Social Engineering nennt sich die Methode, bei der Cyber-Kriminelle Mitarbeiter manipulieren, um an vertrauliche Daten zu gelangen. Bitkom-Experte Felix Kuhlenkamp erklärt, wie Unternehmen sich schützen können.
Cyberkriminelle nutzen zunehmend Social Engineering, um vertrauliche Informationen zu erlangen. Ein Anruf aus der IT-Abteilung, der ein Passwort für ein PC-Update erfragt, eine E-Mail aus der Führungsebene mit einem Link zu einer Website oder eine verzweifelte SMS einer Kollegin, die keinen Zugriff auf ihren Rechner hat – hinter all diesen Szenarien könnten sich Angreifer verbergen, die auf diese Weise Informationen für einen Angriff sammeln. Bei Social Engineering werden Mitarbeiterinnen und Mitarbeiter gezielt manipuliert, um sensible Daten preiszugeben. In fast jedem zweiten deutschen Unternehmen (45 Prozent) kam es innerhalb eines Jahres zu solchen Vorfällen. 30 Prozent berichten von vereinzelten Versuchen, 15 Prozent sogar von häufigen. Diese Daten stammen aus einer Umfrage von 1.003 Unternehmen mit mindestens 10 Beschäftigten, die im Auftrag des Digitalverbands Bitkom durchgeführt wurde.
„Durch Social Engineering versuchen Cyberkriminelle zum einen, sich Zugangsdaten zu IT-Systemen zu verschaffen. Zum anderen kann es zunächst einmal nur darum gehen, wichtige Informationen zu sammeln, etwa Namen der direkten Vorgesetzten oder eingesetzte Software. Auch solche Angaben können dabei helfen, einen weiteren Social-Engineering-Angriff vorzubereiten oder eine Cyberattacke durchzuführen“, erklärt Felix Kuhlenkamp, IT-Sicherheitsexperte beim Digitalverband Bitkom.
Um sich besser vor Social Engineering zu schützen, gibt Bitkom vier Empfehlungen:
- Unternehmen sollten regelmäßig Schulungen durchführen, um ihre Mitarbeiterinnen und Mitarbeiter für die Gefahren von Social Engineering zu sensibilisieren. In diesen Schulungen lernen sie, verdächtige Nachrichten oder Anfragen zu erkennen und zu melden.
- Es ist wichtig, Prozesse klar zu definieren und sicher zu gestalten. Unternehmen sollten festlegen, welche Informationen auf welchem Weg – etwa telefonisch oder per Mail – weitergegeben werden dürfen und welche niemals, wie beispielsweise Passwörter. Doppelte Sicherheitsmechanismen, wie das Prüfen und Bestätigen von Überweisungen oder sensiblen Entscheidungen durch mindestens zwei oder mehr Personen aus verschiedenen Unternehmensbereichen, können die Risiken durch Manipulationen oder unbefugte Zugriffe erheblich reduzieren.
- Die Verwendung von Multi-Faktor-Authentifizierung, bei der neben dem Passwort auch ein Code auf dem Smartphone oder eine Keycard erforderlich ist, erschwert die Nutzung von Informationen, die durch Social Engineering erbeutet wurden. Dadurch wird es Angreifern deutlich schwerer gemacht, in die IT-Systeme einzudringen.
- Grundsätzlich sollten Unternehmen moderne IT-Sicherheitssoftware wie Spam-Filter oder Anti-Phishing-Software einsetzen, um zumindest einfache Angriffe herauszufiltern. Spezielle softwarebasierte Systeme können zudem ungewöhnliche Aktivitäten im eigenen Netzwerk entdecken, die auf Social-Engineering-Angriffe hindeuten. Künstliche Intelligenz und Anomalie-Erkennung erkennen oft verdächtiges Verhalten und lösen rechtzeitig Alarm aus.