5. Abwehr von Social Engineering-Angriffen
Als Social Engineering bezeichnet man das Manipulieren von Personen, um unbefugt Zugang zu vertraulichen Informationen oder IT-Systemen zu erhalten.
Die Angriffe werden meistens über das Telefon, unter Umständen aber auch durch persönliches Auftreten des „Social Engineers“ ausgeführt: Die Angreiferin bzw. der Angreifer gibt sich als Mitarbeiterin bzw. Mitarbeiter, Kundin bzw. Kunde oder IT-Technikerin bzw. IT-Techniker des Unternehmens aus und überzeugt eine Benutzerin bzw. einen Benutzer durch geschickte Täuschung von ihrer/seiner Identität. Bei geeigneter Gelegenheit – oft erst nach mehrmaligen Telefonaten – erhält sie/er Informationen, die die Mitarbeiterin bzw. der Mitarbeiter einer bzw. einem Unbekannten nie zukommen lassen würde; sie/er kann sein Opfer mitunter auch zu unerlaubten Handlungen bewegen etc. Diese Angriffe erfolgen auch vermehrt über soziale Netzwerke im Internet.
Social Engineering-Angriffe sind häufig erfolgreich, weil sie menschliche Eigenschaften und Schwächen gezielt ausnützen: Hilfsbereitschaft und Höflichkeit, Kundenfreundlichkeit, aber auch Autoritätshörigkeit und Angst.
Einige Maßnahmen können helfen, das Risiko zu verringern:
- Schulungen der Mitarbeiterinnen und Mitarbeiter über Social Engineering-Strategien und -Methoden helfen, sie auf Angriffe dieser Art vorzubereiten.
- Alle Mitarbeiterinnen und Mitarbeiter müssen regelmäßig auf den Wert der von ihnen bearbeiteten Daten hingewiesen werden, insbesondere auf den Schaden, den eine Angreiferin bzw. ein Angreifer damit verursachen könnte.
- Schriftliche Festlegungen, welche Informationen vertraulich behandelt werden müssen und welche auch an Unbekannte weitergegeben werden dürfen, können den Benutzerinnen und Benutzern zur Orientierung dienen und dem Unternehmen auch als Argumentationshilfe nach Sicherheitsvorfällen nützlich werden.
- Auch Festlegungen zur Anfragenform sind sinnvoll: Das Anfordern einer Rückrufnummer oder einer schriftlichen Anfrage kann einen Social Engineer unter Umständen bereits zurückschrecken und gibt den Mitarbeiterinnen und Mitarbeitern Gelegenheit nachzufragen. Auskünfte zu sensiblen Daten sollten ohnehin nur bei persönlichem Erscheinen erteilt werden.
- Besonders neuen Mitarbeiterinnen und Mitarbeitern sollte empfohlen werden, Anfragen, bei denen sie unsicher sind, ob eine Beantwortung zulässig ist, an ihre Vorgesetzten oder andere erfahrene Personen weiterzuleiten.
- Mitarbeiterkommunikation ist wichtig: Bei „verdächtigen“ Anfragen sollten auch die anderen Mitarbeiterinnen und Mitarbeiter informiert werden, um zu verhindern, dass eine abgewiesene Angreiferin bzw. ein abgewiesener Angreifer ihr/sein Glück bei anderen, zugänglicheren Kollegen versucht.
Für den Inhalt verantwortlich: Wirtschaftskammer Österreich, Bundessparte Information und Consulting