Social Engineering in Zeiten der Digitalisierung

Mobile und Cloud Computing verändern die Art und Weise, wie wir Geschäftsinnovationen liefern. Und es ist Ihre Aufgabe sicherzustellen, dass neue Anwendungen nicht unnötiges Risiko einführen. Die meisten Organisationen haben ihre Netzwerke und Endpunkte effektiv gesperrt oder gesichert, aber immer noch einen fragmentierten Ansatz für die Sicherheit der Anwendungsschicht nicht berücksichtigt. Ihre Techniker benutzen Millionen Scan-Tools, decken aber nur einen Bruchteil der globalen Anwendungsbedrohungsoberflächen ab, oder kommen an diese erst gar nicht heran, da sie nicht das nötige Wissen oder die nötige Kompetenz besitzen. Der traditionelle, vor Ort Ansatz für die Anwendungssicherheit setzt eine übermäßige Komplexität bei schnelllebigen Entwicklungsteams ein. Es ist schwierig und erfordert Fachwissen. Darüber hinaus basiert es auf einer dezentralisierten Architektur, die es anspruchsvoll macht, konsistente Richtlinien, Metriken und Berichte über unterschiedliche Geschäftseinheiten und Entwicklungsteams anzuwenden. Dieser Ansatz ergibt vorhersehbar schlechte Ergebnisse. Cyber-Angreifer werden weiterhin ihre Taktik mit einer alarmierenden Rate verbessern. Sie suchen nach Wegen des geringsten Widerstandes, wie Marketing oder Drittanbieter-Software die sich nicht unter Ihrer Kontrolle haben, oder die Sie vielleicht gar nicht kennen. Sie suchen alle Ecken und Winkel ab, um ihre Schwachstellen zu finden.

Jedes Unternehmen ist jetzt ein Technologieunternehmen.

Digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl kann jedes Unternehmen treffen – die wenigsten sind für den Fall „Cyberangriff“ vorbereitet. Wenn Sicherheitssysteme einen Hackerangriff melden oder die IT-Systeme von außen lahmgelegt werden, sind in 4 von 10 Unternehmen ein Notfallmanagement festlegt. Es kommt aber noch dramatischer: In jedem sechsten Unternehmen (17 Prozent) wurden in den vergangenen zwei Jahren sensible Daten gestohlen meint Bitkom. Vor allem Kommunikationsdaten wie E-Mails oder Finanzdaten, fielen dabei häufig in die Hände der Angreifer. In 17 Prozent der Fälle von Datendiebstahl wurden Kundendaten entwendet, in 11 Prozent Patente oder Informationen aus Forschung und Entwicklung, in 10 Prozent Mitarbeiterdaten sagt die Bitkom Statistik: (Download unter diesem Link: https:/www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf )

Die Angreifer haben es aber nicht immer ausschließlich oder direkt auf digitale Daten abgesehen. Der Diebstahl von IT- oder Telekommunikationsgeräten wie Notebooks oder Smartphones ist ebeso beliebt. Auf diesen befinden sich ebenfalls wichtige Daten. 30 Prozent der Unternehmen haben in den letzten 24 Monaten derartiges erlebt. Jedes fünfte Unternehmen berichtet laut Bitkom von Social Engineering. Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Dabei spioniert ein Angreifer das persönliche Umfeld des Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Social Engineering dient dabei auch dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking. Social Hacking und Social Engineering nutzen wir in Ihrem Auftrag als Angriffsart, den nur dann lassen sich Menschliche Schwachstellen erkennen und vermeiden.

Die Abwehr von Social Engineering ist für ein Unternehmen nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden. Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offengelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen. Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden. Deshalb ist auch ein Social Hacking und Social Engineering Test als Angriffsart wichtig.

Was können Unternehmen als Sofortmaßnahme tun?

  • Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
  • Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
  • Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
  • Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben.
  • Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.

Trend: Physical Penetration Testing

Das primäre Ziel eines Physischen Penetrationstest ist, die Stärke der bestehenden physischen Sicherheitskontrollen und Infrastrukturen zu messen und ihre Schwächen aufzudecken, bevor Angreifer diese Schwächen entdecken und ausnutzen können. Physikalische Penetrationstests oder physikalische Intrusionstests zeigen echte Chancen für bösartige Insider oder böswillige Angreifer auf, um selbst kritische Infrastrukturen anzugreifen. Physische Barrieren (dh: Schlösser, Sensoren, Kameras, Mantraps) so zu beeinträchtigen, dass sie einen unbefugten physischen Zugang auf Sensible Bereiche ermöglichen, die zu Datenverletzungen und System- / Netzwerk-Störungen und Kompromissen führen.

Penetrationstest Service



Kundenhinweis
Liebe Kunden, liebe Interessenten.

Unser Team ist bis einschließlich Samstag bei einem Auftrag in Berlin. Ab Montag sind wir wie gewohnt für Sie da. In der Zwischenzeit, können Sie uns eine Email schreiben, uns erreichen E-Mails Mobil schnell und zuverlässig.
Schreiben Sie uns
Thank You. We will contact you as soon as possible.

JPC Consulting schützt Ihre Privatsphäre. Lesen Sie dazu auch unsere Datenschutzerklärung. Daher bitten wir Sie, Cookies zu akzeptieren oder zu deaktivieren.