Am 29. Oktober 2022 jährt sich die Geburtsstunde des Internets zum 53. Mal – ein passender Anlass für die Sicherheitsexperten von Baramundi, an eines der größten Risiken für das Unternehmensnetzwerk zu erinnern: der Mensch. Noch immer ist das Ausnutzen menschlicher Schwächen für Hacker ein besonders einfacher Weg, um an sensible Unternehmensdaten zu gelangen. 2021 wurden laut ­einer Bitkom-Umfrage bereits 25 Prozent der Unternehmen allein durch Phishing-Angriffe geschädigt. Die Gefahr, Opfer von Social Engineering zu werden, ist für Unternehmen nach wie vor sehr hoch. 

Am 29. Oktober 1969 wurde in Kalifornien die erste Nachricht über einen Universitätsgroßrechner ins damals noch Arpanet (für „Advanced Research Projects Agency Network“) genannte Netz versendet. Die weitere Entwicklung ist bekannt: Die Zeit, die Menschen im Internet verbringen, steigt kontinuierlich – auch auf beruflich genutzten Geräten. Noch immer gelingt es kriminellen Hackern viel zu oft, User trotz aller Aufklärung dazu zu verleiten, aus Neugier, Respekt vor Autoritäten oder aus reiner Hilfsbereitschaft sensible Daten weiterzugeben oder den einen verheerenden Klick zu tätigen. Unternehmen können ihre Angestellten und damit ihr Unternehmensnetzwerk aber schützen – durch regelmäßige Aufklärung und durch das Vertrautmachen mit wichtigen Präventionsmethoden.
 
Wenn Unternehmen Mitarbeiter für typische Betrugsmuster sensibilisieren, sollte der Fokus nicht nur auf bekannten Angriffsmustern liegen, wie Baiting, Phishing (inklusive aller Unterarten bis hin zum Vishing und Smishing), Scareware, Kontakt-Spamming oder Farming. Auch andere beiläufigere Alltagsszenarien gehören in den Social-Engineering-Kanon – z. B. das „Schultersurfen“, bei dem sensible Daten durch den Blick über die Schulter eines Opfers ausgespäht werden, wenn Laptop oder Mobiltelefon in der Öffentlichkeit genutzt werden. Auch das „Containertauchen“ ist immer noch eine Möglichkeit, unauffällig an sensible Personen- oder Unternehmensdaten zu gelangen, wenn interne Dokumente nicht im Schredder, sondern im Mülleimer landen oder im Druckerauszug vergessen werden.

6 Tipps für eine gute Social-Engineering-Prävention im Unternehmen 

1. Risikobewusstsein schulen – z. B. durch regelmäßige Workshops, in denen typische Angriffsmuster vorgestellt und passende Reaktionen eingeübt werden. 

2. Einheitliche Sicherheitsregeln aufstellen, die auch vermeintliche „Basics“ umfassen (z. B. das Sperren, wenn das Arbeitsgerät nicht benutzt wird, der Schutz sensibler Dokumente beim Verlassen des Schreibtischs, Umgang mit fremden USB-Sticks oder auch die Passwort-Hygiene“) und Mitarbeitende verpflichten, ungewöhnliche Hilfs- oder Informationsanfragen immer und ohne Ausnahmen durch unabhängige Quellen zu überprüfen. 

3. Das „Phishing“-Wissen der Mitarbeitenden testen, um zu sehen, ob im Falle eines echten Angriffs die richtigen Reaktionen erfolgen.

4. Eine Multi-Faktor-Authentifizierung einführen – zusätzlich zu Passwörtern kann die Multi-Faktor-Authentifizierung auch Fingerabdruck-Scans, Smartcard-Logins, FIDO2 oder Authenticator-Apps umfassen.

5. Verhaltenskodex im Büro etablieren – Wessen Chef immer prompten Gehorsam verlangt ohne Rückfragen, ist ein leichtes Opfer für Betrüger. Stattdessen sollten Mitarbeiter bestärkt werden, niemals interne oder vertrauliche Informationen weiterzugeben, egal ob per Telefon, E-Mail oder Post. Der Vorgesetzte sollte immer bereit sein, hierzu Rückfragen zu akzeptieren. 

6. Digitalen Fußabdruck minimieren – nicht immer sind sich Mitarbeiter darüber bewusst, welche Gefahren von ihren Aktivitäten in sozialen Medien ausgehen können. Über dort gesammelte Informationen können Hacker im Falle eines Social-Engineering-Angriffs falsches Vertrauen erzeugen und die Wachsamkeit gegenüber eigentlich bekannten Betrugsmustern herabsetzen.