Sicherheitstipps gegen Social-Engineering-Angriffe

Am 29. Oktober 2022 jährt sich die Geburtsstunde des Internets zum 53. Mal – ein passender Anlass für die Sicherheitsexperten des Augsburger UEM-Spezialisten baramundi, an eines der größten Risiken für das Unternehmensnetzwerk zu erinnern: der Mensch. Noch immer ist das Ausnutzen menschlicher Schwächen für Hacker ein besonders einfacher Weg, um an sensible Unternehmensdaten zu gelangen. 2021 wurden laut einer Bitkom-Umfrage bereits 25 Prozent der Unternehmen allein durch Phishing-Angriffe geschädigt. Die Gefahr, Opfer von Social Engineering zu werden, ist für Unternehmen nach wie vor sehr hoch.

Am 29. Oktober 1969 wurde in Kalifornien die erste Nachricht über einen Universitätsgroßrechner ins damals noch ARPANET (für "Advanced Research Projects Agency Network") genannte Netz versendet. Die weitere Entwicklung ist bekannt: Die Zeit, die Menschen im Internet verbringen, steigt kontinuierlich – auch auf beruflich genutzten Geräten. Noch immer gelingt es kriminellen Hackern viel zu oft, User trotz aller Aufklärung dazu zu verleiten, aus Neugier, Respekt vor Autoritäten oder aus reiner Hilfsbereitschaft sensible Daten weiterzugeben oder den einen verheerenden Klick zu tätigen. Unternehmen können ihre Angestellten und damit ihr Unternehmensnetzwerk aber schützen – durch regelmäßige Aufklärung und durch das Vertraut machen mit wichtigen Präventionsmethoden. 

Wenn Unternehmen Mitarbeitende für typische Betrugsmuster sensibilisieren, sollte der Fokus nicht nur auf bekannten Angriffsmustern liegen, wie Baiting, Phishing (inklusive aller Unterarten bis hin zum Vishing und Smishing), Scareware, Kontakt-Spamming oder Farming. Auch andere beiläufigere Alltagsszenarien gehören in den Social-Engineering-Kanon – z. B. das „Schultersurfen“, bei dem sensible Daten durch den Blick über die Schulter eines Opfers ausgespäht werden, wenn Laptop oder Mobiltelefon in der Öffentlichkeit genutzt werden. Auch das „Containertauchen“ ist immer noch eine Möglichkeit, unauffällig an sensible Personen- oder Unternehmensdaten zu gelangen, wenn interne Dokumente nicht im Schredder, sondern im Mülleimer landen oder im Druckerauszug vergessen werden.

Vertrauen ist gut, Kontrolle ist besser: 6 Tipps von baramundi für eine gute Social-Engineering-Prävention im Unternehmen 

  1. Risikobewusstsein schulen – z. B. durch regelmäßige Workshops, in denen typische Angriffsmuster vorgestellt und passende Reaktionen eingeübt werden. 
  2. Einheitliche Sicherheitsregeln aufstellen, die auch vermeintliche „Basics“ umfassen (z. B. das Sperren, wenn das Arbeitsgerät nicht benutzt wird, der Schutz sensibler Dokumente beim Verlassen des Schreibtischs, Umgang mit fremden USB-Sticks oder auch die Passwort-Hygiene“) und Mitarbeitende verpflichten, ungewöhnliche Hilfs- oder Informationsanfragen immer und ohne Ausnahmen durch unabhängige Quellen zu überprüfen. 
  3. Das „Phishing“-Wissen der Mitarbeitenden testen, um zu sehen, ob im Falle eines echten Angriffs die richtigen Reaktionen erfolgen.
  4. Eine Multi-Faktor-Authentifizierung einführen – zusätzlich zu Passwörtern kann die Multi-Faktor-Authentifizierung auch Fingerabdruck-Scans, Smartcard-Logins, FIDO2 oder Authenticator-Apps umfassen.
  5. Verhaltenskodex im Büro etablieren – Wessen Chef immer prompten Gehorsam verlangt ohne Rückfragen, ist ein leichtes Opfer für Betrüger. Stattdessen sollten Mitarbeiter bestärkt werden, niemals interne oder vertrauliche Informationen weiterzugeben, egal ob per Telefon, E-Mail oder Post. Der Vorgesetzte sollte immer bereit sein, hierzu Rückfragen zu akzeptieren. 
  6. Digitalen Fußabdruck minimieren – nicht immer sind sich Mitarbeiter darüber bewusst, welche Gefahren von ihren Aktivitäten in sozialen Medien ausgehen können. Über dort gesammelte Informationen können Hacker im Falle eines Social-Engineering-Angriffs falsches Vertrauen erzeugen und die Wachsamkeit gegenüber eigentlich bekannten Betrugsmustern herabsetzen. 

Mehr Informationen zu baramundi und IT-Sicherheit finden Sie unter. https://www.baramundi.com/de-de/it-loesungen/it-sicherheit/  

Über die baramundi software GmbH

Die baramundi software AG ermöglicht Unternehmen und Organisationen das effiziente, sichere und plattformübergreifende Management von Arbeitsplatzumgebungen. Mehr als 4.500 Kunden aller Branchen und Größen profitieren weltweit von der langjährigen Erfahrung und den ausgezeichneten Produkten des deutschen Herstellers. Diese sind in der baramundi Management Suite nach einem ganzheitlichen, zukunftsorientierten Unified-Endpoint-Management-Ansatz zusammengefasst: Client-Management, Mobile-Device-Management und Endpoint-Security erfolgen über eine gemeinsame Oberfläche, in einer einzigen Datenbank und nach einheitlichen Standards.

Die Lösung ermöglicht die Automatisierung von Routinearbeiten, eine umfassende Übersicht über Netzwerk und Endgeräten sowie die Optimierung und Absicherung vernetzter Prozesse: auf (i)PCs, Servern und Notebooks sowie auf Mobilgeräten und ICS. IT- und OT-Verantwortliche werden damit in die Lage versetzt, kontinuierlich den aktuellen Sicherheitsstatus der Netzwerk-Infrastruktur zu verfolgen und diese optimal gegen Cyberangriffe zu schützen.

Der Firmensitz der baramundi software AG befindet sich in Augsburg. Die Produkte und Services des im Jahr 2000 gegründeten Unternehmens sind komplett Made in Germany. Beim Vertrieb, der Beratung und Betreuung von Anwendern arbeitet baramundi weltweit erfolgreich mit Partnerunternehmen zusammen.

Firmenkontakt und Herausgeber der Meldung:

baramundi software GmbH
Forschungsallee 3
86159 Augsburg
Telefon: +49 (821) 56708-0
Telefax: +49 (821) 56708-19
http://www.baramundi.com/

Ansprechpartner:
Tristan Fincken
AxiCom GmbH
Telefon: +49 (89) 80090-820
E-Mail: baramundi@axicom.com
Franz Braun
Telefon: +49 (821) 56708-614
E-Mail: franz.braun@baramundi.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel