Die Ausgaben für IT-Sicherheit nehmen in Deutschland stetig zu. Doch gleichzeitig steigt die Zahl der Schadprogramme und Cyberangriffe. Die Angreifer nutzen noch immer häufig technische Schwachstellen, doch das größte Risiko für die IT-Sicherheit sitzt vor dem Bildschirm: Es ist die Schwachstelle Mensch. Tipps und Infos von HTH Computer.
Wir Menschen haben von Natur aus Schwächen wie Angst, Neugier, Autoritätshörigkeit oder Bedürfnisse wie den Drang nach sozialer Bestätigung oder den Wunsch anderen zu helfen. Genau diese tiefsitzenden menschlichen Eigenschaften nutzen Cyberkriminelle immer gezielter aus. Sie packen die psychologische Trickkiste aus. Der neue Trend heißt Social Engineering. Was Social Engineering genau ist und wie Sie sich dagegen schützen können, erfahren Sie in diesem Artikel.
Was ist Social Engineering?
Social Engineering ist darauf aus, die natürlichen Schwächen des Menschen zu nutzen, um ihn damit zu manipulieren. Die Täter sammeln im Vorfeld berufliche und private Hintergrundinformationen über mögliche Personen und Mitarbeiter eines Unternehmens. Dies gelingt über Unternehmenswebseiten oder private und berufliche soziale Netzwerke. Es können aber auch mitgehörte Anrufe oder Gespräche sein. So können Kriminelle die Angriffe sehr gezielt vorbereiten und eine höhere Erfolgsquote erzielen. Der Angriff erfolgt über verschiedene Kommunikationskanäle: E-Mail ist noch eines der meistgenutzten Medien, aber es erfolgt auch über SMS, Anrufe, persönliche Ansprache und Videokonferenzen.
Ziel sind hierbei nicht nur Konzerne, sondern gerne auch kleine und mittelständische Unternehmen.
Auf diese 3 Trends im Social Engineering müssen Sie 2022 vorbereitet sein:
Spear-Phishing: Phishing ist eine bekannte Methode, bei der massenhaft E-Mails versandt werden. Der E-Mail-Empfänger wird unter Vorwänden aufgefordert, auf einen Link zu klicken und dann vertrauliche Informationen wie Passwörter oder Bankverbindungen einzugeben.
Spear-Phishing funktioniert im Prinzip genauso, doch es nutzt nicht mehr das Gießkannenprinzip. Der Angreifer recherchiert im Vorfeld und sammelt persönliche Informationen. So kann er die E-Mail viel gezielter und für den Empfänger relevanter gestalten. Denn wenn es plötzlich das kleine Lieblingsrestaurant um die Ecke ist, das schreibt, wird vermutlich weniger von einem Angriff ausgegangen.
CEO Fraud: CEO-Fraud, auch als CEO-Betrug oder Chef-Betrug bezeichnet, ist eine Methode, bei der sich der Angreifer als Geschäftsführer oder Chef ausgibt. In dieser Rolle fordert er Mitarbeiter beispielsweise auf, Überweisungen auf ein bestimmtes Konto zu tätigen. Bei dieser Betrugsvariante können verschiedene Kommunikationsmittel zum Einsatz kommen. Die Anweisungen können über E-Mails, aber auch Telefonanrufe stattfinden. Die Landeskriminalämter warnen schon einige Jahre vor dieser Methode, doch nach wie vor kommt es zu vielen Betrugsfällen, denn viele Mitarbeiter wissen immer noch nicht von dieser gängigen Angriffstechnik.
Deepfakes: Ein Deepfake ist manipuliertes Audio- oder Videomaterial, das täuschend echt wirkt. So werden beispielweise bekannten Personen falsche Worte in den Mund gelegt. Was als Spielerei begann, hat sich zu einer realen Bedrohung entwickelt. So könnte ein Angreifer ein Video vom Chef erstellen, in dem er eine Überweisung in Auftrag gibt.
Das größte Risiko für die IT-Sicherheit: Wie können sich Unternehmen vor Social Engineering Angriffen schützen?
Rein rationale und technische Vorsorgemaßnahmen sind sehr wichtig, aber nicht mehr ausreichend. Die Menschen, die tagtäglich mit den verschiedenen Kommunikationsmitteln arbeiten, müssen auf die Techniken von Social Engineering vorbereitet sein. Sie müssen Awareness-Schulungen absolvieren. Und dies nicht einmalig, um ein Zertifikat abheften zu können. Es ist eine permanente, sich weiterentwickelnde Gefahr, die den Menschen bewusst gemacht werden muss. Diese Awareness muss ein fester Bestandteil der Ziele im Unternehmen werden, denn Cyberangriffe sind eine existenzielle Bedrohung für Unternehmen jeder Größe geworden.
Unternehmen, die sich hierzu beraten lassen wollen, bietet HTH Computer ihre Expertise an. Mehr Informationen gibt es auf der Firmenseite.
HTH Computer Podcast
Sie möchten das Unternehmen und seine Themen ganz unverbindlich und praxisnah kennenlernen? Dann hören Sie doch mal in unseren Podcast „IT. Praktisch. Verständlich.“ rein. Dort nehmen wir uns jede Woche ein Thema vor, das praxisrelevant für kleine und mittlere Unternehmen ist. Sie finden ihn überall dort, wo es Podcasts gibt und hier.
Das war die News zu “Das größte Risiko für die IT-Sicherheit”. Mehr News zum Thema gibt es bei uns auch unter dem Tag “Sicherheit“.
