Social was?

Nicht ein neuer Malware-Stamm, eine neu entdeckte Software-Schwachstelle oder ein Problem in der Systemarchitektur sollte in diesem Jahr das wichtigste Thema für Ihre IT-Sicherheit sein, sondern die exponentiell zunehmende Gefahr durch sogenannte Social Engineering Attacken. Hierbei wird der betroffene Endnutzer, z.B. die Mitarbeiter Ihres Unternehmens, gezielt getäuscht, manipuliert oder beeinflusst, um Zugriff auf sensible Daten oder gar Ihr gesamtes IT-System zu erhalten.

 

Verschiedene Taktiken, gewaltige Schäden

Der effektive Einsatz von Social Engineering ist bereits eine der gefährlichsten Waffen im Arsenal von Cyber-Kriminellen. Die Bandbreite reicht dabei von politisch oder finanziell motivierten Angriffen auf Nationalstaaten bis hin zu gezielten Angriffen auf Organisationen und Individuen. Insbesondere BEC-Angriffe (Business E-Mail Compromise), bei denen eine vertrauenswürdige Identität vorgetäuscht wird, um das Opfer dazu zu verleiten, Zahlungen zu tätigen oder vertrauliche Informationen zu teilen, umgehen routinemäßig herkömmliche Sicherheitsmaßnahmen und kosten deutsche Unternehmen jährlich Millionensummen. Und EAC-Angriffe (E-Mail Account Compromise), bei der Angreifer ein legitimes E-Mail-Konto kompromittieren und es dann verwenden, um die IT-Sicherheitsmaßnahmen zu umgehen und andere (Kollegen) zu täuschen, sind noch schwieriger zu stoppen.

Die Kosten für diese Angriffe sind bereits gewaltig. So registrierte das amerikanische FBI z.B. in den Jahren 2014-16 weltweit mehr als 40.000 Fälle von BEC- und EAC-Attacken, was allein bei den betroffenen Unternehmen zu Verlusten von fast 5 Milliarden Euro geführt hat. Und diese Zahl schließt nur die gemeldeten Angriffe ein – wobei angenommen wird, dass viele Unternehmen ihre Verluste gar nicht bekannt machen oder sich darüber teilweise auch gar nicht bewusst sind. Diese schon jetzt enorme Zahl wird sich in den kommenden Jahren noch weiter erhöhen, da eine immer größere Anzahl von Kriminellen von den Möglichkeiten und der aktuellen Erfolgsquote solcher Social Engineering Methoden angezogen wird.

 

Warum fallen so viele Nutzer auf Social Engineering-Angriffe herein?

Im Mittelpunkt jedes Social-Engineering-Angriffs steht die Ausnutzung von Vertrauen. Die meisten Angreifer verkörpern eine Identität, die dem Opfer gut bekannt ist und idealerweise in einem Autoritätsverhältnis zu diesem steht. So ist es z.B. bei BEC-Angriffen üblich, dass der Geschäftsführer oder eine andere hochrangige Persönlichkeit des Unternehmens imitiert wird. Oft werden auch Nachrichten verschickt oder Anrufe getätigt, die auf den ersten Blick vorgeben, von der IT-Abteilung des Unternehmens zu stammen. In diesen wird das Opfer z.B. gewarnt, dass es seinen Spam-Ordner leeren muss, da wichtige Nachrichten irrtümlich als Spam klassifiziert wurden. Oder es wird ein angebliches Sicherheitsrisiko fingiert, welches der Nutzer schnell beheben muss. Nicht selten wird bei diesen Attacken enormer psychischer Druck aufgebaut, um die Opfer zu schnellen (und teils unüberlegten) Handlungen zu veranlassen.

 Neben der Aneignung einer vertrauten Identität steigert sich die Erfolgsaussicht eines Social Engineering Angriffes nochmals, wenn sich der Angreifer vorab mit Informationen über sein beabsichtigtes Opfer ausstatten kann. In den letzten Jahren gab es eine Reihe extrem großer Datendiebstähle, bei denen persönliche Daten von Hunderten von Millionen von Personen entwendet wurden. Diese Informationen werden nun genutzt, um noch überzeugendere Social-Engineering-Angriffe durchzuführen.

 

Was ist nun zu tun?

Da die bestehenden Social-Engineering-Angriffe sehr hohe Erfolgsraten aufweisen und durch Automatisierung zunehmend häufig werden, müssen Unternehmen dringend damit beginnen, Abwehrmaßnahmen gegen diese Täuschungsversuche zu ergreifen. SoSafe testet, sensibilisiert und schult Ihre Mitarbeiter im richtigen Umgang mit Social Engineering-Attacken. Sie möchten wissen, wie anfällig Ihre Organisation für derartige Angriffe ist? Sie würden gerne einmal sehen, wie eine gezielte Attacke auf Ihr Unternehmen aussehen würde? Und sie möchten Ihre Mitarbeiter mit einem modernen, einfach zu bedienenden SaaS-Tool sowie simulierten Angriffen im richtigen Umgang mit Cyberrisiken trainieren? Dann fragen Sie jetzt einen unverbindlichen Testlauf bei SoSafe an und erhalten Sie erste Transparenz darüber, wie anfällig Ihre Organisation auf diesem Gebiet ist.

 

www.sosafe.de Cyber Security Awareness Training made in Germany