Gratis
3. August 2018 - Datensicherheit

Der Mensch bleibt Schwachstelle Nr. 1 bei Cybersecurity

Drucken

Wie erhalten Angreifer und Kriminelle am leichtesten Zugriff auf die internen Ressourcen eines Unternehmens? Eine Möglichkeit besteht im Einsatz technischer Mittel. Es geht aber auch anders. Wie eine Befragung des BSI ergeben hat, sind die Menschen die größte Schwachstelle in IT-Sicherheitskonzepten.

Mitarbeiter sind die größten Sicherheitslücken Social Engineering ist immer noch eine erfolgreiche Methode, um an sensible Informationen zu gelangen (Bild: BeeBright / iStock / Getty Images)

Der Begriff „Social Engineering“ fasst Manipulations-Versuche zusammen, mit denen Betrüger an vertrauliche Informationen von Unternehmen oder Privatpersonen kommen wollen.

Damit wollen die Angreifer wiederum Zugang zu den IT-Systemen des Opfers erhalten.

Um ihr Ziel zu erreichen, nutzen die Kriminellen menschliche Eigenschaften und Schwächen aus, zum Beispiel Hilfsbereitschaft, aber auch das Hören auf Autoritäten. Und die Methode kann in vielen Unternehmen funktionieren.

Mitarbeiter würden sensible Unternehmensinformationen per E-Mail weitergeben

Jeder sechste Mitarbeiter würde auf eine gefälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisgeben.

Das hat eine Befragung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergeben.

Solche Informationen über Zuständigkeiten im Unternehmen, zur Zusammensetzung von Abteilungen, internen Prozessen oder Organisationsstrukturen sind für Kriminelle sehr wertvoll.

Wie das Ergebnis der Befragung zeigt, sollte die Sensibilisierung der Angestellten für diese Art der Betrugsversuche eine größere Rolle spielen.

Die Befragung zeigt aber auch, dass sich die Mitarbeiter nur teilweise aktiv um die Sicherheit der IT kümmern:

  • Mehr als die Hälfte der befragten Arbeitnehmerinnen und Arbeitnehmer hört sich selbst aktiv zum Thema IT-Sicherheit am Arbeitsplatz (58 Prozent) um.
  • Aber fast 42 Prozent der Befragten gaben an, nicht selbst aktiv zu werden.

Bei einem nicht geringen Prozentsatz herrscht Passivität:

  • Rund 18 Prozent der Befragten verlassen sich darauf, dass der Arbeitgeber das Firmennetzwerk ausreichend absichert.
  • Und 13 Prozent gehen davon aus, dass das Unternehmen sie darauf hinweist, wenn sie Sicherheitsmaßnahmen ergreifen sollten.

Tipps gegen Social Engineering

Besonders in großen Organisationen kann die spezialisierte Variante des „CEO Fraud“ für die Kriminellen erfolgreich sein.

Dazu haben sich die Täter zunächst umfassend über die Organisation und die Umgangsformen der Firma informiert. Mit diesem Wissen erschleichen sie sich über E-Mail oder Telefonkontakt bei ausgesuchten Mitarbeitern oder Mitarbeiterinnen den Zugang ins Firmennetz.  Oder sie bewegen die Opfer sogar dazu, finanzielle Transaktionen auszuführen.

Durch die vorgetäuschte Eile und bestärkt von der vermeintlichen Autorität des Betrügers geben die Opfer dann nicht selten nach, teilweise sogar unter Umgehung eines eigentlich herrschenden Vier-Augen-Prinzips.

Auf seinen Seiten gibt das BSI nun Tipps zum Schutz vor Social Engineering. Dazu gehört u.a. der sparsame Umgang mit beruflichen Informationen in sozialen Netzwerken, aber auch Skepsis bei Anrufen und E-Mails durch unbekannte „Kollegen“ oder „Vorgesetzte“.

Das Ergebnis der Befragung können Datenschutzbeauftragte aktuell zum Anlass nehmen, um die Mitarbeiter im Unternehmen durch eine kurze Rundmail oder auch eine umfassendere Schulung auf die Problematik hinzuweisen.

Stephan Lamprecht