Wenn der Hacker sich als Kollege ausgibt: Cyberangriffe durch Social Engineering vorbereiten

Social Engineering nennt sich die Methode, bei der Mitarbeiterinnen und Mitarbeiter manipuliert werden, damit sie vertrauliche Daten preisgeben. In fast jedem zweiten deutschen Unternehmen (45 Prozent) kam es innerhalb eines Jahres zu solchen Vorfällen. 30 Prozent berichten von vereinzelten Versuchen, 15 Prozent sogar von häufigen. Das sind Ergebnisse einer Befragung von 1003 Unternehmen ab zehn Beschäftigten im Auftrag des Digitalverbands Bitkom.

„Durch Social Engineering versuchen Cyberkriminelle zum einen, sich Zugangsdaten zu IT-Systemen zu verschaffen. Zum anderen kann es zunächst einmal nur darum gehen, wichtige Informationen zu sammeln, etwa Namen der direkten Vorgesetzten oder eingesetzte Software. Auch solche Angaben können dabei helfen, einen weiteren Social-Engineering-Angriff vorzubereiten oder eine Cyberattacke durchzuführen“, sagt Felix Kuhlenkamp, IT-Sicherheitsexperte beim Digitalverband Bitkom.

Bitkom gibt vier Tipps, wie sich Unternehmen besser vor Social Engineering schützen können:

(1) Unternehmen sollten regelmäßige Schulungen durchführen, um Mitarbeiterinnen und Mitarbeiter für die Gefahren von So­cial Engineering zu sensibilisieren. Dabei können sie lernen, verdächtige Nachrichten oder Anfragen zu erkennen und zu melden.

(2) Prozesse klar definieren und sicher gestalten: Unternehmen sollten Richtlinien festlegen, welche Informationen auf welchem Weg – etwa telefonisch oder per Mail – weitergegeben werden dürfen und welche zum Beispiel nie, etwa Passwörter. Zudem sollten doppelte Sicherheitsmechanismen wie das Prüfen und Bestätigen von Überweisungen oder sensiblen Entscheidungen durch mindestens zwei oder mehr Personen in verschiedenen Unternehmensbereichen implementiert werden. So lassen sich die Risiken durch Manipulationen von Einzelpersonen oder unbefugte Zugriffe stark minimieren.

(3) Eine Multi-Faktor-Authentifizierung, bei der neben dem Passwort zum Beispiel auch ein Code auf dem Smartphone oder eine Keycard benötigt wird, erschwert die Nutzung von Informationen, die durch Social Engineering erbeutet wurden. Angreifer können dadurch nicht so leicht in die IT-Systeme eindringen.

(4) Grundsätzlich sollten Unternehmen Sicherheits-Software wie Spam-Filter oder Anti-Phi­shing-Software nutzen, um zumindest einfache Angriffe herauszufiltern. Daneben können spezielle softwarebasierte Systeme eingesetzt werden, um ungewöhnliche Aktivitäten im eigenen Netzwerk zu entdecken, die auf Social-Engineering-Angriffe hindeuten. Künstliche Intelligenz und Anomalie-Erkennung bemerken in vielen Fällen verdächtiges Verhalten und lösen rechtzeitig Alarm aus.

bitkom.org