Social-Engineering-Sensibilisierungstraining für Mitarbeiter
Social-Engineering-Schulungen helfen bei der Verteidigung gegen ausgeklügelte Phishing-Angriffe. Bilden Sie Ihre Mitarbeiter aus und schulen Sie sie, um einen Social-Engineering-Angriff zu verhindern.
Wichtige Punkte
- Durch Social Engineering werden Zielpersonen dazu gebracht, sensible Informationen preiszugeben, damit Cyberkriminelle Zugang zu Systemen, Daten oder physischen Räumen erhalten.
- Es gibt eine Vielzahl von Social-Engineering-Taktiken, die Angreifer einsetzen.
- Social-Engineering-Schulungen geben den Mitarbeitern die Werkzeuge an die Hand, die sie benötigen, um Bedrohungen zu erkennen. Dadurch werden kritischere und verantwortungsbewusstere Mitarbeiter herangebildet, die besser in der Lage sind, sich selbst und ihr Unternehmen zu schützen.
Ein Mitarbeiter erhält am Arbeitsplatz eine E-Mail, in der er aufgefordert wird, seine Anmeldedaten für das Netzwerk weiterzugeben. Da die E-Mail von einem leitenden Angestellten des Unternehmens stammt, tut er dies. Das Problem: Sie sind gerade Opfer eines Social-Engineering-Angriffs geworden, und nun sind die Daten - oder die Finanzen - des Unternehmens in Gefahr.
Social Engineering ist eine Kategorie von Cyberangriffen, die darauf abzielen, Menschen dazu zu bringen, sensible Informationen preiszugeben, die einem Angreifer Zugang zu einem System, einem physischen Raum oder Daten verschaffen. Diese Angriffe stammen nicht aus den sozialen Medien, wie manche vielleicht denken. Die sozialen Medien machen es Angreifern jedoch leichter, persönliche Daten zu sammeln, um überzeugende Social-Engineering-Angriffe durchzuführen.
Für Unternehmen können Social-Engineering-Angriffe verheerend sein. Sie sind die treibende Kraft hinter Business Email Compromise (BEC) - dem teuersten Phishing-Betrug der letzten Jahre, der im Jahr 2020 Verluste in Höhe von mehr als 1,8 Milliarden Dollar verursacht hat. [i] Mit der richtigen Sensibilisierung der Mitarbeiter für die Cybersicherheit können Unternehmen jedoch das Risiko und die Wahrscheinlichkeit dieser Angriffe verringern.
Was ist Social Engineering?
Social Engineering ist eine psychologische Manipulationstechnik, bei der Opfer dazu gebracht werden, sensible Informationen preiszugeben, um Zugang zu Systemen, Daten oder physischen Räumen zu erhalten. Anstatt dass ein Angreifer nach einer Software-Schwachstelle sucht, die er ausnutzen kann, macht er sich die menschliche Psychologie zunutze: Ein Hacker könnte eine Täuschung vortäuschen, um das Vertrauen einer Person zu gewinnen und sie schließlich davon zu überzeugen, Zugangsdaten zu Systemen oder Büroräumen preiszugeben oder beispielsweise Geld zu überweisen. Social-Engineering-Angriffe zielen in der Regel auf Personen ab, die besonderen Zugang zu diesen Gütern haben.
Die Bedeutung von Social Engineering Training
Social Engineering ist eine schwer zu bekämpfende Bedrohung für die Cybersicherheit, da die Angreifer mit ihrer Taktik die Vernunft des Einzelnen ausnutzen. Wenn Mitarbeiter nicht darin geschult wurden, Social-Engineering-Angriffe zu erkennen, steigt das Risiko, Opfer eines solchen Angriffs zu werden. Da Social-Engineering-Schulungen eine so wichtige Rolle bei der Minimierung von Bedrohungen spielen, nehmen viele Unternehmen Schulungen zum Thema Cyber-Sicherheit sehr ernst.
Das Marktforschungsunternehmen Gartner geht davon aus, dass bis zum Jahr 2022 in 60 % der großen Unternehmen ein Vollzeitmitarbeiter für das Sicherheitsbewusstsein zuständig sein wird. [ii] Social-Engineering-Schulungen, die häufig Teil von Programmen zur Förderung des Sicherheitsbewusstseins sind, geben den Mitarbeitern die nötigen Werkzeuge an die Hand, um diese Arten von Angriffen zu erkennen, was dazu beiträgt, kritischere und verantwortungsbewusstere Mitarbeiter heranzuziehen, die besser in der Lage sind, sich selbst und ihr Unternehmen zu schützen.
Die wichtigsten Social-Engineering-Angriffstechniken
Angreifer verwenden eine Vielzahl von Taktiken, um sich Zugang zu Systemen, Daten und physischen Standorten zu verschaffen. Zu den wichtigsten Social-Engineering-Angriffstechniken gehören:
- Baiting: Baiting-Angriffe nutzen das Versprechen eines Gegenstands oder einer Ware, um Nutzer zur Preisgabe ihrer Anmeldedaten oder zum Herunterladen von Malware zu verleiten. Online könnte der Köder eine Anzeige sein, die einen kostenlosen Musikdownload verspricht. In der physischen Welt kann es sich um einen infizierten Flash-Laufwerk handeln, der dort abgelegt wird, wo ein Angestellter ihn wahrscheinlich finden wird. Der Köder kann Malware enthalten oder das Opfer dazu bringen, einen Benutzernamen und ein Passwort preiszugeben.
- Scareware: Diese Taktik manipuliert die Opfer mit falschen Alarmen oder vorgetäuschten Bedrohungen. Auf dem Gerät des Opfers kann ein Popup-Fenster erscheinen, das darauf hinweist, dass sein System mit Malware infiziert ist. Es fordert sie auf, Software zu installieren oder eine Website zu besuchen, die schließlich ihr Gerät infiziert.
- Pretexting: Pretexting ist ein Betrug, bei dem ein Angreifer Informationen durch eine Reihe von Lügen erlangt. Der Angreifer gibt sich in der Regel als jemand aus, der eine wichtige Position innehat, z. B. ein leitender Angestellter oder ein Beamter der Strafverfolgungsbehörden, um persönliche Daten zu sammeln oder Zugang zu Finanzkonten zu erhalten.
- Phishing: Phishing-Betrügereien zielen auf ein Opfer per E-Mail, Telefon oder Textnachricht ab, indem sie sich als echte Person ausgeben, um die Opfer dazu zu bringen, sensible Daten preiszugeben. Dazu können Bank- oder Kreditkartendaten, Benutzernamen und Passwörter gehören.
- Spear-Phishing: Spear-Phishing ist ein gezielter Angriff, der darauf abzielt, sensible Informationen per E-Mail von bestimmten Personen oder Gruppen innerhalb eines Unternehmens zu stehlen. Bei einem Spear-Phishing-Angriff nehmen die Hacker die Identität einer vertrauenswürdigen Person an, z. B. eines Mitarbeiters, Kunden, Managers oder Freundes. Das Ziel des Angreifers ist es, Personen davon zu überzeugen, Informationen preiszugeben oder Aktionen auszuführen, die zu Datenverlusten, finanziellen Verlusten oder einer anderen Gefährdung des Netzwerks führen.
- Tailgating: Tailgating bedeutet, dass ein Angreifer, der sich Zugang zu einem gesperrten Bereich verschaffen will, einer Person folgt, um sich Zugang zu diesem Bereich zu verschaffen. Der Angreifer könnte sich zum Beispiel als Lieferfahrer verkleiden und Pakete tragen und dann darauf warten, dass ein Angestellter die Tür öffnet. Auf diese Weise könnte der Angreifer die Sicherheitsmaßnahmen umgehen.
- Watering Hole: Bei einem Watering Hole-Angriff versuchen Hacker, eine bestimmte Benutzergruppe zu kompromittieren, indem sie bösartigen Code in eine Website einschleusen, von der angenommen wird, dass die Mitglieder der Gruppe sie besuchen. Das Ziel ist es, die Computer der betroffenen Benutzer zu infizieren, um Zugang zum Netzwerk ihres Arbeitsplatzes zu erhalten.
- Whaling: Diese Art von Phishing-Angriff zielt auf hochrangige Mitarbeiter ab, z. B. den CEO oder CFO, und versucht, Informationen oder Geld aus dem Unternehmen zu stehlen. Der Angreifer schickt dem Opfer möglicherweise eine stark angepasste und personalisierte E-Mail, die von einer vertrauenswürdigen Quelle zu stammen scheint, so dass der Betrug schwer zu erkennen ist. Ziel ist es oft, das Ziel zu manipulieren, damit es Überweisungen von hohen Geldbeträgen an die Angreifer autorisiert.
Was sind die möglichen Folgen eines erfolgreichen Social Engineering-Angriffs?
Social Engineering ist eine besonders effektive Form der Cyberkriminalität. Im Jahr 2019 war beispielsweise Phishing, eine Untergruppe der Social-Engineering-Kriminalität, für ein Viertel aller Datenschutzverletzungen verantwortlich - mehr als jede andere Art von Angriff. [iii]
Die Auswirkungen dieser häufigen Angriffe können erheblich sein. Da die meisten Social-Engineering-Angriffe auf finanziellen Gewinn abzielen, drohen den Unternehmen erhebliche finanzielle Verluste. Im Jahr 2020 beliefen sich die Verluste in den USA nach Angaben des FBI auf über 4,2 Milliarden Dollar. [iv]
Unternehmen könnten auch eine größere Betriebsunterbrechung erleben - Produktivitätsverluste, ein Rückgang der Mitarbeitermoral und Ausfallzeiten, während sich die Organisation erholt. Der Prozess der Wiederherstellung nach einem Social-Engineering-Angriff kann einen hohen Preis haben: Oft müssen Unternehmen ein Reaktionsteam einstellen, Sicherheitssoftware kaufen, um künftige Angriffe zu verhindern, und Mitarbeiter neu schulen. Darüber hinaus können Unternehmen, die Opfer eines Social-Engineering-Angriffs werden, einen Imageschaden erleiden, wenn die Kunden nicht mehr darauf vertrauen, dass das Unternehmen sich selbst schützen kann.
9 Tipps zur Abwehr von Social Engineering-Angriffen
Je ausgefeilter die Social-Engineering-Angriffe werden, desto schwieriger wird es, sie zu verhindern. Dennoch gibt es wichtige Maßnahmen, die Mitarbeiter in Schulungen zum Thema Cybersicherheit erlernen können.
- Seien Sie misstrauisch gegenüber unaufgeforderten Nachrichten und Anrufen, in denen nach anderen Mitarbeitern oder geschäftsbezogenen Informationen gefragt wird.
- Geben Sie niemals persönliche Informationen oder Informationen über Ihr Unternehmen weiter, wenn Sie nicht sicher sind, dass die Person berechtigt ist, diese zu erhalten.
- Geben Sie keine sensiblen Informationen in eine Webseite ein, bevor Sie die Sicherheit der Website überprüft haben.
- Wenn Sie sich nicht sicher sind, ob eine E-Mail-Anfrage echt ist, wenden Sie sich direkt an das Unternehmen - über einen separaten Kanal - um sie zu überprüfen.
Es gibt auch führende Praktiken, die IT- und IT-Sicherheitsorganisationen anwenden können:
- Schulen Sie Ihre Mitarbeiter darin, die Anzeichen von Social Engineering zu erkennen.
- Implementieren Sie eine Netzwerksegmentierung sowie eine mehrstufige Authentifizierung, um sicherzustellen, dass nur Personen, die Zugang zu einem System benötigen, diesen auch erhalten.
- Setzen Sie fortschrittliche E-Mail-Filter ein, die Betrug erkennen und gefälschte E-Mails herausfiltern können, bevor sie an die Mitarbeiter weitergeleitet werden.
- Installation und Wartung von Antiviren-Software und Firewalls.
- Halten Sie die gesamte Software auf dem neuesten Stand - dies ist wichtiger, als den meisten IT-Mitarbeitern bewusst ist, und wird daher oft übersehen.
Die Quintessenz: Social Engineering Training kann helfen
Die Erweiterung des Wissens durch Social-Engineering-Schulungen ist eine der effektivsten Möglichkeiten, das Risiko eines Social-Engineering-Angriffs zu verringern. Führende Security Awareness Trainingslösungen behandeln Social Engineering und mehr in drei- bis fünfminütigen Modulen, um sicherzustellen, dass die Mitarbeiter nicht durch eine große zeitliche Verpflichtung belastet werden und produktiv bleiben. Mimecast Security Awareness Training setzt Humor ein, um die Benutzer einzubeziehen - eine bewährte Taktik, die laut der American Psychological Association die Mitarbeiter einbezieht, ihnen hilft, wichtige Informationen über neue Sicherheitsthemen zu behalten und letztendlich ihr Verhalten zu ändern. [v] Das Social Engineering Awareness Training hilft den Mitarbeitern nicht nur, die Rolle zu verstehen, die sie bei der Bekämpfung von Social Engineering-Angriffen spielen, sondern macht sie auch mit den besten Praktiken und Verhaltensweisen vertraut.
[i] " Internet Crime Report 2020 ," FBI
[ii] " Stellen Sie die richtigen Lehrkräfte für ein besseres Sicherheitsbewusstsein ein ," Gartner
[iii] " Verizon Geld bringt die Welt der Cyberkriminalität in Schwung, " Verizon
[iv] " Internet Crime Report 2020 ," FBI
[v] " Wie Lachen zum Lernen führt ," The American Psychological Association
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!