Cyberkriminalität und Cybersecurity sind keine rein technischen IT-Themen – im Gegenteil: Der Faktor Mensch macht ein wesentliches Element in der Sicherheitskette aus. Denn bei vielen Angriffsmethoden zielen Cyberkriminelle nicht auf technische Schwachstellen, sondern auf menschliche Fehler ab. Wie läuft das ab und wie können Unternehmen sich schützen?
Warum der Faktor Mensch in der IT- und Informationssicherheit so wichtig ist
Viele Unternehmen investieren große Summen in die digitale Sicherheit und technische Schutzsysteme. Cyberkriminelle suchen sich daher häufig eine andere Schwachstelle in der Sicherheitskette: Der Mensch. Ein unbedachter Klick auf einen Link oder eine ungesicherte Remote Verbindung zum Unternehmensserver können ausreichen, um Angreifern ungewollt Zugang zu verschaffen.
Es gibt Angriffsmethoden, die sogar ganz ohne Internetverbindung funktionieren: Im Telefongespräch oder bei einer Unterhaltung auf dem Unternehmensgelände werden wichtige Informationen oder gar Zugänge entlockt. Ahnungslose Mitarbeitende werden so unwissentlich zu Mittäter:innen. Diese Angriffsmethode nennt man Social Engineering.
Wie Social Engineering funktioniert
Unter Social Engineering versteht man die gezielte Manipulation und Instrumentalisierung von Menschen, um an wichtige Informationen, Geld oder Zugänge zu gelangen. Das Vorgehen wird auch als „Human Hacking“ bezeichnet, weil es systematisch menschliche Verhaltensweisen und Bedürfnisse ausnutzt und manipuliert.
Beim Phishing äußert sich Social Engineering häufig darin, dass die E-Mail den oder die Empfänger:in psychisch unter Druck setzt und beispielsweise Dringlichkeit oder konkrete Anweisungen von Vorgesetzten suggeriert. Social Engineering greift dafür auf Methoden des Trickbetrugs zurück.
Laut der Wirtschaftsschutz-Studie 2020 des Branchenverbands Bitkom waren 37 Prozent der befragten Unternehmen bereits von Social Engineering betroffen. Weitere 49 Prozent vermuteten, ebenfalls Opfer von Social Engineering Angriffen geworden zu sein, ohne konkrete Nachweise darüber zu haben. Social Engineering ist eine reale Gefahr für Unternehmen.
Wie kann man sich schützen?
Die Schwachstelle beim Social Engineering ist der Mensch. Der wichtigste Schutz besteht also darin, die Mitarbeitenden für die Gefahr zu sensibilisieren und darin zu schulen, richtig zu reagieren. Wenn die Mitarbeiter:innen Angriffe oder ungewöhnliche Aktivitäten erkennen, abwehren und melden, wird das Risiko einfach und effektiv minimiert.
In unserem Webinar „Social Engineering: Wenn nicht die Technik, sondern der Mensch zum Ziel wird“ erfahren Sie mehr zu der Thematik und wie Sie sich schützen können.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security