Energy 4.0:
Was versteht man unter Social Engineering?
Dr. Jörg Spilker:
Beim Social Engineering versucht der Angreifer an Wünsche oder Ängste des Opfers zu appellieren, um sensible Informationen oder sonstige Vorteile zu ergaunern. Der Wunsch, kooperativ und hilfsbereit zu sein, ist bei den meisten Menschen ebenso verankert wie das Bedürfnis, drohenden Schaden abzuwenden. Zugang zu seinem unfreiwilligen Informanten verschafft sich ein Social Engineer, indem er gezielt persönliche Informationen über sein Opfer oder auch Unternehmensinterna einsetzt, die er zuvor in Erfahrung gebracht hat.
Wie funktioniert das genau?
Es können beispielsweise Informationen über einen Mitarbeiter aus dem Social Web verwendet werden, um unverdächtig Kontakt aufzunehmen und eventuell bereits Unternehmensinterna abzusaugen. Diese sind die Basis für Anrufe und weitere Aktionen wie etwa den CEO-Fraud, den das BSI im letzten Jahresbericht explizit als Risiko mit steigender Tendenz eingestuft hat. Nicht zu unterschätzen ist auch immer noch der vermeintlich verlorene Datenträger auf dem Firmenparkplatz, der einen Trojaner enthält.
Wie groß ist die Gefahr für deutsche Unternehmen Opfer eines solchen Angriffs zu werden?
Das Risiko solcher Attacken steigt stetig – unter anderem durch die zunehmende Nutzung von sozialen Netzwerken und die vielfältigen Möglichkeiten, sich im Internet mit Bekannten und Unbekannten auszutauschen. Die Bereitschaft von Mitarbeitern, über Social Media Informationen über sich und über etablierte Prozesse in ihrem Unternehmen preiszugeben, bietet Angreifern eine breitere Basis zur gezielten Vorbereitung – in Sicherheit wiegen kann sich niemand mehr.
Wie können sich Unternehmen am besten schützen?
Kein IT-Sicherheitssystem der Welt kann Daten schützen, die freiwillig herausgegeben werden. Es ist daher ungemein wichtig, dass Unternehmen ihre Mitarbeiter schulen und sich die Mitarbeiter selbst grundlegendes Wissen über Social-Engineering-Methoden aneignen. Sie müssen ein gesundes Misstrauen gegenüber Dritten sowie eine Sensibilität für Daten entwickeln und das Gefahrenpotenzial verschiedener Risikosituationen einschätzen können.