Fünf hartnäckige Mythen zu Social-Engineering

Social-Engineering-Angriffe sind weltweit auf dem Vormarsch und es zeichnet sich deutlich ab, dass diese Angriffsform durch auf künstlicher Intelligenz (KI) basierende Tools in Zukunft noch raffinierter werden wird. Laut einer aktuellen Studie von Bitkom e.V. hat fast jedes zweite Unternehmen eine versuchte Attacke erlebt. Dennoch halten sich hartnäckig Mythen über diese Angriffsart, die Unternehmen zu falschen Entscheidungen verleiten. 

Social-Engineering-Angriffe gehören zum Alltag eines jeden Unternehmens. Denn für Cyberkriminelle ist das Abgreifen sensibler Daten nicht nur eine lukrative Erpressung, sondern es kommt Unternehmen auch auf andere Weise teuer zu stehen. Viele machen Fehler im Umgang mit Social Engineering, die den Angreifern den Erfolg erleichtern können.

Die Nevis Security AG räumt mit den fünf gängigsten Mythen rund um Social-Engineering-Attacken auf und gibt Tipps, wie Unternehmen diese Art von Angriffen erfolgreich erkennen und damit stoppen können:

  1. Technische Sicherheitsmaßnahmen sind ausreichend
    Während Sicherheitssoftware wie Firewalls und Antivirenprogramme nach wie vor wichtig sind, um Angriffe aller Art abzuwehren, zielt Social Engineering auf den Menschen als schwächstes Glied in der IT-Sicherheitskette ab. Ziel der Angreifer ist es, Personen so zu manipulieren, dass sie beispielsweise Login-Daten oder andere sensible Informationen preisgeben. Eine der häufigsten Schwachstellen ist daher die mangelnde Sensibilisierung der Mitarbeiter. Es ist wichtig, sie regelmäßig zu schulen und zu sensibilisieren, damit sie nicht unwissentlich auf die Tricks der Kriminellen hereinfallen.

  2. Social-Engineering erfolgt nur über PhishingGerade hochgradig personalisierte Angriffsversuche sind für Kriminelle erfolgversprechend. So werden beispielsweise fingierte Telefonanrufe immer beliebter, um an sensible Daten zu gelangen. Dabei werden verschiedene Tricks angewendet, um ans Ziel zu kommen: Techniken wie Autoritätsausbau (CEO-Scam), Sachlichkeit, Sympathie oder Neugier werden ausgenutzt, damit die Daten preisgegeben werden. Neben dem Einsatz von Multi-Faktor-Authentifizierung kann hier ein risikobasierter Ansatz oder eine adaptive Authentifizierung die Lösung sein. Meldet sich ein Nutzer beispielsweise von einem anderen als dem registrierten Endgerät an, wird er aufgefordert, einen zusätzlichen Authentifizierungsschritt durchzuführen.
  3. Es bleibt bei einem AngriffIst ein Hacker erst einmal im System, bleibt es oft nicht bei einem Angriff. Gerade Social Engineering dient als Einfallstor für weitere Attacken. Haben sich Kriminelle beispielsweise erfolgreich in einem System oder einer Anwendung authentifiziert, können sie weitere Schadsoftware wie Ransomware nachladen. Das Ausmaß muss nicht sofort spürbar sein, die Schadsoftware kann in einen Ruhezustand versetzt werden. Wenn der richtige Zeitpunkt gekommen ist, schlagen die Angreifer zu. Nach dem Motto „wehret den Anfängen“ sollten Unternehmen eine starke Authentifizierung implementiert haben, um es Hackern so schwer wie möglich zu machen, in ein System oder eine Anwendung einzudringen.
  4. Meine Mitarbeiter und meine Kunden sind eindeutig identifiziert und damit autorisiert
    Eine registrierte Person muss nicht notwendigerweise die Person sein, die dazu berechtigt ist. Versäumen es Unternehmen, die Identität einer Person angemessen zu überprüfen, insbesondere wenn es sich um sensible Daten handelt, kann dies schwerwiegende Folgen – auch unter Compliance-Gesichtspunkten – haben. Für Unternehmen ist es daher wichtig, nicht nur sicherzustellen, dass die berechtigten Personen Zugriff auf die Daten haben, sondern auch eine starke MFA zu implementieren. Gelingt es dem Angreifer, diese zu überwinden, kann neben einer risikobasierten Authentifizierung auch der Einsatz eines Continuous-Authentication-Konzepts sinnvoll sein. Dabei wird die Identität von Benutzer und Endgerät im Hintergrund überprüft, ohne dass die Sitzung unterbrochen wird. So können die IT-Sicherheitsexperten eines Unternehmens schneller feststellen, ob ein unberechtigter Zugriff auf einen Account erfolgt.

  5. Nur naive Personen sind von Social Engineering betroffen, deswegen reichen Passwörter als Sicherheitskonzept ausDank ausgeklügelter Methoden wie Social-Engineering-Attacken in Echtzeit können auch informierte Personen Opfer von Hackern werden. Wenn dann noch unzureichende Sicherheitsrichtlinien ins Spiel kommen, wird es heikel. Viele Unternehmen verlassen sich immer noch auf Passwörter, wie eine Studie von Nevis zeigt. Zehn Prozent der befragten IT-Entscheider gaben darin sogar zu, überhaupt keine Sicherheitsvorkehrungen zu treffen. Cybersecurity-Standards wie FIDO, OAuth oder WebAuthn sind gerade einmal der Hälfte der IT-Entscheider bekannt. Dabei ist längst bekannt, dass Passwörter nicht sicher sind. Der Einsatz von MFA auf Basis biometrischer Merkmale erschwert Hackern das Eindringen in Systeme, da diese Art der Authentifizierung nicht so leicht in falsche Hände geraten kann.

Stephan Schweizer, CEO der Nevis Security AG, kommentiert: „Gerade durch die Möglichkeit, dass künstliche Intelligenz auf dem Vormarsch ist, wird es auch für Cyberkriminelle immer einfacher, Angriffe einfacher und automatisiert ablaufen zu lassen. So ist im Bereich des Social Engineering kaum noch technisches Know-how erforderlich, um illegal an sensible Daten zu gelangen. Auch Fraud-as-a-Service, bei dem Kriminelle ihre Fähigkeiten oder ihre Software im Prinzip Laien zur Verfügung stellen, erschwert die Cyber-Sicherheitslage zusätzlich. Unternehmen sollten es Hackern nicht leicht machen, Daten zu stehlen und die Gefahren ernst nehmen.“

Über die Nevis Security AG

Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland, UK und Ungarn.

Firmenkontakt und Herausgeber der Meldung:

Nevis Security AG
Birmensdorferstrasse 94
CH8003 Zurich
Telefon: +49 (89) 8038684
http://www.nevis.net

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel