Information und Bildungsarbeit von und für die SAP-Community

Schwachstelle Mensch im Hacker-Visier

Nicht nur technische Schwachstellen können die SAP-Sicherheit massiv beeinträchtigen – auch menschliches Fehlverhalten gehört dazu. Warum SAP-Anwender gezielt auf mögliche Spear-Phishing-Angriffe vorbereitet werden sollten.
David Kelm, IT-Seal
14. September 2022
avatar

Security Spear-Phishing bedroht SAP-Sicherheit

SAP-Daten zählen zu den begehrtesten Objekten von Cyberkriminellen. Als besonders lohnenswert erscheint der Diebstahl von vertriebs- und personenbezogenen Kundendaten, geistigem Eigentum und Finanzdaten, die einen Hebel für Insiderhandel, Absprachen und Betrugsdelikte bieten. Kein Wunder also, dass sich die Angreifer immer ausgeklügeltere Methoden einfallen lassen, um Zugriff auf geschäftskritische SAP-Systeme zu erhalten. So gerät neben technischen Sicherheitslücken verstärkt die Schwachstelle Mensch ins Visier. Um diese auszunutzen, senden die Betrüger den SAP-Anwendern vorgeblich im Namen von Vorgesetzten, Mitarbeitern oder Kollegen täuschend echt wirkende Spear-Phishing-Mails. Die dafür erforderlichen Unternehmens- und Mitarbeiterinformationen haben sie zuvor akribisch in den sozialen Medien und anderen Internet-Quellen recherchiert.

In diese Phishing-Mails packen die Angreifer plausibel erscheinende Aufforderungen, um ihre potenziellen Opfer zur Preisgabe hochsensibler Daten zu verleiten. Damit die Empfänger die eingehenden Mails unüberlegt öffnen und den Anweisungen Folge leisten, setzen die Betrüger auf bewährte psychologische Tricks. Zu den am meisten verbreiteten emotionalen Einflussfaktoren zählen: Autoritätsgläubigkeit (die Hacker geben sich als Mitglied der Geschäftsleitung aus und fordern den Mitarbeiter zur Herausgabe von Finanzdaten auf, um sich Überblick über die Geschäftsentwicklung zu verschaffen), Zeitdruck, Angst und Neugier.

Security-Awareness-Trainings

Viele Unternehmen haben mittlerweile die Gefahr erkannt, die von Spear-Phishing-Attacken für ihre SAP-Sicherheit ausgeht. So ist auch bei SAP-Kunden eine verstärkte Nachfrage nach Security-Awareness-Trainings zu verzeichnen, die Mitarbeiter gegen Phishing-Angriffe wappnen sollen. Doch reichen die klassischen Angebote dafür nicht aus. Da sich die Trainings auf die Vermittlung theoretischen Wissens im Rahmen von Präsenzschulungen, E-Learnings und Webinaren fokussieren, wird dabei ausschließlich die rationale Entscheidungsfähigkeit der Teilnehmer verbessert.

Mit dem Employee-Security-Index (ESI) steht eine Methode zur Awareness-Messung zur Verfügung. Je höher der ESI und die Awareness, desto geringer die Vorfallwahrscheinlichkeit. Quelle: IT-Seal.

Spear-Phishing-Angriffe hingegen zielen auf die schnellen, intuitiven Entscheidungen von E-Mail-Empfängern. Daher sollten die Awareness-Trainings um Spear-Phishing-Simulationen ergänzt werden, die echte Unternehmens- und Mitarbeiter-informationen verwenden, um authentische Attacken nachzustellen. Doch statt am Haken der Betrüger landen die Mitarbeiter direkt auf einer interaktiven Erklärseite. Hier wird ihnen Schritt für Schritt gezeigt, woran sie die gefälschten E-Mails hätten erkennen können: zum Beispiel an Buchstabendrehern in der Adresszeile, abweichenden URLs oder Subdomains. 

Phishing-Simulationen sind besonders effektiv, weil sie den „Most Teachable Moment“ eines Mitarbeiters nutzen und ihm sein Fehlverhalten direkt beim Angriff vor Augen führen. Dieser „Schockeffekt“ sorgt dafür, dass er künftig vorsichtiger mit eingehenden E-Mails umgeht. Damit der Lerneffekt anhält, sollten die Spear-Phishing-Simulationen regelmäßig wiederholt und aktualisiert werden. Um Mitarbeitern das Gefühl zu nehmen, kontrolliert oder sogar hereingelegt zu werden, sollten die Unternehmen geplante Phishing-Simulationen rechtzeitig kommunizieren. 

Wichtig ist zudem, die Trainings am individuellen Lernbedarf der Mitarbeiter auszurichten und die Lernfortschritte zu dokumentieren. Mit dem Employee-Security-Index (ESI) steht eine realitätsnahe und reproduzierbare Methode zur Awareness-Messung zur Verfügung. Der ESI liefert greifbare und verlässliche Kennzahlen zum Sicherheitsverhalten der Mitarbeiter bei Phishing-Simulationen verschiedener Schwierigkeitsgrade. So wird es einem Unternehmen möglich, die Lernfortschritte der Belegschaft zu kommunizieren und ein gemeinsames Ziel zu definieren, für das IT-Sicherheitsverantwortliche, Management und Mitarbeiter an einem Strang ziehen.

avatar
David Kelm, IT-Seal

David Kelm ist Mitgründer und Geschäftsführer von IT-Seal


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.