Eine Studie zeigt, dass Cybervorfälle in der Bewertung deutscher Unternehmen im Jahr 2021 erstmals auf Platz zwei der wichtigsten Geschäftsrisiken gerückt sind, noch vor Pandemiefolgen. Das liegt offenbar daran, dass Ausfälle aufgrund von Cyberattacken in der Regel am teuersten sind. Dabei gehen Cybervorfälle hauptsächlich auf menschliches Versagen oder unternehmensinterne Systemausfälle zurück.Dabei ist das sogenannte Social Engineering zu einer neuen Disziplin für Cyberkriminelle herangewachsen. Sie geben sich in einer Mail als vermeintlich Vorgesetze aus und fragen aufgrund eines angeblichen Notfalls nach einem Passwort oder einer Kreditkartennummer. Wird das von den Kolleg:innen weitergegeben bricht über sie das digitale Armageddon herein. Und Experten sind sich einig, dass sich die Situation im Corona-Jahr weiter verschlechtert hat. Der Umstieg auf Homeoffice und die damit an vielen Stellen einhergehenden Sicherheitslücken beim remoten Zugriff auf Unternehmensdaten- und Anwendungen sind ein wichtiger Grund. Aber die Angreifer lernen auch permanent dazu und passen ihre Muster an.
Angriffsmuster gehen mit der Zeit
So versuchten Kriminelle mit Mails, die vermeintlich Formulare zur Beantragung von Corona-Hilfen enthalten, sensible Daten abzugreifen. Als besonders beliebter Angriffsvektor haben sich zudem in den vergangenen Monaten die Kommunikations- und Collaboration-Plattformen erwiesen. Die sind im vergangenen Jahr eines der wichtigsten Werkzeuge für die Zusammenarbeit von unterschiedlichen Orten aus geworden. Gerade wenn sich das gemeinsame Arbeiten per Online-Konferenz schon regelmäßig bewährt hat, tritt die Vorsicht in den Hintergrund. In diesem Kontext gehört Identitätsdiebstahl zu den besonders häufigen Cybervorfällen. IT-Security-Spezialisten raten deshalb dazu, nicht nur starke Passwörter, sondern auch Zweifaktor-Authentifizierung zu nutzen.
Aufmerksamkeit für typische „Maschen“ wecken
Social Engineering wird oft deshalb als so hinterhältig empfunden, weil Vertrauen ausgenutzt wird, um Menschen zu manipulieren. Häufig zielen die Strategien der Kriminellen darauf ab, als vertrauenswürdige Instanz zu erscheinen. Oft wird alles darangesetzt, die Zielperson davon zu überzeugen, dass Gefahr im Verzug ist und sie deshalb dringend bestimmte Informationen weitergeben muss, etwa ein Passwort.Ein Sicherheitskonzept sollte deshalb zunächst immer beim Faktor Mensch ansetzen – das Stichwort lautet „Awareness“. Dazu gehört, dass Mitarbeitende die Strategien des Social Engineering erkennen und konsequent innehalten können, sobald sie mit bestimmten Vorgehensweisen konfrontiert sind. Im Zweifel muss dann auch mal eine als „unfreundlich“ geltende Reaktion in Kauf genommen werden – für viele auf Service-Denken gepolte Menschen ist das durchaus eine Herausforderung. Übung im Umgang mit den entsprechenden, veränderlichen Angriffsmustern ist deshalb ein wichtiger Bestandteil einer Abwehrstrategie.
Quellen:
Allianz
SecurityInsider
Youtube
