Select Page

Security Awareness – so schützen sich Unternehmen gegen Social-Engineering & Co.

Security Awareness – so schützen sich Unternehmen gegen Social-Engineering & Co.

Unternehmen sämtlicher Branchen sind dabei Geschäftsprozesse zu digitalisieren, um innovativer und agiler zu werden. Doch die Digitalisierung bringt auch einige Schattenseiten mit sich, nämlich riesige Angriffsflächen für Hacker.

Eine Studie des Marktforschungsinstituts „Bitkom Research“ ergab, dass über 50 Prozent der Unternehmen in Deutschland im vergangenen Jahr einen konkreten IT-Sicherheitsvorfall zu beklagen hatten.

Das zeigt, wie kritisch die IT-Security-Lage in deutschen Unternehmen ist und dass enormer Handlungsbedarf besteht, um Server und Systeme ausreichend zu schützen.

Social-Engineering-Attacken – CEO-Fraud, Payment-Diversion & Co.

Cyber-Angriffe sorgen täglich für Schlagzeilen. Von digitaler Wirtschaftsspionage über Datendiebstahl bis hin zu offen gelegten Kundendaten – solche Pannen sind geschäftskritisch. Insgesamt ist deutschen Unternehmen im vergangenen Jahr so ein Schaden von rund 51 Milliarden Euro entstanden. Maßgeblich dazu beigetragen haben Schäden durch sogenannte „Social Engineering-Attacken“.

Mit solchen Angriffen nutzen Cyberkriminelle gezielt den „Faktor Mensch“ als vermeintlich schwächstes Glied der Security-Kette.

Bestimmte Emotionen wie Vertrauen und Angst, aber auch Eigenschaften wie Hilfsbereitschaft oder Respekt vor Autorität werden beim Social Engineering beeinflusst, um bestimmte Verhaltensweisen hervorzurufen.

Die Attacken der Cyberkriminellen werden dabei immer ausgeklügelter. Allein mit der Betrugsmasche „CEO-Fraud“ erbeuteten Täter in den vergangenen zwei Jahren über 150 Millionen Euro.

Beim CEO-Fraud (auch „Fake-President-Masche“) kontaktiert der Täter seine Zielperson im Unternehmen per E-Mail und gibt sich als Geschäftsführer des Unternehmens aus. Der vermeintliche Geschäftsführer veranlasst das Opfer dann unter dem Anschein eines betrieblichen Anlasses zur Überweisung hoher Geldsummen ins Ausland. 

Die Täter der „Fake-President-Masche spionieren Unternehmen im Vorfeld gezielt aus, um besonders authentisch zu wirken. Dazu werden beispielsweise öffentliche Auftritte, Interviews, Webseiten oder Social-Media-Profile bis ins Detail analysiert. Meistens wird sich beim CEO-Fraud auf mittlere bis große Unternehmen fokussiert, denn der Zahlungsverkehr erfolgt hier nahezu ausschließlich elektronisch.

Payment-Diversion (zu Deutsch: Umleitung von Zahlungen) funktioniert im Grunde ganz ähnlich wie der CEO-Fraud. Die Kriminellen geben sich hier als Geschäftspartner oder Lieferanten des Unternehmens aus. Über gefälschte Mitteilungen erreichen die Betrüger dann, dass die Zahlung für Waren oder erbrachte Dienstleistungen auf abweichende Konten angewiesen wird.

Oft bemerken Unternehmen die Intrige erst dann, wenn sie Zahlungsaufforderungen für vermeintlich bereits bezahlte Rechnungen erhalten. Solche Angriffe führen bei Unternehmen nicht nur zu erheblichen finanziellen Verlusten, auch Image-Schäden sind eine Folge von Social-Engineering-Attacken.

„Social-Engineering-Attacken sind im Zuge der Digitalisierung für Unternehmen zu einem enormen Risiko geworden. Aus Angst vor Image-Schäden kommt es bei den meisten betroffenen Unternehmen noch nicht einmal zur Anzeige. So gibt es keine Möglichkeit, juristisch gegen die Täter vorzugehen.“

IT-Sicherheit – so gelingt es Unternehmen, sich effektiv zu schützen

Effektive und gut eingespielte IT-Security-Prozesse sind das A und O für die Datensicherheit in Unternehmen.

Mit einer guten Security-Software, können Sie das Risiko gehackt zu werden, deutlich minimieren. Endpoint Security Software in Form von Anti-Virus und Threat Prevention hat sich in den meisten Unternehmen bereits als IT-Security-Lösung etabliert. Genauso sind Firewall Appliances, Netzwerk-, Web- oder Messaging-Security-Software in den meisten Sicherheits-Konzepten fest verwoben. 

Elementar ist natürlich auch die Sensibilisierung der eigenen Mitarbeiter für das Thema IT-Sicherheit. Menschen beeinflussen die IT-Sicherheit in einem höheren Maße als es Systeme tun. Aus diesem Grund hat sich im Kontext der Informationssicherheit auch das Buzzword „Awareness“ (zu Deutsch: Bewusstsein) etabliert. 

Es ist wichtig ein Bewusstsein für das Thema bei Ihren Mitarbeitern zu schaffen. Über Security-Awareness-Schulungen kann Ihren Mitarbeitern das nötige Wissen vermittelt werden, um mit den Cyber-Bedrohungen des Geschäftsalltags umzugehen.

Achtsamkeit ist ebenfalls sehr wichtig, um Ihr Unternehmen vor Cyber-Risiken zu schützen. Gerade im Hinblick auf Social-Engineering sollten ungewöhnlichen Zahlungsanweisungen auf jeden Fall nur unter persönlicher Rücksprache mit der Geschäftsleitung erfolgen. Generell sollten Sie hier einen genauen Blick auf die Absenderadresse der E-Mail werfen. Schreibfehler sind hier häufig ein Indiz für Betrug.

Des Weiteren sollte geprüft werden, welche Informationen über ihr Unternehmen öffentlich einsehbar sind. Von Seiten der Polizei wird nämlich davor gewarnt, dass in der E-Mail die Zahlungsaufforderung häufig mit einer Unternehmensübernahme oder einem Geschäftsabschluss begründet wird. Solche Informationen beschaffen sich sich die Täter über Wirtschaftsberichte, das Handelsregister oder der Unternehmens-Homepage.

„Wo die Technik stark ist, wird der Faktor Mensch oft ausgenutzt, um sie zu umgehen. Daher funktioniert IT-Sicherheit immer nur in Kombination: Mensch und Technik müssen Hand in Hand arbeiten um die Informationssicherheit von Unternehmen zu gewährleisten.“

Der Notfallplan – so reagieren Sie richtig, wenn Sie gehackt wurden

Zunächst einmal ist jedem Unternehmen ein Plan zur Business Continuity zu empfehlen. Nehmen Sie sich also die Zeit und spielen Sie das Worst-Case-Szenario durch um aus verschiedenen Reaktionsmöglichkeiten die beste Strategie auszuwählen.

Haben Sie einen Krisenplan ausgearbeitet, sollte es Personen in Ihrem Unternehmen geben, die im Notfall die betreffenden Prozesse steuern können. So sind Sie im Falle eines Angriffs vorbereitet und wissen wie zu reagieren ist.

Sind Sie jedoch bereits gehackt worden und haben keinen Krisenplan, sollten Sie umgehend Schutzmaßnahmen ergreifen und versuchen den Schaden soweit wie möglich zu begrenzen. Hier gilt es vor allem schnell zu sein und zu retten, was zu retten ist. Unser Notfallplan zeigt Ihnen, was im Ernstfall zu tun ist.

  • 1. Überblick verschaffen: Erstmal ist es wichtig Ruhe zu bewahren. Versuchen Sie sich einen Überblick über das Ausmaß des Hacks zu verschaffen und verfallen Sie auf keinen Fall in Panik. Bevor erste Maßnahmen getroffen werden, muss geklärt werden, welche Systeme betroffen sind, welche Daten geklaut wurden und um welche Art von Angriff es sich handelt.
  • 2. Schnell reagieren: Ist ein Hacker einmal erfolgreich in das System eingedrungen, so wird er versuchen, über einzelne Systeme hinaus die Kontrolle über das gesamte Netzwerk auszuweiten. Hier ist also die oberste Priorität weitere Dateizugriffe und Datenverluste unbedingt zu vermeiden. Dazu müssen Sie die Kommunikationskanäle, die ein Hacker benutzt hat, unterbrechen. Verhindern Sie, dass weder Daten und Dateien ins System eingeschleust noch abgezogen werden.
  • 3. Interne Kommunikation: Richtige Kommunikation ist bei der Aufarbeitung eines Cyber-Angriffs enorm wichtig. Falls es sich um Spam-Nachrichten oder Aufforderungen Geld zu überweisen handelt, sollten Sie umgehend davor warnen auf Links oder Dateien zu klicken, die im Kontext des Vorfalls verschickt wurden. Informieren Sie Ihre Mitarbeiter auch über die für sie relevanten Informationen zum Status Quo und dem weiteren Vorgehen.
  • 4. Schadensbegrenzung: Ob Sie Daten wiederherstellen können, hängt davon ab, um welchen Art von Angriff es sich gehandelt hat. Wenn Sie herausgefunden haben, worauf die Angreifer Zugriff hatten, können Sie die Schwachstellen identifizieren. Das betroffene System sollte vor der Wiederinbetriebnahme auf jeden Fall neu aufgesetzt werden. Wurden Online-Accounts gehackt, ist es natürlich fundamental wichtig, neue und vor allem sichere Zugangsdaten zu vergeben. Prüfen Sie hier auch, ob irgendwelche Aktionen (z. B. verschickte Nachrichten, oder Transaktionen) durch den Angreifer durchgeführt wurden. Danach können Sie dann die notwendigen Gegenmaßnahmen eingeleiten.
  • 5. Die Konsequenzen: Wie Unternehmen in der Öffentlichkeit auf die Daten-Panne reagieren, sollte gut durchdacht sein. Dazu sollte genau betrachtet werden, was die gestohlenen Daten wert sind und welche Auswirkungen es haben kann, wenn diese Daten an die Öffentlichkeit gelangen. Gerade in größeren Unternehmen werden Cyber-Attacken oft nicht zur Anzeige gebracht, da Image-Schäden befürchtet werden. Hier müssen allerdings auch juristische Aspekte beachtet werden. Unternehmen sind beispielsweise dazu verpflichtet Betroffene im Falle eines Datenverlustes zu benachrichtigen.

Die Digitalisierung hat völlig neue Angriffswege geschaffen und aus diesem Grund sehen führende IT-Sicherheitsexperten enormen Handlungsbedarf, was die IT-Security von Unternehmen betrifft. Verlassen Sie sich auf ein ausgezeichnetes IT-Sicherheits-Management vom Fachmann. 

Sprechen Sie uns gerne an. Wir beraten Sie gerne zu sämtlichen Anliegen rund im das Thema IT-Sicherheit.

Über den Autor

Lina Schaefer

Durch Einblicke in aktuelle Themen der IT sollen Trends & Entwicklungen durch meine Beiträge leichter verständlich und für jedermann zugänglich gemacht werden.

Hinterlassen Sie uns einen Kommentar:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.