen hierbei manipulativ menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Gutgläubigkeit aus, um Mitarbeitern interne Informationen zu entlocken.

Mögliche Angriffsszenarien

Insbesondere die folgenden Social Engineering „Klassiker“ sollten Mitarbeitern zum Schutz unternehmensinterne Informationen bekannt sein:

Einer der häufigsten Angriffsarten sind Phishing-Mails. Hier werden Nutzer beispielsweise dazu aufgefordert sich bei bekannten Diensten über eine angeblich neue (per Link in die Phishing-Mail eingebettete) URL einzuloggen. Mit Hilfe dieser häufig täuschend echt aussehenden URL-Adressen versuchen Angreifer in den Besitz von Loginnamen Passwörtern der Betroffenen zu gelangen. Bekannt sind Phishing-Mails insbesondere aus dem Bereich Onlinebanking.

Ein weiterer Klassiker ist das Manipulieren von Mitarbeitern per Telefonanruf. Hierbei geben sich Angreifer beispielsweise als Kollege oder Vorgesetzter aus, der schnell noch etwas erledigen will, aber sein Passwort vergessen hat. Typisch ist zudem die Rolle des technischen Mitarbeiters oder Administrators, der dringende Probleme angibt, die einen sofortigen Zugriff auf das Unternehmensnetzwerk erfordern.

Durch sogenannte Scareware sollen Nutzer derart in Angst versetzt werden, dass sie mit Viren verseuchte Anhänge öffnen, Software ausführen oder Informationen herausgeben. Beispielsweise werden Nutzer häufig mit Meldungen verunsichert, die sie vor angeblich eingefangenen Viren warnen. Teilweise werden sogar Programme genutzt, die den PC durch Verschlüsselung unbenutzbar machen, um den Nutzer hiermit zu erpressen

Auch bei gefundener Hardware ist Vorsicht geboten. Immer wieder kommt es zu Vorfällen, in denen Social Engineers USB-Sticks oder Werbe-CDs auf dem Gelände von Unternehmen auslegen oder diese kostenlos auf Veranstaltungen an Mitarbeiter verteilen. Indem die präparierten Medien von gutgläubigen oder schlicht neugierigen Mitarbeitern an den betrieblichen Computer angeschlossen bzw. dort abgespielt werden, kann Malware in Form von Viren und Trojanern in das Unternehmensnetzwerk geschleust werden. Hierdurch können Angreifer Daten auslesen oder sogar per Remote-Zugang auf den PC zugreifen.

Profile in sozialen Netzwerken erleichtern häufig die Arbeit von Social Engineers. Mit Hilfe der hier angegebenen Informationen können Angriffe vorbereitet, Passwörter erraten, die Identität einer Person für eigene Zwecke genutzt oder Kontakte ausgespäht werden. Entsprechend sollten regelmäßig die Privatsphäre-Einstellungen überprüft und bei der Preisgabe von Informationen Zurückhaltung geübt werden. Auch sollten Nutzer stets von „Freunden“ empfohlene Links und Beiträge kritisch hinterfragen, da diese auf Phishing-Seiten bzw. Seiten mit  Malware führen können.

Fazit

Technische Sicherheitsmaßnahmen sind nur so lange wirksam wie sie nicht durch unaufgeklärte oder teilweise schlicht überrumpelte Mitarbeiter unterlaufen werden. Entsprechend sollten Unternehmen dieses Risikopotenzial erkennen und bei der Planung von Maßnahmen zur Datensicherheit die Sensibilisierung der eigenen Mitarbeiter nicht aus den Augen verlieren.