Cybersecurity: Das größte Risiko ist der Mensch
25.05.2022 - Lesezeit: 4 Minuten
Jedes zweite deutsche Unternehmen wurde 2021 von Cyberkriminellen angegriffen – also investieren sie verstärkt in IT-Sicherheit. Doch selbst die beste Firewall schützt nicht vor dem größten Cybersecurity-Risiko: den eigenen Mitarbeiterinnen und Mitarbeitern. Dabei meinen die es gar nicht böse.
Der Mensch ist ein soziales Wesen und von daher hilfsbereit. Und warum sollte er die Absichten von Menschen mit Autorität – wie Chefs, Anwält:innen oder Techniker:innen – anzweifeln? Diese menschlichen Eigenschaften und Verhaltensweisen nutzen Cyberkriminelle für ihre Zwecke. Von „Social Engineering“ sprechen die Fachleute: Menschen werden so manipuliert, dass sie arglos vertrauliche Infos preisgeben, Sicherheitsfunktionen außer Betrieb setzen oder gar Schadsoftware im Firmennetzwerk installieren. Dafür braucht es keine vorgehaltene Pistole. Angesetzt wird am (eigentlich lobenswerten) Antrieb, anderen schnell und unbürokratisch zu helfen. Etwa dem angeblichen Systemadministrator, der das Passwort braucht, um einen Systemfehler zu beheben. Oder dem vermeintlichen CEO, der dringlich fordert, sofort einen größeren Betrag zu überweisen, „sonst platzt der Deal“.
Das zentrale Merkmal von Social Engineering: Die Opfer werden über Identität und Absichten der Täter getäuscht. Die Cyberkriminellen geben sich als ihre Chefs oder Kolleg:innen aus, das Wissen darüber sammeln sie über die sozialen Netzwerke. „Social Engineers entwickeln ihren Täuschungsansatz in Abhängigkeit von den Reaktionen ihrer Zielperson und passen ihre Strategie ,on the fly‘ an“, sagt die Psychologin Christina Lekati. Was immer gleich ist: Die Angreifer müssen Vertrauen aufbauen. Lekati: „Das Opfer muss die vom Angreifer gelieferte Tarngeschichte glauben.“ Das gilt auch, wenn die Cyberangreifer angeblich von Banken oder – seit längerem beliebt – vom IT-Konzern Microsoft kommen Das Gemeine daran, sagt Johannes Vakalis, Head of Sales & Marketing bei Perseus Technologies: „Wer auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun.“
Drei Regeln helfen gegen Social Engineering
Je besser Unternehmen ihre IT-Infrastruktur schützen, desto beliebter wird Social Engineering bei Cyberkriminellen: So sind Angriffe erfolgversprechender. Täglich zwei Social-Engineering-Angriffe erleben Unternehmen im Durchschnitt, besagt eine Studie des Cybersecurity-Spezialisten Barracuda, das sind mehr als 700 pro Jahr. Eine Umfrage des Digitalverbands Bitkom hat ergeben, dass 41 Prozent der befragten Unternehmen bereits Erfahrungen mit Social Engineering haben sammeln müssen. Am häufigsten werden die Mitarbeiterinnen und Mitarbeiter per Telefon kontaktiert, fast ebenso oft – beim sogenannten Phishing – per E-Mail. Beim Phishing sollen Personen dazu gebracht werden, auf einen Link zu klicken und auf einer gefälschten Zielseite etwa Passwörter oder Anmeldeinformationen einzugeben, die dann vom Angreifer abgegriffen werden.
Um nicht auf Cyberkriminelle hereinzufallen, sollten Mitarbeiterinnen und Mitarbeiter diese drei Grundregeln beherzigen:
- Passwörter, Zugangsdaten oder Kontoinformationen niemals über E-Mail oder Telefon weitergeben. Wer seriös ist, fragt solche Daten auch niemals per E-Mail oder Telefon ab.
- Vorsicht bei E-Mails von unbekannten Absendern. Im Zweifelsfall: ignorieren. Wenn das nicht möglich ist: Telefonisch beim Absender nachfragen, ob die E-Mail authentisch ist.
- Vorsicht, welche Informationen in den Social Media geteilt werden. Cyberkriminelle machen sich hier schlau, auch über den Arbeitgeber.
Diese drei Regeln kennen die meisten Mitarbeiterinnen und Mitarbeiter. Eigentlich. Genau dieses „eigentlich“ ist aufschlussreich. Es signalisiert, dass menschliche Hilfsbereitschaft bald das latente Misstrauen zu überlagern beginnt. Wir halten uns für ausreichend sensibilisiert, wenn wir beim radebrechenden angeblichen Microsoft-Mitarbeiter das Telefon auflegen oder die ungelenk formulierte E-Mail als Fake erkennen. Was wir dabei übersehen: je cleverer die Social Engineers, desto leichter fallen wir darauf herein. Und merken es nicht einmal.
Investieren in die „menschliche Firewall“
Das einzige Gegenmittel: das Bewusstsein – neudeutsch: die Awareness – für solche Gefahren hochhalten. „Die gleichen Ressourcen, die ein Unternehmen für die technische Abwehr aufbringt, sollten auch in die “menschliche Firewall” investiert werden“, sagt Experte Johannes Vakalis von Perseus Technologies. Er setzt auf regelmäßige Schulungen, auf denen aktuelle Tricks und Kniffe der Cyberkriminellen vermittelt werden. Möglich sind auch Live-Hacks, bei denen Social Engineers vorführen, wie sie selbst misstrauische Gesprächspartner:innen überzeugen. Damit knacken sie zugleich das größte Vorurteil: „Könnte mir nie passieren – ich bin ja nicht so leichtgläubig.“ Eben diese Selbstüberschätzung öffnet Cyberkriminellen die Tür.