Social-Engineering-Attacken erkennen und abwehren – Teil 2

Im Blogartikel Social-Engineering-Attacken erkennen und abwehren – Teil 1 haben wir den Fokus darauf gelegt, wie Angriffe gemacht werden. Die «Angriffsvektoren» jeweils in einem eigenen Unterkapitel dargestellt, um einen schnellen Zugriff zu ermöglichen. Diese können im folgenden Teil 2 beim Rekapitulieren behilflich sein, wenn einer der Ausdrücke erwähnt wird.

Im Teil 2 zeigen wir Ihnen nun, wie Social-Engineering-Attacken abgewehrt werden können und wie die Abwehr geübt werden kann.

Um Angriffe abzuwehren, können folgende Punkte helfen:

• Erstellung und Einführung eines klaren Sicherheitsprotokolls, welches für die gesamte Firma durchgesetzt wird
• Durchführung von regelmässigen Schulungen zur Förderung des Sicherheitsbewusstseins
• Definieren einfacher Regeln, die festlegen, welche Informationen sensibel sind
• Definition einer einfachen Regel: Wenn ein Antragsteller um eine eingeschränkte Aktion mit computergestützten Geräten ohne klare Folgen bittet, muss die Identität des Antragstellers gemäss der Unternehmensrichtlinien überprüft werden
• Entwicklung einer Datenklassifizierungspolitik
• Schulung der Mitarbeiter im Umgang mit Social-Engineering-Angriffen
• Testung der Mitarbeitenden auf Anfälligkeit für Social Engineering

Der wichtigste Aspekt des Programms besteht darin, geeignete Sicherheitsprotokolle festzulegen und die Mitarbeiter zu motivieren, sich an diese Protokolle zu halten. Im nächsten Abschnitt werden einige grundlegende Punkte erläutert, die bei der Entwicklung von Programmen und Schulungen zur Bekämpfung der Social-Engineering-Bedrohung zu beachten sind.

Auflistung grundlegender Punkte, die bei der Gestaltung von Programmen zu berücksichtigen sind:

Absegnen vom Top-Management

Das Wichtigste zuerst: Holen Sie sich die Zustimmung des Top-Managements.

Die Bemühungen beginnen mit dem Bewusstsein, dass das Programm die Unterstützung des Managements braucht, um erfolgreich zu sein.

Dieser Bereich der Sicherheit gerät oft in den Hintergrund, weil der Anteil am Gewinn und Umsatz praktisch unsichtbar bleibt. Heutzutage ist es wichtiger denn je, sich vor Datenklau und Cyber-Angriffen zu schützen. Ein solcher Angriff kann schwerwiegende Folgen haben und extrem hohe Kosten verursachen. All dies zeigt die Wichtigkeit auf, dass die Verpflichtung zur Sicherheit von «oben» kommt. Zwei wichtige Regeln sollten kommuniziert werden:

1. Das Management verlangt nie, das Sicherheitsprotokoll zu umgehen!

2. Kein Mitarbeiter bekommt Probleme, wenn er das Sicherheitsprotokoll befolgt, selbst wenn das jemand vom Management anweist es nicht zu tun (was ja gemäss Punkt 1 nie passiert)!

Sensibilisierung

Die Sensibilisierung für die Tatsache, dass ein Angriff unausweichlich ist – die Frage ist nur, wann und ob er mehrstufig erfolgt – spielt eine entscheidende Rolle in der Abwehr. Generell ist es essenziell, das Bewusstsein der Mitarbeitenden zu schärfen. Je mehr unbekannte Personen in einem Unternehmen tätig sind, desto höher ist das Risiko. E-Mail-Angriffe sind unabhängig von der Firmengrösse eine allgegenwärtige Bedrohung. Daher sollte die Awareness für Phishing-Angriffe regelmässig gestärkt werden.

Rollenspiele

Mit Rollenspielen lassen sich verschiedene Angriffsmethoden identifizieren, den Widerstand stärken und die Anfälligkeit für Social-Engineering-Attacken verringern. Ein solches Training erfordert eine sorgfältige Vorbereitung, um das Personal bestmöglich auf den Ernstfall vorzubereiten und den Umgang mit solchen Angriffen zu üben. Besonders wertvoll kann es sein, Betroffene einzubeziehen die ihre Erfahrungen teilen und so die Sensibilität der Mitarbeitenden für dieses Thema erhöhen.

Viele Menschen glauben unverwundbar zu sein und denken, dass solche Angriffe nur «dummen» Personen passieren. Doch Opfer einer Social-Engineering-Attacke zu werden hat nichts mit Dummheit zu tun!

Schulung

Die Schulungen sollten darauf abzielen, dass Mitarbeitende die sensiblen Daten des Unternehmens aktiv schützen und verstehen, warum die Einhaltung der Sicherheitsrichtlinien unerlässlich ist.

Anhand praxisnaher Beispiele sollte veranschaulicht werden, welche schwerwiegenden Folgen das Ignorieren von Sicherheitsvorgaben haben kann. Den Mitarbeitenden muss bewusst werden, dass nicht nur die Firmendaten, sondern auch ihre persönlichen Daten gefährdet sind. Die Motivation sollte darauf abzielen, dass niemand gerne manipuliert, getäuscht oder überlistet wird – und dass genau dies aktiv verhindert werden muss.

Wegleitung für die Mitarbeitenden

Erarbeiten Sie konkrete Handlungsempfehlungen für Mitarbeitende, falls ein Social-Engineering-Angriff erkannt oder vermutet wird.

Diese Leitlinien sollten klar strukturiert, verständlich formuliert und leicht zugänglich im Intranet abrufbar sein.

Einfache Richtlinien

Erstellen Sie klare und einfache Richtlinien für Mitarbeitende, die definieren welche Informationen als sensibel gelten und entsprechend geschützt werden müssen.

Da wir Informationen meist heuristisch verarbeiten (siehe Teil 1), sollten Sicherheitsregeln so gestaltet sein, dass sie eine Warnung auslösen, wenn nach sensiblen Daten gefragt wird.

•  Vertrauliche Geschäftsinformationen
•  Passwort einer Person
•  Zugang ins Gebäude
•  usw.

Auch scheinbar harmlose Informationen können Social Engineers dabei unterstützen, ihre Täuschung glaubwürdiger zu machen. Daher ist es essenziell, stets wachsam zu bleiben und keine Informationen leichtfertig preiszugeben.

«Nein» sagen ist erlaubt

Ändern Sie die Höflichkeitsnormen im Unternehmen – Es ist in Ordnung, «Nein» zu sagen!

Den meisten von uns ist es unangenehm oder unbehaglich, anderen gegenüber «Nein» zu sagen. Vorallem im Unternehmensumfeld ist es entscheidend, klare Grenzen zu setzen, insbesondere wenn es um sensible Informationen geht.

Eine einfache Möglichkeit, dies zu erleichtern, ist die Nutzung einer vordefinierten Ablehnungsfunktion. Beispielsweise könnte der Benutzer die *-Taste drücken und auflegen. Eine automatische Ansage informiert den Anrufer dann freundlich, aber bestimmt: «Verzeihung, hier ist der Telefon-Butler und ich bin angewiesen worden, Ihnen mitzuteilen, dass ich Ihre Anfrage ablehnen muss.»

Das Schulungsprogramm gegen Social Engineering sollte die Neudefinition von Höflichkeitsnormen als ein zentrales Ziel verfolgen.

Grundsatz: Sensible Anfragen sollten höflich, aber konsequent abgelehnt werden – zumindest solange, bis die Identität und Berechtigung des Antragstellers eindeutig verifiziert sind.

Identitätsprüfung

Jedes Unternehmen sollte klare Verfahren zur Überprüfung der Identität und Berechtigung von Personen etablieren, die Informationen anfordern oder Massnahmen veranlassen möchten.

Diese Prozesse sollten sich an der Sensibilität der angeforderten Informationen oder Massnahmen orientieren. Eine umfassende Schulung ist dabei essenziell – sie sollte nicht nur offensichtliche sondern auch subtilere Manipulationstechniken abdecken.

Wichtige Aspekte:

• Erkennen gefälschter Visitenkarten
• Genauere visuelle Prüfung von Kleidung und Auftreten
• Sensibilisierung für unauffällige Social-Engineering-Methoden

Weitere relevante Punkte sind in Teil 1 enthalten.

Verwenden von «Least Privileges» 

Durch gezielte Massnahmen lässt sich der Zugriff auf sensible Daten und Systeme bereits durch die Vergabe minimal notwendiger Zugriffsrechte erheblich einschränken.

Das Prinzip dahinter: „Was ich nicht habe, kann ich nicht weitergeben.“

Wenn ein Nutzer keine Administratorrechte besitzt, kann er auch keine Software installieren – ein einfacher, aber effektiver Schutz vor unautorisierten Änderungen. Zwar gibt es Angriffe, die Sicherheitslücken ausnutzen und diese Einschränkungen umgehen, dennoch stellt dieser Ansatz eine wichtige Sicherheitsmassnahme dar.^[4]

Zusätzlich sollten ausführbare Dateien gar nicht erst heruntergeladen werden können, um potenzielle Risiken weiter zu minimieren.

Oft wird übersehen, dass Mitarbeitende das schwächste Glied in der Sicherheitskette sind. Um diese Lücke zu schliessen sind regelmässige Schulungen und kontinuierliche Sensibilisierung essenziell.

In Kombination mit einem aktuellen und zuverlässigen Software- sowie Hardwareschutz lassen sich Angriffe deutlich erschweren oder sogar ganz abwehren.

Ein entscheidender Faktor ist zudem eine gelebte Fehlerkultur im Unternehmen. Wenn Mitarbeitende offen über Unsicherheiten und Fehler sprechen können, entsteht ein Umfeld, in dem Sicherheitsrisiken frühzeitig erkannt und minimiert werden.

Wir wünschen weiterhin schöne und erfolgreiche Übungsslots mit den Profis im Familienumfeld, wo der Kurs nichts kostet! 😉