Lesedauer ca. 3 Minuten

Social Engineering nimmt zunehmend an Fahrt auf. Gerade wenn es sich um das Gefährdungspotenzial innerhalb mittelständischer Unternehmen dreht. Das zeigt der aktuelle DsiN-Sicherheitsmonitor Mittelstand 2015. Mit der Broschüre sollen Verantwortliche nun ihre Mitarbeiter vor derartigen Attacken schützen beziehungsweise sensibilisieren. Ein gleichzeitig veröffentlichter Leitfaden bündelt die dazugehörigen Verhaltensregeln, die gegen humane Industriespionage schützen sollen.

Unter Social Engineering werden in der IT-Sicherheit Angriffsmethoden zusammengefasst, bei denen Kriminelle versuchen, durch Manipulation von Personen an sensible Informationen von Unternehmen oder Privatpersonen zu gelangen. Technisch ist diesem Problem nicht beizukommen.

„Kein IT-Sicherheitssystem der Welt kann Daten schützen, die von ihren rechtmäßigen Nutzern in gutem Glauben herausgegeben werden“, betont Prof. Dieter Kempf, Vorstandsvorsitzender der Datev eG und Mitherausgeber des Leitfadens Verhaltensregeln zum Social Engineering. „Daher ist es ungemein wichtig, dass sich die Mitarbeiter selbst grundlegendes Wissen über Social-Engineering-Methoden aneignen und ein gesundes Misstrauen gegenüber Dritten entwickeln. Sie müssen das Gefahrenpotenzial verschiedener Risikosituationen einschätzen können und sich ein sicherheitsbewusstes Verhalten im Alltag antrainieren“, so Kempf weiter. Helfen könnte beispielsweise der Einsatz eines Chief Digital Officer, der sich speziell mit der Digitalisierung im Unternehmen auseinandersetzt.

Menschliche Firewalls schützen vor Social Engineering

Im Grunde handelt es um eine Art menschliche Schadsoftware, die von jedem einzelnen Mittarbeiter mittels Sensibilisierung abgewehrt werden kann – ist in Sachen Datensicherheit der Wissensstand der Mitarbeiter hoch, werden diese automatisch, ja – es liest sich seltsam, zu einer menschlichen Firewall.

Am Beispiel einiger besonders gefährdeter Lebens- und Arbeitsbereiche macht die Broschüre Unternehmer und ihre Mitarbeiter auf konkrete Risiken durch Social Engineering-Attacken im Arbeitsalltag aufmerksam und gibt einen kompakten und allgemein verständlichen Überblick. Zum einen motiviert sie zu einem sicherheitsbewussten Umgang in entsprechenden Social-Engineering-Situationen, zum anderen werden interne Informationen grundsätzlich sensibel behandelt – auch technisch gesehen.

Risiken von Social Engineering im Blick behalten

  • Social Media: Ihr Profil und andere öffentliche Daten in sozialen Medien bieten Social Engineering vielfältige Angriffsmöglichkeiten.
  • Lauschangriff: Lauschangriffe finden überall statt. Ob im Büro am PC, unterwegs am mobilen Endgerät oder durch Mithören eines Gesprächs.
  • Telefon: Anrufer können mit falschen Angaben versuchen, an interne Information zu gelangen.
  • USB-Stick: Fremde USB-Sticks bieten Kriminellen eine Möglichkeit, Ihre Daten auszulesen oder sogar ihren PC fernzusteuern.
  • Innentäter: Sensible Daten/Informationen dürfen selbst unter Kollegen nur an autorisierte Personen weitergegeben werden.
  • Flurfunk: Achten sie darauf, dass fremde Personen/Gäste sich nur dort im Unternehmen aufhalten, wo es ihnen erlaubt ist. Internum dürfen nur im engen Firmenkreis und nicht auf dem Flur ausgetauscht werden. Speziell bei Kritik gegenüber Kunden sollte Vorsicht gelten.

In Zeiten der zunehmenden, ja fast schon flächendeckenden Digitalisierung, greifen laut des Sicherheitsmonitors Mittelstand 2015 beispielsweise 65 Prozent der Mitarbeiter auf das interne Firmennetzwerk von außerhalb des Unternehmens zu. 42 Prozent der Unternehmen nutzen soziale Netzwerke. Speziell Facebook und andere soziale Netzwerke stehen hoch im Kurs – das schließt natürlich das Businessnetzwerk LinkedIn nicht aus.

Es gilt: Leichter Zugang zu Informationen, noch leichtere Manipulation. Jeder zehnte Mittelständler vernachlässigt die eigentlichen Schutzvorkehrungen (9 Prozent) und mehr als jedes zweite Unternehmen sichert seinen E-Mailverkehr nicht zusätzlich vor Fremdzugriffen ab (55 Prozent). Und dabei beginnen die Social-Attacken nicht zwingend im Unternehmen, die Manipulation startet meist außerhalb der Firmengrenzen.