Massive Attacken auf schwaches Sicherheitsbewusstsein
Von Social Engineering spricht man dann, wenn ein Angreifer, z.B. für Zwecke der Wirtschaftsspionage, menschliche Eigenschaften ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen und das schwächste Glied in der Organisation zu identifizieren, nutzen Hacker eine Vielzahl von Techniken und Social Networking-Applikationen. Der in Deutschland, den USA, Kanada, Großbritannien, Australien und Neuseeland durchgeführten Check Point-Studie zufolge betrachten 84% (86%) der deutschen Unternehmen das Thema Social Engineering als ernstes, wachsendes Problem. Dabei stellen 43% (51%) der Befragten fest, dass die Aussicht auf finanzielle Vorteile die Hauptmotivation der Angriffe ist, gefolgt vom Erlangen von Wettbewerbsvorteilen und Rachemotiven.
"Die Untersuchungsergebnisse belegen, dass knapp zwei Drittel der deutschen Unternehmen wissen, bereits Opfer von Social Engineering-Attacken geworden zu sein", so Jörg Kurowski, Regional Director Zentraleuropa bei der Check Point Software Technologies GmbH in Ismaning. "Das ist schockierend. Doch ebenso beunruhigend wie die tatsächlichen Attacken ist, dass mit 22% fast ein Viertel der befragten Organisationen in diesem Punkt nichts ahnend bzw. nicht sicher ist, also deutlich zu wenig Sicherheitsbewusstsein vorhanden ist."
Weg von der Technologieansammlung, hin zum effektiven Geschäftsprozess
Social Engineering-Techniken zielen darauf ab, die Schwachstellen der betroffenen Personen auszunutzen. Die starke Verbreitung von Web 2.0 und Mobile Computing machen es den Angreifern immer leichter, an die entsprechenden Informationen zu ihren Zielpersonen heranzukommen und bilden neue Einfallstore für die erfolgreiche Ausführung von Attacken. Mit 45% (60%) werden neue Mitarbeiter und externe Dienstleiser oder Zulieferer (44%), die möglicherweise mit den Sicherheitsregeln des Unternehmens nicht umfassend vertraut sind, von den befragten Organisationen als besonders anfällig für Social Engineering-Methoden angesehen, gefolgt von der Geschäftsführungsassistenz, der Personalabteilung und dem IT-Personal.
"Am Ende des Tages haben die Menschen einen ganz entscheidenden Anteil an der Sicherheit der Unternehmensdaten", so Kurowski. "Sie können von Kriminellen getäuscht und zu Fehlern verleitet werden, die zu Infektionen mit Schadsoftware und unbeabsichtigtem Datenverlust führen. Obwohl die Mitarbeiter im realen Arbeitsalltag oft die erste Verteidigungslinie bilden, achten viele Organisationen nicht ausreichend drauf, dass ihre Anwender in das Thema Datensicherheit eingebunden sind. Ein guter Weg, das Sicherheitsbewusstsein unter den Benutzern zu erhöhen ist, sie an den Security-Prozessen teilnehmen zu lassen und sie zu befähigen, Security-Vorfälle selbst und sofort verhindern bzw. beseitigen zu können."
Um das Maß an Schutz zu erreichen, das in heutigen IT-Umgebungen erforderlich ist, muss sich Security von einer Ansammlung diverser Technologien weg und hin zu einem effektiven Geschäftsprozess entwickeln. Check Point 3D Security unterstützt Unternehmen bei der Realisierung eines umfassenden Security-Konzepts, das über reine Technologie hinaus geht und vor allem auch die Mitarbeiter schult und in die erforderlichen Prozesse einbindet.
"Genauso gut, wie Menschen Fehler machen und Datenschutzverstöße im Unternehmen verursachen können, können sie auch eine positive, wichtige Rolle bei der Minimierung von Risiken spielen", erläutert Kurowski den Check Point-Ansatz. "Mit UserCheck bieten wir hierfür eine besondere Technologie, mit deren Hilfe die Mitarbeiter bei der Nutzung von Unternehmensnetzen, Daten und Applikationen über die Richtlinien der Organisation informiert und entsprechend geschult werden - das hilft den Unternehmen dabei, die Häufigkeit von Social Engineering-Attacken und die damit verbundenen Risiken und Kosten signifikant zu reduzieren."
Die wichtigsten Untersuchungsergebnisse für Deutschland & weltweit ( Ergebnisse in Klammern ) im Überblick:
- Die Gefahren von Social Engineering sind real - 84% (86%) der befragten IT- und Security-Profis sind sich der Risiken, die mit Social Engineering einhergehen, bewusst. Etwa 64% (48%) der befragten Unternehmen räumen ein, dass sie bereits Opfer von Social Engineering geworden sind.
- Social Engineering-Attacken sind teuer - 46% der befragten deutschen Unternehmen sind in den vergangenen beiden Jahren mehr als 25mal zu Opfern von Social Engineering-Methoden geworden. 71% der Studienteilnehmer gehen davon aus, dass die Kosten für jede einzelne Social Engineering-Attacke bei über 25.000 US-Dollar liegen. Darunter fallen auch Kosten, die durch Unterbrechung von Geschäftsabläufen, Mehraufwand für Kunden, Umsatzverlust und Imageschaden entstehen.
- Die gebräuchlichsten Methoden für Social Engineering - Phishing-Emails (47%) werden global als die am häufigsten verwendete Social Engineering-Methode genannt, gefolgt von Social Network-Sites, die Informationen zu Person und Beruf preis geben (39%) und ungesicherten, mobilen Endgeräten (12%).
- Finanzielle Bereicherung ist die Hauptmotivation für Social Engineering - Die Erlangung finanzieller Vorteile wurde in Deutschland mit 43% am häufigsten als Grund für Social Engineering-Angriffe genannt, gefolgt vom Zugriff auf vertrauliche Informationen (46%), der Erlangung von Wettbewerbsvorteilen (40%) und - mit bemerkenswerten 18% - Racheakten (14%).
- Neue Mitarbeiter sind am stärksten gefährdet - Den Untersuchungsergebnissen zufolge betrachten 45% der Befragten neue Mitarbeiter bei Social Engineering-Attacken als besonders gefährdet, gefolgt von Zulieferern/Drittanbietern (44%), der Assistenz der Unternehmensleitung (38%), der Personalabteilung (33%), Führungskräften (32%) und dem IT-Personal (23%). Unabhängig von der Funktion des Mitarbeiters innerhalb der Organisation sind folglich die Implementierung eines angemessenen Trainings und das Sicherheitsbewusstsein der Anwender erfolgskritische Komponenten einer jeden Security-Policy.
- Mangel an proaktivem Training zur Verhinderung von Social Engineering-Attacken - 40% der befragten Unternehmen in Deutschland haben keinerlei Mitarbeitertraining oder Security-Regeln für die Abwehr von Social Engineering-Methoden im Einsatz. Allerdings planen 25% der Studienteilnehmer, solche Mittel in Zukunft einzusetzen.
Die Studie "The Risk of Social Engineering on Information Security" wurde im Juli und August 2011 durchgeführt. Sie repräsentiert Organisationen aller Größen über verschiedene Marktsegmente hinweg, einschließlich Banken & Finanzen, Fertigungsindustrie, Wehrtechnik, Einzelhandel, Gesundheitswesen und Bildungssektor. Weitere Informationen und der vollständige Bericht stehen unter full report und http://www.checkpoint.com/... zur Verfügung.
"Security ist nicht nur ein Thema für IT-Administratoren", schließt Kurowski. "Sie muss im Grunde für jeden Benutzer, der mit Daten und Informationen umgeht, ein fester Bestandteil seines Handelns und Denkens sein, zumal die Industrie einer drastisch steigenden Anzahl von ausgeklügelten und sehr gezielten Attacken ausgesetzt ist. Die Einbindung der Anwender in die Sicherheitsprozesse im Unternehmen ist daher aus unserer Sicht unerlässlich und führt zu einer besseren, effektiveren Nutzung von Security-Technologie."