Sicherheitsrisiko durch Social Engineering bekämpfen

Der Schaden durch digitale Wirtschaftsspionage, Sabotage & Datendiebstahl wird jährlich auf 55 Milliarden Euro geschätzt. Dabei hängt die Sicherheit von Daten, Informationen & Know-How eines Unternehmens maßgeblich vom Verhalten der Mitarbeiter ab.

Sicherheitsrisiko durch Social Engineering bekämpfen

Die Unternehmenssicherheit wird maßgeblich durch 3 Komponenten beeinflusst: die Organisation, die eingesetzte Informationstechnologie und die Mitarbeiter. Die Organisation schafft dabei die Rahmenbedingungen in ihren Sicherheitsleitlinien sowie den Security-Awarenesstrainings und stellt unternehmenseigene, sicherheitskonforme EDV (wie Laptops, Smartphone etc.) bereit. Dennoch ist der Erfolg von Social Engineering innerhalb von Wirtschaftsspionage und Datendiebstahl auf 25 % (Bitkom 2017) gestiegen.

Sicherheitslücke Mensch

Menschen sind von Natur aus manipulierbar. Im Allgemein werden Personen von den psychologischen Umständen und situativen Besonderheiten des Alltags beeinflusst. Dieser Umstand wird beim Social Engineering für arglistige Täuschungsmanöver verwendet. Dabei geben Mitarbeiter an eine vermeintlich Hilfe suchende Person (= der Social Engineer) sicherheitsrelevante Informationen und Daten weiter. Dies geschieht im guten Glauben diese Person somit bei ihrem Anliegen zu unterstützen.

![040486d2-6309-4725-8141-5858a64b7b13]

Security-Awareness-Training bringen nicht den gewünschten Erfolg

Nachweislich beeinflussen Sicherheitstrainings das sicherheitsrelevante Verhalten von Mitarbeitern positiv. So steigern solche Trainingsmaßnahmen zum einen das Sicherheitsbewusstsein, zum anderen werden Fähigkeiten und Fertigkeiten im Umgang mit sicherheitsrelevanten Informationen und Daten vermittelt. Jedoch lebt Social Engineering nicht vom beabsichtigten, sondern vom (fast ausschließlich) unbeabsichtigten Verhalten angegriffener Mitarbeiter. Die Mitarbeiter geben aus der Situation heraus Daten weiter, ohne den Entschluss gefasst zu haben, der Organisation hierdurch schaden zu wollen.

Wie kann man ein Unternehmen vor Social Engineering schützen?

Hierzu müssen im Unternehmen selbst die situativen und persönlichen Faktoren identifiziert und analysiert werden, die das unbeabsichtigte Fehlverhalten begünstigen. Nur hierdurch kann eine Einschätzung des aktuellen Gefährdungsrisikos des Unternehmens als auch die Anfälligkeit der Mitarbeiter hinsichtlich Social Engineering-Angriffen erfolgen. Im Anschluss steht abschließend die Entwicklung von Tools zur frühzeitigen Identifikation risikofördernder Faktoren im Zusammenhang mit dem Design von effektiven Security Trainings.

Kontakt: Christoph Georgi christoph.georgi@ebs.edu +49 611 7102 2067

Britta Sarwari britta.sarwari @ebs.edu

Logo