Die Kunst der Täuschung – der Faktor Mensch als Sicherheitslücke?

Die IT-Infrastruktur von Unternehmen ist heutzutage einer Vielzahl von Bedrohungen ausgesetzt. Phishing, Vishing, Whaling oder CEO-Fraud sind nur wenige Beispiele für IT-Kriminalität, die mit  Anti-Virus-Software alleine nicht mehr bekämpft werden können. In schlechtem Deutsch formulierte E-Mails, die Nutzer zur Passworteingabe auffordern und leicht zu enttarnen sind, befinden sich immer mehr auf dem Rückzug.

Täuschend echte Mitteilungen, womöglich noch mit der E-Mail-Adresse des eigenen Chefs, lassen Mitarbeiter kaum an der Echtheit der Mail zweifeln – doch schon ein einziger Klick kann zu schweren Schäden in Unternehmen führen.

Social Engineering lautet das Stichwort, mit dem sich IT-Entscheider momentan konfrontiert sehen: Ein neues Level an Internet-Kriminalität, das sich die menschliche Psyche zunutze macht und durch gezielte Täuschung Nutzer in die Falle tappen lässt. Kein neues Prinzip, aber besonders tückisch, denn die verblüffende Echtheit der Hacker-Mails verbannt jegliche gesunde Zweifel beim Nutzer.

Doch wie können Sie sich und Ihr Unternehmen vor derartigen Angriffen schützen?

Security Awareness steigern

Der Faktor Mensch stellt mittlerweile den wohl kritischsten Faktor in der IT-Sicherheit in Unternehmen dar. Daher ist es besonders wichtig, dass Sie Ihre Mitarbeiter hinsichtlich IT-Sicherheitsmaßnahmen sensibilisieren und die Security-Awareness in Ihrem Unternehmen steigern.

• Erfassen Sie den Wissenstand Ihrer Mitarbeiter zur IT-Sicherheit und speziell zu Social Engineering. Stellen Sie ein Grundverständnis her, warum dem Thema eine zentrale Bedeutung beigemessen werden muss. Und: ermutigen Sie die Belegschaft, einen Verdacht sofort zu äußern – Vorsorge ist wie immer besser als Nachsorge.

• Neben Schulungen zur IT-Sicherheit sind auch regelmäßige Tests hilfreich. Eine Methode sind zum Beispiel Penetrationstests mit fingierten Phishing-Mails.

Anhand der Click-Raten können Sie bei der Auswertung feststellen, wo die Schwachstellen im Security-Awareness-Programms liegen.

Gefahrenquelle BYOD?

Ein weiterer Faktor mit großem Sicherheitsrisiko: Das Phänomen BYOD (Bring your own device), das in den meisten Unternehmen mittlerweile an der Tagesordnung ist und eine Flexibilisierung und Vereinfachung von Arbeitsabläufen verspricht, zieht einen großen Nachteil mit sich: Meistens lassen Mitarbeiter im Umgang mit ihren eigenen Geräten nicht die gleiche Vorsicht walten, wie sie es bei Firmengeräten üblicherweise tun. Risiken wie Datenabfluss durch Apps, unsichere Passwörter oder Nutzung von Dritten sind mögliche Gefahrenquellen.

Wie Sie BYOD richtig vor Social Engineering absichern, lesen Sie in diesem Blog-Artikel.

Social Engineering ist für Hacker auf mobilen Geräten ein noch leichteres Unterfangen: So spielen zum Beispiel reduzierte Display-Darstellungsmöglichkeiten den Angreifern direkt in die Karten. Viele User machen sich nicht die Mühe, die E-Mail-Adresse des Absenders anzuklicken, um sie vollständig angezeigt zu bekommen.

Doch so sehr Unternehmen auch in Schulungen und Sensibilisierung von Mitarbeiter investieren, der Mensch ist und bleibt ein Gewohnheitstier und gelegentliche Unachtsamkeit und Fehler können nicht gänzlich ausgeschlossen bleiben.