Internet-Kriminelle sind erfinderisch: Nachdem viele Unternehmen ihre IT-Infrastruktur inzwischen auf dem neuesten Stand halten, nehmen Hacker verstärkt die Mitarbeiter für ihre gefährlichen Attacken ins Visier. Firebrand Training macht deshalb auf eine ernstzunehmende Gefahr für die Sicherheit sensibler Unternehmensdaten durch Social Engineering aufmerksam.
Dabei nutzen kriminelle Hacker menschliche Eigenschaften wie Hilfsbereitschaft, Unwissenheit, Respekt vor Autoritäten und Gutgläubigkeit aus, um die Mitarbeiter zu manipulieren und sich zum Beispiel Zugangscodes zu geplanten Patentanmeldungen zu erschleichen. "Es ist die Aufgabe der Unternehmen, ihre Angestellten für das Thema IT-Sicherheit zu sensibilisieren", so Robert Chapman, Mitbegründer von Firebrand Training und Geschäftsführer der gleichnamigen GmbH. "Aufgrund der technischen Weiterentwicklungen und des schier grenzenlosen Erfindungsreichtums der Angreifer ist außerdem eine kontinuierliche Aktualisierung des Wissens gefragt."
Die Sicherheitsexperten von Firebrand Training haben die Top-Tricks des Social Engineering nachfolgend zusammengetragen:
- Kriminelle geben sich am Telefon oder via E-Mail als Assistent eines wichtigen Vorgesetzten, als Administrator oder Wartungskraft aus und verlangen Passwörter, um ein zeitkritisches Problem zu lösen oder Fehler zu beheben.
- Angreifer bauen eine längere Beziehung zu ihrem "Opfer" auf und spionieren bei jedem Kontakt neue Informationen aus. Die Mitarbeiter schöpfen keinen Verdacht, da es sich um scheinbar unwichtige Gespräche handelt. Am Schluss aber halten die Kriminellen den Schlüssel zu sensiblen Unternehmensinformationen in der Hand.
- Der Einsatz technischer Hilfsmittel ist oft äußerst raffiniert und schwer zu durchschauen: Die Kriminellen wollen die Zielpersonen dazu bringen, selbst den Kontakt zu ihnen aufzunehmen. Das schaffen sie, indem sie zum Bespiel die Telefonanlage manipulieren, so dass alle Anrufer für den Administrator direkt an sie weitergeleitet werden. Dann ist es ein Leichtes, die gewünschten Zugangscodes zu erhalten.
"Es wäre fatal, den 'Schwarzen Peter' den Mitarbeitern zuzuschieben und sie unwissend im Regen stehen zu lassen", so Robert Chapman. "Damit solche Attacken nicht zum Erfolg führen, sind aufgeklärte Mitarbeiter gefragt, die wissen, dass ein scheinbar harmloses Gespräch im Büro oder bei einem Bier nach Feierabend Cyber-Kriminellen Tür und Tor zu geschäftskritischen Informationen öffnen kann. Außerdem brauchen die Angestellten konkrete Handlungsempfehlungen, wie sie im Fall einer entdeckten Social Engineering-Attacke reagieren sollen. Denn einfache Hinweise wie 'IT-Sicherheit ist wichtig' oder 'Passwörter müssen geheim bleiben' greifen bei den raffinierten Vorgehensweisen der kriminellen Hacker zu kurz."
Weitere Informationen finden unter http://www.firebrandtraining.de. (mf)