Ein Anrufer aus der IT-Abteilung, der das Passwort für ein PC-Update braucht, eine E-Mail aus der Vorstandsetage mit Link zu einer Website oder eine verzweifelte SMS der Kollegin, die nicht auf ihren Rechner zugreifen kann – dahinter können Cyberkriminelle stecken, die Informationen für einen Angriff sammeln. Social Engineering nennt sich die Methode, bei der Mitarbeiter manipuliert werden, damit sie vertrauliche Daten preisgeben.
In fast jedem zweiten deutschen Unternehmen (45 Prozent) kam es innerhalb eines Jahres zu solchen Vorfällen. 30 Prozent berichten von vereinzelten Versuchen, 15 Prozent sogar von häufigen. Das sind Ergebnisse eine Befragung von 1003 Unternehmen ab 10 Beschäftigten im Auftrag des Digitalverbands Bitkom.
„Durch Social Engineering versuchen Cyberkriminelle zum einen, sich Zugangsdaten zu IT-Systemen zu verschaffen. Zum anderen kann es zunächst einmal nur darum gehen, wichtige Informationen zu sammeln, etwa zu Namen der direkten Vorgesetzten oder eingesetzter Software. Auch solche Angaben können dabei helfen, einen weiteren Social-Engineering-Angriff vorzubereiten oder eine Cyberattacke durchzuführen“, sagt Felix Kuhlenkamp, IT-Sicherheitsexperte beim Digitalverband Bitkom.
Bitkom gibt vier Tipps, wie sich Unternehmen besser vor Social Engineering schützen können:
- Regelmäßige Schulungen durchführen: Unternehmen sollten regelmäßige Schulungen durchführen, um Mitarbeiterinnen und Mitarbeiter für die Gefahren von Social Engineering zu sensibilisieren. Dabei können sie lernen, verdächtige Nachrichten oder Anfragen zu erkennen und zu melden.
- Prozesse klar definieren und sicher gestalten: Unternehmen sollten Richtlinien festlegen, welche Informationen auf welchem Weg – etwa telefonisch oder per Mail – weitergegeben werden dürfen und welche nicht, etwa Passwörter. Zudem sollten doppelte Sicherheitsmechanismen, wie das Prüfen und Bestätigen von Überweisungen oder sensiblen Entscheidungen durch mindestens zwei Personen in verschiedenen Unternehmensbereichen implementiert werden. So lassen sich Risiken durch Manipulationen von Einzelpersonen oder unbefugte Zugriffe minimieren.
- Multi-Faktor-Authentifizierung: Eine Multi-Faktor-Authentifizierung, bei der neben dem Passwort zum Beispiel auch ein Code auf dem Smartphone oder eine Keycard benötigt wird, erschwert die Nutzung von Informationen, die durch Social Engineering erbeutet wurden. Angreifer können dadurch nicht so leicht in IT-Systeme eindringen.
- Moderne IT-Sicherheitssoftware: Grundsätzlich sollten Unternehmen Sicherheitssoftware wie Spam-Filter oder Anti-Phishing-Software nutzen, um zumindest einfache Angriffe herauszufiltern. Daneben können spezielle softwarebasierte Systeme eingesetzt werden, um ungewöhnliche Aktivitäten im eigenen Netzwerk zu entdecken, die auf Social-Engineering-Angriffe hindeuten. Künstliche Intelligenz und Anomalie-Erkennung bemerken in vielen Fällen verdächtiges Verhalten und lösen rechtzeitig Alarm aus.