Studie: Sicherheitsrisisiko Social Engineering wird unterschätzt
Rund die Hälfte aller befragten Unternehmen sind einer Studie zufolge bereits Opfer einer Social-Engineering-Attacke geworden.
Nutzt ein Angreifer menschliche Eigenschaften aus, um sich unrechtmässig Informationen anzueignen - zum Beispiel für Wirtschaftsspionage - sprechen Security-Experten von Social Engineering. Diese Art von Attacke zielt auf Personen ab, die über Insider-Wissen oder Zugang zu sensitiven Datenbeständen verfügen.
Hacker sollen sich dazu das ihrer Meinung nach schwächste Glied in einem Unternehmen aussuchen. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen, nutzen sie eine Vielzahl von Techniken und Social Networking-Applikationen. Ziel dieser Angriffe seien finanzielle Vorteile, Wettbewerbsvorteile und Rachemotive.
48 Prozent bereits betroffen
Das Sicherheitsunternehmen Check Point hat zu diesem Thema nun die Ergebnisse einer Studie veröffentlicht. Für den Report "Die Risiken von Social Engineering für die Informationssicherheit" wurden weltweit über 850 IT- und Security-Experten befragt. Der Studie zufolge betrachten 86 Prozent der Unternehmen das Thema Social Engineering als ernstes, wachsendes Problem. 48 Prozent sind gar bereits Opfer von Social-Engineering-Attacken geworden.
Die gebräuchlichsten Methoden für Social Engineering sind laut Studie mit 47 Prozent Phishing-E-Mails, gefolgt von Social-Network-Sites (39 Prozent) und ungesicherte mobile Endgeräte (12 Prozent).
Bis zu 100'000 Dollar pro Vorfall
Die befragten Unternehmen mussten während der letzten zwei Jahre 25 oder mehr solcher Angriffe hinnehmen. Die Attacken hätten zu Folgekosten zwischen 25'000 bis 100'000 US-Dollar pro Vorfall geführt. "Das ist schockierend", kommentiert Christian Fahlke, Country Manager Schweiz und Österreich von Check Point die Studie. Ebenso beunruhigend sei für ihn, dass fast ein Viertel der befragten Organisationen in diesem Punkt nichts ahnend, beziehungsweise nicht sicher seien. Dies zeuge von deutlich geringem Sicherheitsbewusstsein.
"Am Ende des Tages haben die Menschen einen ganz entscheidenden Anteil an der Sicherheit der Unternehmensdaten", so Fahlke. "Sie können von Kriminellen getäuscht und zu Fehlern verleitet werden, die zu Infektionen mit Schadsoftware und unbeabsichtigtem Datenverlust führen. Obwohl die Mitarbeiter im Arbeitsalltag oft die erste Verteidigungslinie bildeten, achten viele Organisationen nur unzureichend darauf, dass ihre Anwender in das Thema Datensicherheit eingebunden sind."
Mehr Training gefragt
Die starke Verbreitung von Web 2.0 und Mobile Computing mache es den Angreifern immer leichter, an die entsprechenden Informationen zu ihren Zielpersonen heranzukommen. Als besonders anfällig für Social-Engineering-Attacken betrachten Organisationen mit 60 Prozent neue Mitarbeiter und externe Dienstleiser. Gefolgt von der Geschäftsführungsassistenz, der Personalabteilung und dem IT-Personal.
Unabhängig von der Funktion des Mitarbeiters seien die Implementierung eines angemessenen Trainings und das Sicherheitsbewusstsein der Anwender erfolgskritische Komponenten einer jeden Security-Policy. Denn rund ein Drittel der befragten Unternehmen habe keinerlei Mitarbeitertraining oder Security-Regeln für die Abwehr von Social-Engineering-Methoden im Einsatz. Allerdings plane jedes Fünfte der befragten Unternehmen solche Mittel in Zukunft einzusetzen.
Drastisch steigende Zahl an Attacken
"Security ist nicht nur ein Thema für IT-Administratoren", schlussfolgert Fahlke. Sie müsse für jeden, der mit Daten und Informationen umgehe, ein fester Bestandteil seines Handelns und Denkens sein. Insbesondere, da die Industrie einer "drastisch steigenden Anzahl von ausgeklügelten und sehr gezielten Attacken" ausgesetzt sei.
Die Studie "The Risk of Social Engineering on Information Security" wurde im Juli und August dieses Jahres durchgeführt. Sie repräsentiert Organisationen verschiedener Grössen und Marktsegmente, wie etwa Banken, Fertigungsindustrie, Wehrtechnik, Einzelhandel, Gesundheitswesen und den Bildungssektor. Dazu wurden über 850 IT- und Security-Experten aus Deutschland, den USA, Kanada, Grossbritannien, Australien und Neuseeland befragt.
Update: Zürcher Kantonsräte setzen auf Gegenvorschlag zur Initiative für digitale Integrität
Update: Problematische Fallführungssoftware Citysoftnet beschert Stadt Bern weitere Kosten
Sci-Fi-Filme irren sich immer im Jahr
Was Grossunternehmen können, können KMUs genauso
Also nimmt mehr CYE-Produkte in sein Cybersecurity-Portfolio auf
Einladung zum Webinar: Wie MDR mit KI zum "Security-Mitarbeiter des Jahres" wird
Simap-Meldungen Woche 17: Ausschreibungen
Eraneos übernimmt schwedischen Consultant
Weniger Rechenaufwand für zuverlässige KI-Antworten
