Wenn Social-Engineering-Bedrohungen zunehmen, braucht es spezielle Security Awareness, um sie abzuwehren. Das gilt vor allem für KRITIS, die Automobilbranche und das Gesundheitswesen als Bereiche, die besonders gefährdet sind.
Was ist Social Engineering?
Social Engineering zielt darauf ab, menschliche Schwächen auszunutzen, um Zugang zu sensiblen Informationen oder geschützten Systemen zu erhalten. Im Wesentlichen handelt es sich um einen psychologischen Angriff, der das Vertrauen des Opfers gewinnen und es dazu bringen soll, Dinge zu tun oder Informationen preiszugeben, die es normalerweise nicht preisgegeben würde.
Dabei ist es vor allem der steigende Digitalisierungsgrad, der die Angriffsfläche vergrößert und das Social Engineering immer effektiver macht: Zahlreiche Social-Media-Plattformen machen die Kommunikation schneller, unübersichtlicher und damit risikoreicher. Dazu kommen immer mehr Deep Fakes, die Video- und Audiomaterial mittels künstlicher Intelligenz so verändern, dass sie nicht mehr als Fälschung erkennbar ist. Spätestens, wenn „lebensechte“ 3D-Avatare im Metaverse interagieren, werden Angreifer es wohl noch leichter haben, ihre manipulativen Taktiken auszuspielen.
Was kann man gegen Social Engineering tun?
Das wirksamste Mittel, sich vor Social Engineering-Angriffen zu schützen, ist ein gesundes Maß an Misstrauen. Es geht darum, ein Verständnis dafür zu entwickeln, wie man Daten und Systeme schützt, Bedrohungen erkennt und im Fall einer Sicherheitsverletzung richtig reagiert.
Damit ist Security Awareness ein wesentlicher Bestandteil der Informationssicherheit, da viele Sicherheitsverletzungen auf menschliche Fehler oder Nachlässigkeit zurückzuführen sind. Regelmäßige Schulungen und Programme zur Förderung von Sicherheitsbewusstsein – sogenannte Security Awareness Trainings – können dazu beitragen, dass Mitarbeitende sensibler für Bedrohungen werden, Sicherheitsrichtlinien einhalten und sich an Best Practices halten. Das gilt vor allem für KRITIS, die Automobilbranche und das Gesundheitswesen als Bereiche, die besonders gefährdet sind.
Gesteigerte Awareness fürs Gesundheitswesen
Da im Gesundheitswesen sensible Daten wie medizinische Aufzeichnungen und persönliche Informationen von Patientinnen und Patienten verarbeitet werden, ist eine erhöhte Security Awareness hier besonders wichtig. Vor allem, da die Konsequenzen von Sicherheitsverletzungen schwerwiegend sein können: Der Bericht Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care des Ponemon Institute belegt, das Cyberangriffe bei mehr als 20 % der betroffenen US-Gesundheitseinrichtungen zu einer erhöhten Sterblichkeitsrate führen.
Daher sollten Mitarbeitende sich der Risiken von Sicherheitsverletzungen stets bewusst sein und wissen, wie man sensible Daten schützt. So ist gewährleistet, dass vertrauliche Patienten-Informationen sicher sind und das Vertrauen in das Gesundheitssystem aufrechterhalten bleibt. Dazu befähigen regelmäßige Trainingsmaßnahmen die Mitarbeitenden dazu, im meist hektischen Klinikalltag die richtigen Entscheidungen zu treffen.
KRITIS immer stärker im Angriffsvisier
Kritische Infrastrukturen wie Energieversorger, Wasserwerke, Krankenhäuser und Regierungseinrichtungen sind besonders stark gefährdet: Eine Studie von Trend Micro zeigt auf, dass rund 90 % der deutschen Unternehmen in den Bereichen Strom-, Öl- und Gasversorgung in den letzten zwölf Monaten von Cyberangriffen betroffen waren. Um sicherzustellen, dass Systeme und Daten vor potenziellen Bedrohungen geschützt sind, sollten KRITIS-Organisationen ein hohes Maß an Sicherheitsbewusstsein aufweisen. Dabei gilt: Abhängig von ihrer Motivation können Angreifer auch unerwartete Wege einschlagen. So sollten Mitarbeitende auch darauf achten, ob Personen versuchen, hinter anderen durchzuschlüpfen (Tailgaiting), Schlösser zu knacken (Lock-Picking) oder infizierte USB-Sticks auszulegen.
Regelmäßige Security Awareness Trainings versetzen die KRITIS-Mitarbeitenden in die Lage, potenzielle Bedrohungen zu erkennen und zu verhindern, was wiederum dazu beiträgt, Betriebsunterbrechungen zu reduzieren. Hilfreich ist auch die KRITIS-Regulierung, die bereits 2021 mit dem IT-Sicherheitsgesetz 2.0 und der KRITIS-Verordnung 1.5 deutlich erweitert wurde bis zum 1. Mai 2023 umzusetzen ist.
Mehr Awareness für die Automobilbranche
Jeder Prozess, an dem einen Vielzahl von Menschen beteiligt sind und Informationen ausgetauscht werden, bietet Angriffspunkte für Hacker. Dabei steht vor allem die Automobilbranche im Fokus, da sie die Transformation zur Elektromobilität meistern muss und massivem Innovationsdruck ausgesetzt ist.
Dabei arbeiten unterschiedlichste Parteien monatelang über Standorte hinweg zusammen und teilen sensible Daten miteinander. Laut einer Studie von Trend Micro sind gerade Zulieferer am häufigsten betroffen: In 67 % der untersuchten Vorfälle waren sie involviert. So kommt es auch hier neben den bereits erwähnten Maßnahmen auf folgende Sicherheitstipps an.
7 Sicherheitstipps gegen Social Engineering
- Misstrauisch bleiben: Wenn Sie eine E-Mail, eine Nachricht oder einen Anruf erhalten, der unerwartet oder verdächtig ist, bleiben Sie stets vorsichtig und prüfen Sie die Quelle sorgfältig.
- Teilen Sie keine persönlichen Daten: Geben Sie keine persönlichen oder vertraulichen Informationen preis, es sei denn, Sie sind sicher, dass der Empfänger legitim ist.
- Verwenden Sie starke Passwörter: Verwenden Sie für jedes Konto ein einzigartiges Passwort, das aus einer Kombination aus Buchstaben, Zahlen und Symbolen besteht.
- Überprüfen Sie URLs: Bevor Sie auf einen Link in einer E-Mail oder Nachricht klicken, überprüfen Sie die URL, um sicherzustellen, dass sie legitim ist. Achten Sie auch auf Phishing-Websites, die versuchen, Ihre Anmeldedaten zu stehlen.
- Halten Sie Ihre Software aktuell: Stellen Sie sicher, dass Ihre Betriebssysteme und Anwendungen auf dem neuesten Stand sind, um bekannte Schwachstellen zu schließen, die von Angreifern ausgenutzt werden könnten.
- Schulen Sie sich weiter: Halten Sie sich über die neuesten Social Engineering-Angriffe und Sicherheitsbedrohungen auf dem Laufenden, um zu wissen, worauf Sie achten müssen.
- Verwenden Sie Zwei-Faktor-Authentifizierung: Aktivieren Sie die Zwei-Faktor-Authentifizierung auf allen Konten, um zu verhindern, dass ein Angreifer Zugriff auf Ihre Konten erhält, auch wenn er Ihr Passwort kennt.
Security Awareness steigern, Social Engineering abwehren
Social Engineering ist eine ernsthafte Bedrohung für die Cybersicherheit. Da dabei das menschliche Verhalten ausgenutzt wird, bildet der Mensch auch die erste Abwehrfront. Daher gilt es, das allgemeine Sicherheitsbewusstsein für Cyberrisiken zu steigern und dabei auf die Besonderheiten verschiedener Branchen einzugehen.
Ein gezieltes Cyber Security Awareness Training kann effektiv dazu beitragen, die Cyber Security eines Unternehmens oder einer Organisation zu verbessern, die Risiken von Sicherheitsverletzungen zu reduzieren und die Mitarbeitenden für die Bedeutung der Cyber Security zu sensibilisieren. Ganz gleich, in welcher Branche Sie tätig sind.
Sie möchten mehr darüber erfahren? Zögern Sie nicht, mich jederzeit zu kontaktieren.
Whitepaper: Cyber Security Awareness
Dass Cyberangriffe sich zu einer solch immensen Bedrohung für Unternehmen entwickeln konnten hat nicht zuletzt eine Ursache: nach wie vor besteht bei der Belegschaft eine hohe Anfälligkeit für manipulative Ausspähversuche. Nur wenige – zu wenige – Mitarbeiter sind sich der Risiken des Cyberspace tatsächlich bewusst und in der Lage zu erkennen, wenn ein Unberechtigter versucht, an ihre Nutzerdaten zu gelangen.
Wie eine Trainingsplattform mehr Security Awareness schafft
Das Traditionsunternehmen profitiert von einer modernen Security Awareness Plattform, die die Belegschaft fit für die Sicherheitsherausforderungen von heute und morgen macht.