Wir wissen, dass die Digitalisierung der Schlüssel zur Zukunft ist. Und ebenfalls, dass es eine riesige Wundertüte mit unbekannten Gefahren ist! Wie manipulierbar sind wir wirklich?
Faktor Mensch – Sind wir zu naiv?
Eine der großen unbekannten Gefahren ist hier der Faktor Mensch. Die Psyche des Menschen ist ein sehr kompliziertes Konstrukt. Wir wissen manchmal selbst nicht, warum wir so handeln, wie wir eben handeln. Was die tatsächlichen verleitenden Motive sind. Doch unser Verhalten kann relativ simpel beeinflusst werden.
Menschliche Neigung – Social Engineering
Und genau das nutzen Cyber-Kriminelle unverfroren für Ihre Angriffe aus. Beim Social Engineering werden Zielpersonen durch subtile Methoden manipuliert. Folgend führen diese Handlungen aus, die Sie ohne Zutun der Kriminellen nicht tun würden. In unserer Arbeitswelt heißt das konkret, Personen, die Zugang zu kritischen Daten in einem Unternehmen haben, werden so beeinflusst, dass sie u. U. die Zugangsinformationen an Externe weitergeben.
Die bekanntesten Vorgehensweisen sind u.a.:
Phishing
Hierbei versuchen Cyber-Kriminellen mit verschiedenen Ködern, meist E-Mails mit Anhängen nach sensiblen Daten der Betroffenen zu “angeln”. Dazu zählen Passwörter, Bankdaten oder Unternehmensinformationen. Obwohl wir alle diese dubiosen E-Mails kennen, klicken immer noch mehr als 10% der Betroffenen auf Links oder Anhänge. Grund dafür, ist die angeborene Neugier.
Spear Phishing
Hierbei gehen Cyber-Kriminelle sehr organisiert vor. Methodisch durchdacht werden spezielle Organisationen “ausgesucht” bei denen dann Informationen abgegriffen werden sollen. Auch hier steht das E-Mail meist im Mittelpunkt, doch auch über Social Media oder Telefon wird Kontakt aufgenommen. Die eben benannten dubiosen E-Mails kennen wir nur zur Genüge und 9 von 10 Internetnutzer sind entsprechend sensibilisiert.
Doch bei Spear Phishing ist den Cyber-Kriminellen genau das bewusst. Aufgrund der höheren Sensibilisierung funktioniert es nur noch mit E-Mails
- von Personen, denen wir vertrauen oder die vertrauenswürdig sind oder
- die mit bestimmten Angaben die Glaubwürdigkeit erhöhen
- die einen logischen Grund für die Preisgabe der Informationen erhält.
Vishing
Hierbei werden E-Mails verschickt, in denen die Betroffenen aufgefordert werden eine bestimmte Telefonnummer zu wählen. Meist um Daten aus der E-Mail zu bestätigen. Einmal angerufen, sollen die gleichen Daten aus der E-Mail nochmals angegeben werden. In selteneren Fällen rufen die Cyber-Kriminellen im Namen vertrauenswürdiger Personen aber auch direkt an. Für wie sicher halten Sie Anrufe, bei denen Sie nach Ihren Passwörtern oder Codes gefragt werden?
Smishing
Hierbei versenden Cyber-Kriminelle SMS oder Textnachrichten, in denen die Betroffenen Links anklicken oder eine bestimmte Nummer wählen sollen. Der Erfolg dieser Methode liegt darin, dass wir einer SMS “mehr vertrauen” als einer E-Mail. Hier muss die Sensibilisierung noch stärker erfolgen.
Sind wir sensibel genug für die Vielzahl von ‚Cyber-Attacken‘?
Das Bundesamt für Sicherheit in der Informationstechnik verweist auf die Wichtigkeit von Sensibilisierungsmaßnahmen von Mitarbeitern – BSI Publikation Lagebericht 2017:
“Umfassender Schutz gegen Social Engineering kann nur durch kontinuierliche und in ein Gesamtkonzept eingebundene Sensibilisierungsmaßnahmen erzielt werden.“
Laut der BSI-Kurzumfrage “Wie wird am effektivsten ein Bewusstsein für Sicherheit geschaffen?” liegen Schulungen und Trainings mit 28% auf Platz zwei.
Auch in der letzten #ECSM-Woche fragen wir gemeinsam mit @ANSSI_FR: Wie wird am effektivsten ein Bewusstsein für Sicherheit geschaffen?
— BSI (@BSI_Presse) 27. Oktober 2017
Sensibiliseren Sie Ihre Mitarbeiter auf Social Engineering-Methoden! Wir bieten hierzu ein Automation Security-Seminar. Eine Anlage kann nur dann wirklich sicher sein, wenn auch die Mitarbeiter geschult sind.
Weitere Informationen zu anderen Seminaren finden Sie hier.
Zum Abschluß – Thema: Fake News
Viral werden absichtlich immer mehr falsche Nachrichten – Fake News – verbreitet. Ziel ist auch hier die Manipulation von Menschen. Mittels einer öffentlichen Konsultation hat sich die Europäische Kommission für das kommende Jahr als Ziel gesetzt, alle Bürger im digitalen Zeitalter in Bezug auf ‚Fake News‘ aufzuklären. Mit wirksamen Instrumenten können wir somit erkennen, ob die Informationen aus einer zuverlässigen, sowie überprüften Quelle entstammen.
How are we tackling fake news?
We are setting up a up a High-Level Expert Group now open for applications, and our public consultation has been launched. https://t.co/6Amwg0YXJ5 #TackleFakeNews pic.twitter.com/OwcJBGR0e8— European Commission (@EU_Commission) 13. November 2017
Security ist ein Thema, das die gesamte Organisation angeht.
Wir informieren Sie gerne darüber, wie Sie ein ganzheitliches Sicherheitskonzept realisieren, um Ihre komplette Organisation zu schützen.
Sind Sie schon mal privat Opfer geworden? Kennen Sie diese “Maschen”? Oder sind Sie bereits sensibilisert? Schreiben Sie uns. Wir freuen uns auf Ihre Anmerkungen.
Mehr spannende Beiträge zum Thema “Security” finden Sie hier.
Serie “Path to Security”:
… “Smishing” war mir neu
Beste Grüße, Andreas Helget