Social Engineering ist eine stets vorhandene Bedrohung für die Informationssicherheit in KMU. Dabei versuchen die Cyberkriminellen, das persönliche oder berufliche Umfeld eines Mitarbeitenden zu erkunden. Dazu wendet der Angreifer soziale Interaktionen an, um relevante Informationen über die Organisation oder ihre IT-Systeme zu erhalten und diese anschliessend zu kompromittieren. Damit solche Angriffsversuche scheitern, ist es wichtig, präventiv vorzugehen.
Wie lassen sich die Risiken von Social Engineering vermindern?
Beim Social Engineering täuschen Angreifer falsche Identitäten vor. Sie senden dazu Mitarbeitenden von KMU gefälschte Nachrichten von bekannten Institutionen oder dem Empfänger bekannten Persönlichkeiten, um Vertrauen aufzubauen. Damit wollen sie Login-Daten erbeuten, schädliche Software einschleusen oder finanzielle Transaktionen auszulösen. Die folgenden Punkte tragen dazu bei, Social-Engineering-Attacken abzuwehren.
1. Sensibilisierung der Mitarbeitenden als Teil der Cyber Security
Ein zentraler Punkt ist die Schulung aller Mitarbeitenden im Unternehmen. Ist das Personal mit dem Thema Social Engineering sowie den Anzeichen für solche Angriffe vertraut, reduzieren sich die Chancen für erfolgreiche Cyber-Attacken auf diesem Weg bereits deutlich.
Klare Richtlinien zu den generellen Verhaltensweisen sind ein wichtiger Schlüssel dazu. Das KMU soll entsprechende Vorschriften in die eigene IT-Sicherheitsstrategie integrieren und diese regelmässig kommunizieren.
Insbesondere ist darauf hinzuweisen, dass selbst unwichtig scheinende Informationen für Angreifer durchaus von Interesse sind. Bei gezielten Attacken nutzen Angreifer mitunter Teilinformationen und extrahieren später weitere Daten, um mit der Zeit ein umfassendes Bild des anzugreifenden Unternehmens oder der Zielperson zu haben. Dies ist eine bekannte Strategie von Cyberkriminellen, um mit ihrem Wissen vertrauenerweckend zu erscheinen. Als Konsequenz geraten Mitarbeitende schneller in Versuchung, interne Daten oder kritische Informationen preiszugeben, das der Aussenstehende offensichtlich mit dem Unternehmen vertraut zu sein scheint.
- Personenbezogene oder kritische Unternehmensdaten nicht an externe Personen weitergeben
- Digitale Datenträger, die nicht aus dem Unternehmen stammen (beispielsweise USB-Sticks) nicht mit Systemen im Betrieb verbinden
- Links und Anhänge von Mails, besonders von unbekannten Absendern, nicht öffnen
- Identität von Anrufern oder Absendern von Mails überprüfen, am besten per Rückruf
- Unbekannten Anrufern keine vertrauensbildende Informationen, wie etwa Namen von Mitarbeitenden geben, die spätere Angriffe erleichtern
- Bei verdächtigen Aktionen die zuständige Person informieren, in der Regel den IT-Sicherheitsbeauftragten oder den externen IT-Dienstleister
Es gibt gute Möglichkeiten, Abwehrtechniken gegen solche Cyber-Attacken zu trainieren. Schulungen durch externe IT-Experten sind ein Beispiel hierfür. Diese Fachleute kennen die meisten und häufigsten Angriffsmuster. Sie erklären diese Attacken detailliert, damit die Mitarbeitenden selbst in der Lage sind, verdächtiges Verhalten zu identifizieren.
Eine weitere Möglichkeit ist es, Social-Engineering-Attacken zu simulieren. Geplante oder auch unangekündigte Anrufe stellen eine gute Möglichkeit für solche Tests dar. Danach ist die Reaktion des Personals zu überprüfen. Anschliessend geht das KMU bzw. der externe IT-Experte in einem Gruppengespräch auf die Simulation ein. Dabei ist es entscheidend niemanden blosszustellen und klar darauf hinzuweisen, dass das Ziel der Simulation die Erarbeitung von Knowhow zur Steigerung der Cyberabwehr im Unternehmen ist.
Die Fachperson erläutert an einem solchen Gespräch, an welchen Punkten Verbesserungen notwendig sind oder welche Art von Informationen die Mitarbeitenden auf keinen Fall weitergeben dürfen. Solche praxisnahen Situationen sind besonders gute Trainingsmöglichkeiten, da sie ein natürliches Abwehrverhalten sowie Erfahrung aufbauen.
2. Multi-Faktor-Authentifizierung als Sicherheitsmassnahme gegenüber Cyber-Attacken
Eine weitere gute Sicherheitsmassnahme gegen das Social Engineering sind Authentifizierungen mit mindestens zwei Abfragen. Diese Zwei-Faktor- (2FA) oder Multi-Faktor-Authentifizierungen (MFA) schützen Systeme vor unbefugten Zugriffen. Es gibt ganz unterschiedliche Wege, solche Systeme für die Multi-Faktor-Authentifizierung umzusetzen. Viele Plattformen, wie Microsoft 365, bringen Optionen für die doppelte Authentifizierung mit. Diese Möglichkeiten sollten Unternehmen auf jeden Fall für ihre vorhandenen externen Business Plattformen (z.B. von Microsoft) einsetzen.
Ist die Zwei-Faktor-Authentifizierung aktiviert, reicht es beispielsweise nicht aus, dass sich ein Angreifer mit der E-Mail-Adresse sowie dem Passwort einloggt. Ein solcher Log-in-Versuch scheitert, da erst eine zweite Authentifizierungsmethode den Zugriff gewährleistet. Beliebte Kombinationen sind beispielsweise ein Passwort, das an einen Mail-Account geknüpft ist, sowie eine App oder eine SMS, die im Anschluss einen Kontrollcode verschickt. Somit müsste ein Angreifer nicht nur das Passwort und die Mail-Adresse kennen, sondern auch noch physischen Zugang zum jeweiligen Smartphone besitzen. Erst dann erlangt er Zugriff auf die Plattform. Auf diese Weise schaffen Unternehmen eine zusätzliche Sicherheitsbarriere, die besonders wirksam gegenüber Social-Engineering-Attacken ist.
Es gibt zahlreiche verschiedene Methoden, um Multi-Faktor-Authentifizierungen in der Praxis umzusetzen. Vom Internetbanking sind Systeme auf Basis von Pins, SMS, Apps oder auch mit zusätzlichen Geräten für die Authentifizierung bekannt. All diese Sicherheitsmechanismen haben das Ziel, eine zusätzliche Sicherheitsbarriere zu schaffen. Diese stellt physisch sicher, dass sich der tatsächliche Eigentümer mit seinen Zugangsrechten authentifiziert. Ein weiterer Vorteil ist, dass diese Multi-Faktor-Authentifizierungen in der Regel leicht zu implementieren sind. Unternehmen benötigen beispielsweise nur designiertes Smartphone. Dieses nutzen die Mitarbeiter für die Authentifizierung und verbinden es mit den entsprechenden Systemen und Plattformen. Bei den Multi-Faktor-Authentifizierungen gibt es die folgenden Technologien die sich wahlweise einzeln oder in Kombination einsetzen lassen:
- E-Mail
- SMS
- Smartphone mit einer App
- Biometrische Methode
- Externe Geräte
- Token
Multi-Faktor-Authentifizierungen lassen sich auch bei internen Systemen durchsetzen. Hierfür bieten sich auch weitere Möglichkeiten.
Duales Kontrollsystem (2FA) ohne technische Hilfsmittel
Ein duales Kontrollsystem (2FA) lässt sich beispielsweise ganz ohne externe technische Hilfsmittel implementieren. Den Zugang zu bestimmten, kritischen Bereichen sichert etwa das Vier-Augen-Prinzip. Dies bedeutet, dass mindestens zwei Mitarbeiter eine Freigabe mit ihrem Password authentifizieren müssen. Ebenso lassen sich Ticket-Systeme gestalten, die Informationen erst dann nach Aussen weitergeben, wenn mindestens zwei ausgewählte Personen dies abgesegnet haben. Auf diese Weise reduziert sich der Faktor der menschlichen Nachlässigkeit und Verwundbarkeit deutlich. Lässt sich ein Mitarbeiter überrumpeln oder ist im Umgang mit wichtigen Daten nachlässig, gibt es noch eine zweite Barriere, bevor ein Unbefugter tatsächlich Zugang zu kritischen Informationen erhält.
3. Hilfe von Experten – ein guter Weg zu einem hohen Sicherheitsstandard
Gerade als KMU oder kleinere Organisation ist es beinahe unmöglich, sich das Wissen und die Ressourcen für eine umfangreiche Cyber Security anzueignen. Spezialisierte IT-Dienstleister bieten in diesem Bereich mittlerweile umfangreiche Angebote. Dies reicht von professionellen Schulungen für die Mitarbeitenden, simulierten Social-Engineering-Attacken bis hin zu kompletten Managed IT Services, die die gesamte Cyber Security im Unternehmen gewährleisten.