Social-Engineering-Attacken nehmen zu Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


27.09.2011 Michaela Holy/pte

Social-Engineering-Attacken nehmen zu

Nach Informationen einer Studie von Check Point sind weltweit 48 Prozent von 850 befragten IT- und Security-Experten Opfer von Social Engineering-Attacken geworden.

Der Report "Die Risiken von Social Engineering für die Informationssicherheit" zeigt, dass Phishing- und Social Networking-Tools die gängigsten Mittel für den gezielten Missbrauch menschlicher Schwächen sind.

Von Social Engineering spricht man dann, wenn ein Angreifer, z.B. für Zwecke der Wirtschaftsspionage, menschliche Eigenschaften ausnutzt, um sich unrechtmässig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen und das schwächste Glied in der Organisation zu identifizieren, nutzen Hacker eine Vielzahl von Techniken und Social Networking-Applikationen. Der in Deutschland, den USA, Kanada, Grossbritannien, Australien und Neuseeland durchgeführten Check Point-Studie zufolge betrachten 86 Prozent der Unternehmen das Thema Social Engineering als ernstes, wachsendes Problem. Dabei stellen 51 Prozent der Befragten fest, dass die Aussicht auf finanzielle Vorteile die Hauptmotivation der Angriffe ist, gefolgt vom Erlangen von Wettbewerbsvorteilen und Rachemotiven.

"Die Untersuchungsergebnisse belegen, dass knapp die Hälfte der Unternehmen wissen, dass sie bereits Opfer von Social Engineering-Attacken geworden sind", sagt Christian Fahlke, Country Manager Schweiz und Österreich von Check Point. "Das ist schockierend. Doch ebenso beunruhigend wie die tatsächlichen Attacken ist, fast ein Viertel der befragten Organisationen in diesem Punkt nichts ahnend bzw. nicht sicher ist, also deutlich zu wenig Sicherheitsbewusstsein vorhanden ist."

Social Engineering-Techniken zielen darauf ab, die Schwachstellen der betroffenen Personen auszunutzen. Die starke Verbreitung von Web 2.0 und Mobile Computing machen es den Angreifern immer leichter, an die entsprechenden Informationen zu ihren Zielpersonen heranzukommen und bilden neue Einfallstore für die erfolgreiche Ausführung von Attacken. Mit 60 Prozent werden neue Mitarbeiter und externe Dienstleiser oder Zulieferer (44 Prozent), die möglicherweise mit den Sicherheitsregeln des Unternehmens nicht umfassend vertraut sind, von den befragten Organisationen als besonders anfällig für Social Engineering-Methoden angesehen, gefolgt von der Geschäftsführungsassistenz, der Personalabteilung und dem IT-Personal.

"Am Ende des Tages haben die Menschen einen ganz entscheidenden Anteil an der Sicherheit der Unternehmensdaten", so Fahlke. "Sie können von Kriminellen getäuscht und zu Fehlern verleitet werden, die zu Infektionen mit Schadsoftware und unbeabsichtigtem Datenverlust führen. Obwohl die Mitarbeiter im realen Arbeitsalltag oft die erste Verteidigungslinie bilden, achten viele Organisationen nicht ausreichend drauf, dass ihre Anwender in das Thema Datensicherheit eingebunden sind. Ein guter Weg, das Sicherheitsbewusstsein unter den Benutzern zu erhöhen ist, sie an den Security-Prozessen teilnehmen zu lassen und sie zu befähigen, Security-Vorfälle selbst und sofort verhindern bzw. beseitigen zu können."

Um das Mass an Schutz zu erreichen, das in heutigen IT-Umgebungen erforderlich ist, muss sich Security von einer Ansammlung diverser Technologien weg und hin zu einem effektiven Geschäftsprozess entwickeln. Check Point 3D Security unterstützt Unternehmen bei der Realisierung eines umfassenden Security-Konzepts, das über reine Technologie hinaus geht und vor allem auch die Mitarbeiter schult und in die erforderlichen Prozesse einbindet.

"Genauso gut, wie Menschen Fehler machen und Datenschutzverstösse im Unternehmen verursachen können, können sie auch eine positive, wichtige Rolle bei der Minimierung von Risiken spielen", erläutert Fahlke den Check Point-Ansatz. "Mit UserCheck bieten wir hierfür eine besondere Technologie, mit deren Hilfe die Mitarbeiter bei der Nutzung von Unternehmensnetzen, Daten und Applikationen über die Richtlinien der Organisation informiert und entsprechend geschult werden - das hilft den Unternehmen dabei, die Häufigkeit von Social Engineering-Attacken und die damit verbundenen Risiken und Kosten signifikant zu reduzieren."

DIE WICHTIGSTEN ERGEBNISSE IM ÜBERBLICK * Die Gefahren von Social Engineering sind real - 86 Prozent der befragten IT- und Security-Profis sind sich der Risiken, die mit Social Engineering einhergehen, bewusst. Etwa 48 Prozent der befragten Unternehmen räumen ein, dass sie bereits Opfer von Social Engineering geworden sind. * Social Engineering-Attacken sind teuer - die Teilnehmer der Umfrage schätzen, dass jeder Sicherheitsvorfall zwischen 25.000 bis über 100.000 US-Dollar kostet. Darunter fallen auch Kosten, die durch Unterbrechung von Geschäftsabläufen, Mehraufwand für Kunden, Umsatzverlust und Imageschaden entstehen. * Die gebräuchlichsten Methoden für Social Engineering - Phishing-Emails (47 Prozent) werden global als die am häufigsten verwendete Social Engineering-Methode genannt, gefolgt von Social Network-Sites, die Informationen zu Person und Beruf preis geben (39 Prozent) und ungesicherten, mobilen Endgeräten (Zwölf Prozent). * Finanzielle Bereicherung ist die Hauptmotivation für Social Engineering - Die Erlangung finanzieller Vorteile wurde am häufigsten als Grund für Social Engineering-Angriffe genannt, gefolgt vom Zugriff auf vertrauliche Informationen (46 Prozent), der Erlangung von Wettbewerbsvorteilen (40 Prozent) und - mit bemerkenswerten 14 Prozent - Racheakte.

* Neue Mitarbeiter sind am stärksten gefährdet - Den Untersuchungsergebnissen zufolge betrachten 60 Prozent der Befragten neue Mitarbeiter bei Social Engineering-Attacken als besonders gefährdet, gefolgt von Zulieferern/Drittanbietern (44 Prozent), der Assistenz der Unternehmensleitung (38 Prozent), der Personalabteilung (33 Prozent), Führungskräften (32 Prozent) und dem IT-Personal (23 Prozent). Unabhängig von der Funktion des Mitarbeiters innerhalb der Organisation sind folglich die Implementierung eines angemessenen Trainings und das Sicherheitsbewusstsein der Anwender erfolgskritische Komponenten einer jeden Security-Policy. * Mangel an proaktivem Training zur Verhinderung von Social Engineering-Attacken - 34 Prozent der befragten Unternehmen haben keinerlei Mitarbeitertraining oder Security-Regeln für die Abwehr von Social Engineering-Methoden im Einsatz. Allerdings planen 19 Prozent der Studienteilnehmer, solche Mittel in Zukunft einzusetzen.

Die Studie "The Risk of Social Engineering on Information Security" wurde im Juli und August 2011 durchgeführt. Sie repräsentiert Organisationen aller Grössen über verschiedene Marktsegmente hinweg, einschliesslich Banken & Finanzen, Fertigungsindustrie, Wehrtechnik, Einzelhandel, Gesundheitswesen und Bildungssektor.

"Security ist nicht nur ein Thema für IT-Administratoren", schliesst Fahlke. "Sie muss im Grunde für jeden Benutzer, der mit Daten und Informationen umgeht, ein fester Bestandteil seines Handelns und Denkens sein, zumal die Industrie einer drastisch steigenden Anzahl von ausgeklügelten und sehr gezielten Attacken ausgesetzt ist. Die Einbindung der Anwender in die Sicherheitsprozesse im Unternehmen ist daher aus unserer Sicht unerlässlich und führt zu einer besseren, effektiveren Nutzung von Security-Technologie."

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr

Hosted by:    Security Monitoring by: