Suchen

Mensch als schwächstes Glied der Security-Kette Der Trick des Social Engineerings

Autor: Sarah Nollau

Um an sensible Unternehmensinformationen zu kommen, nutzen Cyber-Kriminelle das „Social Engineering“. Sie nehmen den Fachjargon und Kommunikationseigenheiten der Mitarbeiter an, um sich als „einer von ihnen“ zu tarnen. So gewinnen sie das Vertrauen und können Anweisungen erteilen.

Firmen zum Thema

Beim „Social Engineering“ tarnen sich Cyber-Kriminelle als Kollegen aus einer anderen Abteilung und kommen so durch Mitarbeiter an sensible Daten.
Beim „Social Engineering“ tarnen sich Cyber-Kriminelle als Kollegen aus einer anderen Abteilung und kommen so durch Mitarbeiter an sensible Daten.
(Bild: Pixabay / CC0 )

Cyber-Kriminelle sind die Meister des „Social Engineerings“. Dahinter verbirgt sich die Taktik, den Menschen als schwächstes Glied der Sicherheitskette auszunutzen, um kriminelle Absichten zu verfolgen. Der Täter nutzt Informationen aus dem Umfeld des Opfers, beispielsweise eine bestimmte Art zu kommunizieren oder Fachjargon, um Vertrauen beim Gegenüber aufzubauen und so an sensible Informationen zu gelangen.

Gefälschte Mails aus der Chefetage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bei einer Befragung herausgefunden, dass jeder sechste Mitarbeiter auf eine gefälschte Mail aus der Chefetage antworten und sensible Unternehmensinformationen preisgeben würde. Das ebnet Cyber-Kriminellen den Weg für gezielte Angriffe auf das Unternehmen.

„Mit den richtigen Informationen können Cyber-Angreifer erheblichen Schaden anrichten, etwa durch CEO-Fraud. Dabei werden E-Mails der Chefetage fingiert, in denen dazu befugte Mitarbeiter angewiesen werden, dringliche Überweisungen hoher Geldsummen zu tätigen. Wenn der Angreifer weiß, wen er anschreiben muss und wie die Prozesse im Haus ablaufen, kann er erheblichen Druck ausüben. Die Masche funktioniert, es geht dabei um Millionensummen! Auch deswegen ist die Zahl derjenigen, die sensible Informationen preisgeben, viel zu hoch“, so BSI-Vizepräsident Dr. Gerhard Schabhüser.

Social Engineering

Mitarbeiter werden beim Social Engineering so manipuliert, dass sie Sicherheitsfunktionen aushebeln oder Schadsoftware auf dem unternehmenseigenen Rechner installieren, weil sie denken, beispielsweise mit einem kompetenten und zuständigen Mitarbeiter zu sprechen. Daher ist es wichtig, seine Mitarbeiter für derartige Fallen durch Schulungen oder Weiterbildungen zu sensibilisieren.

Mehr als die Hälfte der befragten Arbeitnehmerinnen und Arbeitnehmer beschaffen sich selbst Informationen zum Thema IT-Security (58 %). Gleichzeitig werden 42 Prozent der Befragten nicht aktiv.

18 Prozent verlassen sich auf das Firmennetzwerk und denken, dass dieses ausreichend gesichert sei. 13 Prozent gehen davon aus, dass sie von ihrem Arbeitgeber darauf hingewiesen werden, wenn sie Sicherheitsmaßnahmen ergreifen sollen. Die übrigen zehn Prozent informieren sich nicht und werden auch von ihrem Unternehmen nicht auf das Thema hingewiesen. Das BSI gibt online Tipps, auf was neue Mitarbeiter bei der Nutzung am Arbeitsplatz achten sollten und welche Sicherheitsvorkehrungen sie treffen können.

(ID:45419396)

Über den Autor

 Sarah Nollau

Sarah Nollau

Redakteurin