29 Nov Problemfall Social Engineering: Wichtige Schritte, um Datensicherheit zu gewährleisten

In vielen großen Unternehmen kümmert sich ein eigener Bereich oder gar mehrere Fachabteilungen um die IT und somit auch um die IT-Sicherheit. Mit einer passgenauen IT-Sicherheitsstrategie leisten diese Stellen bereits einen erheblichen Beitrag zur IT-Sicherheit in Unternehmen. Sie richten den Fokus auf Aspekte des täglichen Handelns, die als sicherheitskritisch eingestuft werden.

 

Jedoch: Doch jedes noch so gute System ist anfällig, wenn der dahinterstehende Mensch als Akteur nachlässig wird.

 

DigiFors zeigt Ihnen dies mit Blick auf Social Engineering und die Risiken, die daraus resultieren.

 

Sonderfall Social Engineering: Statt passiver Sicherheitsstrategie ist Awareness gefragt

 

Eine ausgeklügelte IT-Sicherheitsstrategie leistet also wie erwähnt einen wertvollen Beitrag für ein Unternehmen. Gängige Gefahren und Risiken lassen sich so kontrolliert minimieren. 100%ige Sicherheit ist jedoch unerreichbar, wenngleich es neben einer IT-Sicherheitsstrategie noch andere Instrumente gibt, die eine möglichst hohe Sicherheitsstufe realisieren können. Ein wichtiger Punkt ist die Awareness der eigenen Mitarbeiter. So ist auch im Jahr 2020 noch immer der Mensch der unsicherste Faktor im Unternehmen.

 

Merke: Social Engineers versuchen sich dies zu Nutze zu machen, indem sie durch geschicktes Vorgehen an sensible Daten gelangen oder gar die Buchhaltung zu fatalen Entscheidungen bewegen.

 

Damit Social Engineering keine zu große Gefahr für das eigene Unternehmen darstellt, ist es wichtig, Mitarbeiter für die damit verbundenen Risiken und Vorgänge zu sensibilisieren. Erfolgskritisch ist dabei, dass die Unterrichtung über Risiken durch Social Engineering regelmäßig und auch in Form einfacher Merksätze vorgenommen werden sollten. So sind beispielsweise feste und ansonsten wenig spektakuläre Prozesse ein beliebtes Einfallstor für Kriminelle.

 

Es gilt: Ist ein Prozess für einen Mitarbeiter eine gewöhnliche Aufgabe, so sinkt mit der Zeit die Aufmerksamkeit und das Risiko steigt.

 

Social Engineering erkennen: Fünf Schritte für mehr Datensicherheit

 

Das Social Engineering kennt viele Erscheinungsformen. So nutzen Kriminelle nicht selten einfach das Tor, dass sich ihnen gerade öffnet. Wirklich gefeit ist also niemand. Auch ist, wie eingangs schon erwähnt, eine 100%ige Sicherheit eine Illusion. Daher sollte grundsätzlich viel Wert daraufgelegt werden, Datensicherheit schon im Alltag bestmöglich sicherzustellen.

 

Wir zeigen Ihnen, wie sie bereits mit fünf kleinen Schritten für mehr Sicherheit sorgen und dem Social Engineering einen Riegel vorschieben.

 

Schritt 1: Eine Passwort-Domäne IT-seitig einführen

 

Passwörter sind ein einfacher Schutz vor unbefugten Zugriffen, wiegen manche Mitarbeiter aber in trügerischer Sicherheit. So entscheiden sich auch heute noch viele Menschen für besonders einfache Passwörter. Werden systemseitig keine besonderen Anforderungen an ein Passwort gestellt, so entscheiden sich viele Menschen regelmäßig für folgende Passwörter:

 

• Passwort

• Name

• Nachname

• …

 

Mit ein wenig Kreativität und mit Hilfe eines Programms können Kriminelle die beliebtesten Kombinationen einfach testen und erlangen so Zugriff auf sensible Daten. Auch wenn das Passwort „Passwort“ gänzlich ungeeignet ist, würde die systemseitige Vorgabe große und kleine Buchstaben und mindestens je eine Zahl und ein Sonderzeichen verwenden zu müssen, schon für mehr Sicherheit sorgen.

 

• Wird etwa „PaSSworT1?“ verwendet, so ist dies weitaus sicherer.

 

Schritt 2: Passwörter regelmäßig ändern

 

Je länger ein Passwort verwendet wird, desto unsicherer kann dies im Ernstfall sein. Systemseitig sollte also vorgegeben werden, dass Mitarbeitende ihr Passwort in regelmäßigen Abständen neu setzen müssen und sich dieses darüber hinaus auch deutlich vom vorherigen Passwort unterscheiden muss.

 

Schritt 3: Sensible Daten immer verschlüsseln

 

Durch den technischen Fortschritt ist es für Kriminelle bereits heute schwierig, einfach so an sensible Daten zu gelangen. Möglich ist dies jedoch auch weiterhin. Wird also mit sensiblen Daten gearbeitet und werden diese etwa häufig versendet, so sollten zunächst kritische Prozesse identifiziert und dann praktikable Verschlüsselungstechnologien in die IT integriert werden. So können Daten mit einem Klick oder auch vollautomatisch verschlüsselt werden und darüber hinaus auch nur von jener Person entschlüsselt werden, die über den entsprechenden Schlüssel verfügt.

 

Schritt 4: Einfache Verhaltenstipps definieren und wiederholt kommunizieren

 

In vielen Unternehmen werden im Rahmen einer IT-Sicherheitsstrategie einfache Verhaltensregeln definiert und kommuniziert, die die Gefahren des Social Engineerings eindämmen sollen. Diese können beispielsweise durch Aushänge an Info-Brettern oder in regelmäßigen Mailings immer wieder neu ins Bewusstsein gehoben werden. Sind derartige Warnungen erst einmal im Langzeitgedächtnis gespeichert, so fällt es den Mitarbeitenden viel leichter, verdächtige Situationen zu identifizieren und angemessen darauf zu reagieren.

 

Schritt 5: Offen miteinander kommunizieren

 

Ein wichtiger Schritt, um Gefahren des Social Engineerings zu begegnen, ist auch die Schaffung einer offenen Kommunikationskultur. Gerade in sensiblen Bereichen mit monotonen und vertrauten Prozessabläufen, welche zudem noch schnell und häufig erledigt werden müssen, führen manche Mitarbeitende lieber einen Auftrag, der ihnen seltsam vorkommt, aus, als erneut nachzufragen. Wird über die Gefahr des Social Engineerings offen geredet, so steigt die Bereitschaft bei auffälligen Ereignissen nachzufragen.

 

Hilfreich ist es auch, den Risiken des Social Engineerings durch eine Erweiterung von Prozessabläufen zu begegnen. Ein klassisches Beispiel findet sich etwa im Rechnungswesen:

 

• Die Freigabe von Zahlungen erfolgt summenabhängig. Beispielsweise könnten Rechnungen bis 1.000 € von einem Mitarbeitenden allein, Rechnungen von 1.001 € bis 5.000 € im Vier-Augen-Prinzip von zwei Mitarbeitenden und Rechnungen über 5.000 € im Vier-Augen-Prinzip und erst nach Freigabe des jeweiligen Fachbereiches beglichen werden.

 

DigiFors ist der ideale Dienstleister, wenn es darum geht, Unternehmen und Mitarbeitende für die Risiken des Social Engineerings zu sensibilisieren und effiziente Sicherheitsstrukturen zu schaffen. Treten Sie jetzt unverbindlich in Kontakt mit uns!