Einer Studie der auf Sicherheitslösungen spezialisierten Check Point Software Technologies Ltd. zufolge betrachten 86 Prozent der weltweit mehr als 850 befragten IT- und Security-Experten das Thema Social Engineering als ernstes, wachsendes Problem. Dabei stellen 51 Prozent der Unternehmen fest, dass die Aussicht auf finanzielle Vorteile die Hauptmotivation der Angriffe ist, gefolgt vom Erlangen von Wettbewerbsvorteilen und Rachemotiven.

Gezielter Missbrauch

Von Social Engineering spricht man dann, wenn ein Angreifer, z.B. für Zwecke der Wirtschaftsspionage, menschliche Eigenschaften ausnutzt, um sich unrechtmässig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen und das schwächste Glied in der Organisation zu identifizieren, nutzen Hacker eine Vielzahl von Techniken und Social Networking-Applikationen.

Wie die Studie zeigt, sind 48 Prozent der befragten Unternehmen bereits Opfer sogenannter Social Engineering-Attacken geworden und haben in den vergangenen beiden Jahren 25 oder mehr solcher Angriffe hinnehmen müssen, die nach eigener Einschätzung pro Vorfall mit Folgekosten von 25 000 bis 100 000 US-Dollar verbunden waren. Phishing- und Social Networking-Tools sind demnach die gängigsten Mittel für den gezielten Missbrauch menschlicher Schwächen - für die betroffenen Organisationen Grund genug, zur Absicherung ihrer sensitiven Daten künftig auf eine starke Kombination aus Technologie und hohem Anwenderbewusstsein zu setzen.


Neue Mitarbeiter besonders gefährdet

Social Engineering-Techniken zielen darauf ab, die Schwachstellen der betroffenen Personen auszunutzen. Die starke Verbreitung von Web 2.0 und Mobile Computing machen es den Angreifern immer leichter, an die entsprechenden Informationen zu ihren Zielpersonen heranzukommen und bilden neue Einfallstore für die erfolgreiche Ausführung von Attacken.

Den Untersuchungsergebnissen zufolge betrachten 60 Prozent der Befragten neue Mitarbeiter bei Social Engineering-Attacken als besonders gefährdet, gefolgt von Zulieferern/Drittanbietern (44 Prozent), der Assistenz der Unternehmensleitung (38 Prozent), der Personalabteilung (33 Prozent), Führungskräften (32 Prozent) und dem IT-Personal (23 Prozent). Unabhängig von der Funktion des Mitarbeiters innerhalb der Organisation sind folglich die Implementierung eines angemessenen Trainings und das Sicherheitsbewusstsein der Anwender erfolgskritische Komponenten einer jeden Security-Policy.

Mitarbeiter in Security-Prozesse einbinden

Obwohl die Mitarbeiter im realen Arbeitsalltag oft die erste Verteidigungslinie bilden, achten viele Organisationen nicht ausreichend drauf, dass ihre Anwender in das Thema Datensicherheit eingebunden sind. Ein guter Weg, das Sicherheitsbewusstsein unter den Benutzern zu erhöhen sei, sie an den Security-Prozessen teilnehmen zu lassen und sie zu befähigen, Security-Vorfälle selbst und sofort verhindern bzw. beseitigen zu können.

Um das Mass an Schutz zu erreichen, das in heutigen IT-Umgebungen erforderlich ist, muss sich Security nach Meinung von Check Point Software Technologies von einer Ansammlung diverser Technologien weg und hin zu einem effektiven Geschäftsprozess entwickeln.

(ms/sda)