Zürich, Juni 2023 – Social-Engineering-Angriffe sind weltweit auf dem Vormarsch und es zeichnet sich deutlich ab, dass diese Angriffsform durch auf künstlicher Intelligenz (KI) basierende Tools in Zukunft noch raffinierter werden wird. Laut einer aktuellen Studie von Bitkom e.V. hat fast jedes zweite Unternehmen eine versuchte Attacke erlebt. Dennoch halten sich hartnäckig Mythen über diese Angriffsart, die Unternehmen zu falschen Entscheidungen verleiten.
Social-Engineering-Angriffe gehören zum Alltag eines jeden Unternehmens. Denn für Cyberkriminelle ist das Abgreifen sensibler Daten nicht nur eine lukrative Erpressung, sondern kommt Unternehmen auch auf andere Weise teuer zu stehen. Viele machen Fehler im Umgang mit Social Engineering, die den Angreifern den Erfolg erleichtern können.
Die Nevis Security AG räumt mit den fünf gängigsten Mythen rund um Social-Engineering-Attacken auf und gibt Tipps, wie Unternehmen diese Art von Angriff erfolgreich erkennen und damit stoppen können.
Technische Sicherheitsmaßnahmen sind ausreichend
Während Sicherheitssoftware wie Firewalls und Antivirenprogramme nach wie vor wichtig sind, um Angriffe aller Art abzuwehren, zielt Social Engineering auf den Menschen als schwächstes Glied in der IT-Sicherheitskette ab. Ziel der Angreifer ist es, Personen so zu manipulieren, dass sie beispielsweise Login-Daten oder andere sensible Informationen preisgeben. Eine der häufigsten Schwachstellen ist daher die mangelnde Sensibilisierung der Mitarbeiter. Es ist wichtig, sie regelmäßig zu schulen und zu sensibilisieren, damit sie nicht unwissentlich auf die Tricks der Kriminellen hereinfallen.
Social-Engineering erfolgt nur über Phishing
Gerade hochgradig personalisierte Angriffsversuche sind für Kriminelle erfolgversprechend. So werden beispielsweise fingierte Telefonanrufe immer beliebter, um an sensible Daten zu gelangen. Dabei werden verschiedene Tricks angewendet, um ans Ziel zu kommen: Techniken wie Autoritätsausbau (CEO-Scam), Sachlichkeit, Sympathie oder Neugier werden ausgenutzt, damit die Daten preisgegeben werden. Neben dem Einsatz von Multi-Faktor-Authentifizierung kann hier ein risikobasierter Ansatz oder eine adaptive Authentifizierung die Lösung sein. Meldet sich ein Nutzer beispielsweise von einem anderen als dem registrierten Endgerät an, wird er aufgefordert, einen zusätzlichen Authentifizierungsschritt durchzuführen.
Es bleibt bei einem Angriff
Ist ein Hacker erst einmal im System, bleibt es oft nicht bei einem Angriff. Gerade Social Engineering dient als Einfallstor für weitere Attacken. Haben sich Kriminelle beispielsweise erfolgreich in einem System oder einer Anwendung authentifiziert, können sie weitere Schadsoftware wie Ransomware nachladen. Das Ausmaß muss nicht sofort spürbar sein, die Schadsoftware kann in einen Ruhezustand versetzt werden. Wenn der richtige Zeitpunkt gekommen ist, schlagen die Angreifer zu. Nach dem Motto „wehret den Anfängen“ sollten Unternehmen eine starke Authentifizierung implementiert haben, um es Hackern so schwer wie möglich zu machen, in ein System oder eine Anwendung einzudringen.
Meine Mitarbeiter und meine Kunden sind eindeutig identifiziert und damit autorisiert
Eine registrierte Person muss nicht notwendigerweise die Person sein, die dazu berechtigt ist. Versäumen es Unternehmen, die Identität einer Person angemessen zu überprüfen, insbesondere wenn es sich um sensible Daten handelt, kann dies schwerwiegende Folgen - auch unter Compliance-Gesichtspunkten - haben. Für Unternehmen ist es daher wichtig, nicht nur sicherzustellen, dass die berechtigten Personen Zugriff auf die Daten haben, sondern auch eine starke MFA zu implementieren. Gelingt es dem Angreifer, diese zu überwinden, kann neben einer risikobasierten Authentifizierung auch der Einsatz eines Continuous-Authentication-Konzepts sinnvoll sein. Dabei wird die Identität von Benutzer und Endgerät im Hintergrund überprüft, ohne dass die Sitzung unterbrochen wird. So können die IT-Sicherheitsexperten eines Unternehmens schneller feststellen, ob ein unberechtigter Zugriff auf einen Account erfolgt.
Nur naive Personen sind von Social-Engineering betroffen, deswegen reichen Passwörter als Sicherheitskonzept aus
Dank ausgeklügelter Methoden wie Social-Engineering-Attacken in Echtzeit können auch informierte Personen Opfer von Hackern werden. Wenn dann noch unzureichende Sicherheitsrichtlinien ins Spiel kommen, wird es heikel. Viele Unternehmen verlassen sich immer noch auf Passwörter, wie eine Studie von Nevis zeigt. 10 Prozent der befragten IT-Entscheider gaben darin sogar zu, überhaupt keine Sicherheitsvorkehrungen zu treffen. Cybersecurity-Standards wie FIDO, OAuth oder WebAuthn sind gerade einmal der Hälfte der IT-Entscheider bekannt. Dabei ist längst bekannt, dass Passwörter nicht sicher sind. Der Einsatz von MFA auf Basis biometrischer Merkmale erschwert Hackern das Eindringen in Systeme, da diese Art der Authentifizierung nicht so leicht in falsche Hände geraten kann.
Stephan Schweizer, CEO der Nevis Security AG, kommentiert: „Gerade durch die Möglichkeit, dass künstliche Intelligenz auf dem Vormarsch ist, wird es auch für Cyberkriminelle immer einfacher, Angriffe einfacher und auch automatisiert ablaufen zu lassen. So ist im Bereich des Social Engineering kaum noch technisches Know-how erforderlich, um illegal an sensible Daten zu gelangen. Auch Fraud-as-a-Service, bei dem Kriminelle ihre Fähigkeiten oder ihre Software im Prinzip Laien zur Verfügung stellen, erschwert die Cyber-Sicherheitslage zusätzlich. Unternehmen sollten es Hackern nicht leicht machen, Daten zu stehlen und die Gefahren ernst nehmen.“
###
Über Nevis
Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland, UK und Ungarn.
Pressekontakt
LEWIS Communications GmbH
Mareike Funke, nevis-security@teamlewis.com