„Human Firewall“ kontra Social Engineering-Attacken

IT-Schwach­stel­le Mensch

Über­all hört man von der rasant stei­gen­den Anzahl an Cyber­an­grif­fen, das all­ge­mei­ne Bewusst­sein wächst und fast jeder kennt jeman­den, der schon ein­mal „falsch geklickt“ hat. Wie kann es dann sein, dass sol­che Angrif­fe den­noch immer erfolg­rei­cher wer­den?

Vie­le Cyber­at­ta­cken gelin­gen vor allem des­halb, weil Angrei­fer, anstatt an tech­ni­schen Sicher­heits­lü­cken, gezielt an der Schwach­stel­le Mensch anset­zen. Sicher­heits­be­stre­bun­gen müs­sen sich des­halb – neben tech­ni­schen Aspek­ten – auch gezielt auf die­se Schwach­stel­le rich­ten, um sie best­mög­lich zu „behe­ben“. Denn jeder kann ver­se­hent­lich und mit nur einem Klick die aus­ge­reif­tes­te Sicher­heits­tech­nik aus­he­beln – und das im bes­ten Glau­ben, das Rich­ti­ge zu tun. 

Cyber­be­trü­ger ver­las­sen sich heut­zu­ta­ge nicht mehr nur auf Doku­men­te, die täu­schend echt aus­se­hen, wie bei­spiels­wei­se Schrei­ben von der Haus­bank oder von öffent­li­chen Stel­len. Sie nutzen viel­mehr mensch­li­che Eigen­schaf­ten und Bedürf­nis­se aus, indem sie sich sich psy­cho­lo­gi­scher Trig­ger wie Angst, Neu­gier­de oder Hilfs­be­reit­schaft bedie­nen – das soge­nann­te Social Engi­nee­ring. Dazu zählt auch, sich als Ver­trau­ens­per­son aus­zu­ge­ben und so Zugang zu einem Unter­neh­men zu erlan­gen. Weil die Wach­samkeit durch die Kom­bi­na­ti­on von Infor­ma­ti­ons­flut und all­ge­gen­wär­ti­gem Zeit­man­gel rasch nach­lässt, kommt es um so schnel­ler zum fol­gen­schwe­ren Klick. 

Unter­su­chun­gen zei­gen auch, dass die Angrif­fe immer geziel­ter, aggres­si­ver und intel­li­gen­ter wer­den. So spie­geln sie sehr zeit­nah das aktu­el­le Gesche­hen – jetzt zum Bei­spiel mit Ange­bo­ten zu Impf­stof­fen – wider, nach­dem das zuvor belieb­te The­ma Mas­ken inzwi­schen „out“ ist. Über­haupt eig­net sich die Pan­de­mie­si­tua­ti­on her­vor­ra­gend, um Daten aus­zu­spä­hen und zu miss­brau­chen. Ger­ne wird auch die Spen­den­be­reit­schaft ange­spro­chen oder es wer­den ver­meint­li­che finan­zi­el­le Chan­cen eröff­net. 

Neben die­ser Ver­fei­ne­rung der Tak­tik von Angrei­fern zeich­net sich außer­dem ab, dass die Zahl der Angrif­fe auf den Mit­tel­stand stark ansteigt. Laut einer aktu­el­len Bedro­hungs­ana­ly­se der G DATA Cyber­De­fen­se AG stieg die Zahl der abge­wehr­ten Angriffs­ver­su­che auf KMU im zwei­ten Halb­jahr 2020 um 85 Pro­zent. Im gesam­ten Jahr haben Cyber­kri­mi­nel­le in jeder Minu­te durch­schnitt­lich 76 neue Ver­sio­nen einer Schad­soft­ware ver­öf­fent­licht. Und, kaum zu glau­ben: Sol­che Pro­gram­me kön­nen sogar als „SaaS“ (Soft­ware as a Ser­vice) ange­mie­tet wer­den. 

Feh­ler zu machen ist mensch­lich und eine funk­tio­nie­ren­de Feh­ler­kul­tur in Unter­neh­men unver­zicht­bar. Denn nur dann wird sich ein Mit­ar­bei­ter, der in die Fal­le getappt ist, auch zeit­nah zu Wort mel­den. Feh­ler sind unver­meid­lich, aber sie soll­ten mög­lichst das Unter­neh­men nicht schä­di­gen, indem zum Bei­spiel Daten­lecks ent­ste­hen oder finan­zi­el­le Fol­gen dro­hen. 

Um die Gefahr mensch­li­cher Feh­ler ein­zu­däm­men, müs­sen Mit­ar­bei­ter sen­si­bi­li­siert wer­den. Es gilt, die Auf­merk­sam­keit für unter­schied­li­che Betrugs­bei­spie­le zu stei­gern, um Atta­cken zukünf­tig leich­ter zu erken­nen. Hier eig­net sich die anschau­li­che Schil­de­rung von Fäl­len, die jeden betref­fen kön­nen, um die mög­li­chen weit­rei­chen­den Fol­gen von Feh­lern auf­zu­zei­gen. Und ganz wich­tig: das Gan­ze darf nicht nur ein­ma­lig gesche­hen, son­dern muss mög­lichst regel­mä­ßig statt­fin­den. 

Die beson­de­re Her­aus­for­de­rung dabei: IT-Sicher­heit durch­lebt eine stän­di­ge Ver­än­de­rung, wes­halb auch die Reak­ti­ons­mög­lich­kei­ten varia­bel blei­ben müs­sen. Sicher­heits­kon­zep­te müs­sen fort­lau­fend ange­passt und pro­ak­ti­ve Schutz­maß­nah­men eta­bliert wer­den. Auf mensch­li­cher Sei­te eig­nen sich dazu der Ein­satz des gesun­den Men­schen­ver­stands, erhöh­te Auf­merk­sam­keit und regel­mä­ßi­ge Schu­lun­gen zur Sen­si­bi­li­sie­rung von Mit­ar­bei­tern. 

Trotz aller Vor­sichts­maß­nah­men bleibt der Mensch – zum Glück – ein Mensch und damit kön­nen Feh­ler nie gänz­lich ver­mie­den wer­den, gehö­ren die­se doch zum Mensch­sein dazu. Umso wich­ti­ger ist es, alle erdenk­li­chen tech­ni­schen Sicher­heits­maß­nah­men ein­set­zen, um Unter­neh­men gegen Angrif­fe von außen zu schüt­zen. 

Dabei unter­stüt­zen wir Sie gerne!