Der Cyber Security Hub’s Mid-Year Market Report 2022 ergab, dass 75 % der Befragten Social Engineering und Phishing als die größte Bedrohung für ihr Unternehmen nannten. Diese Ergebnisse folgen auf die Warnungen von Forschern wie Check Point Research, die darauf hinweisen, dass KI-gestützte Technologien wie ChatGPT zur Erstellung überzeugender Phishing-E-Mails verwendet werden können.

Social Engineering ist eine heimtückische Betrugstechnik, die eingesetzt wird, weil sie funktioniert. Social Engineering bedeutet, dass Sie mit genau dem Verhalten ausgenutzt werden, das Sie täglich anwenden. Da Hacker wissen, wie sie Menschen auf einer grundlegenden Ebene manipulieren können, kann es schwierig sein, Angriffe zu erkennen. Hier geht MetaCompliance den Prozess durch, der notwendig ist, um sicherzustellen, dass Ihre Mitarbeiter nicht Opfer eines Social Engineering-Angriffs werden.

Drei Schritte zur Vermeidung von Social Engineering-Angriffen

Die Vorbeugung von Social-Engineering-Angriffen, in all ihren Formen, erfordert Prozesse und Tools und sollte als mehrgleisiger Ansatz betrachtet werden. Es gibt drei Kernelemente, die in ihrer Gesamtheit dazu beitragen, dass Ihr Unternehmen und Ihre Mitarbeiter auf jede Form von Social Engineering vorbereitet sind, um einen Angriff auf die Cybersicherheit durchzuführen:

  1. Strategien: Bauen Sie Social Engineering in Ihre Sicherheitsstrategie ein.
  2. Personalisierung: Schulen Sie Ihre Mitarbeiter zu den Social-Engineering-Bedrohungen, denen sie am ehesten ausgesetzt sind.
  3. Berichten Sie: Ermutigen Sie zur Meldung von Vorfällen, um Ihre Reaktion auf einen Angriff mit Social Engineering zu verbessern.

Strategisch vorgehen: Stellen Sie sicher, dass Ihre Sicherheitsstrategie Angriffe aus der realen Welt widerspiegelt

Social-Engineering-Angriffe umfassen viele Szenarien, von Phishing über Beziehungsmanipulationen bis hin zu physischen Versionen des Social Engineering wie dem„Tailgating„. Oft verwenden Hacker eine Mischung aus realen und digitalen Tricks als Teil eines ausgeklügelten Sicherheitsangriffs.

Spear-Phishing-E-Mails können beispielsweise sehr schwer zu erkennen sein und werden oft als beliebte Methode verwendet, um an Zugangsdaten oder persönliche Informationen zu gelangen. Oftmals beinhalten diese mehrstufigen Angriffe das Herunterladen von Malware und erwecken den Eindruck von Dringlichkeit, um den Empfänger zum unüberlegten Handeln zu bewegen.

Um sicherzustellen, dass Ihr Unternehmen all diese Szenarien abdeckt, sollten Sie eine Sicherheitsstrategie entwickeln, die Erkennungsmaßnahmen, Meldeverfahren für Sicherheitsvorfälle, Reaktionspläne auf Vorfälle und die Durchführung von Sicherheits- und Datenschutzaudits umfasst.

Ihre strategische Planung muss beinhalten, wie die Auswirkungen von Social Engineering gemildert werden können. Dazu gehört ein Sicherheitstraining, das Rollenspiele zu Social Engineering beinhaltet. Ihre Sicherheitsstrategie und Reaktionspläne müssen regelmäßig überprüft und aktualisiert werden, um sie an die sich verändernde Bedrohungslage und die neuen Möglichkeiten anzupassen, die sich durch Technologien und Arbeitsformen wie die Telearbeit ergeben.

Personalisiertes Training zum Sicherheitsbewusstsein

Führen Sie mit Ihren Mitarbeitern Schulungen zum Sicherheitsbewusstsein durch, die sich auf spezifische Bedrohungen beziehen. Das bedeutet, dass diese Schulungen auf der Grundlage der Rolle eines Mitarbeiters durchgeführt werden; unterschiedliche Mitarbeiterrollen ziehen in der Regel unterschiedliche Arten von Social Engineering-Angriffen an.

Bei BEC-Betrügereien (Business Email Compromise) wird beispielsweise häufig Social Engineering eingesetzt, um Mitarbeiter in der Kreditorenbuchhaltung oder Führungskräfte anzugreifen, da diese Rollen die Unternehmensfinanzen kontrollieren.

Ein aktueller Bericht von Abnormal Security, der sich mit E-Mail-Bedrohungen befasste, ergab, dass etwa 28 % der betroffenen Mitarbeiter eine BEC-SMS öffnen würden. Von denjenigen, die diese BEC-Nachrichten öffnen, antworteten 15 % darauf und ließen sich so auf den Betrüger ein und öffneten die Tür für weiteres Social Engineering.

Passen Sie Ihr Sicherheitstraining so an, dass Sie rollenbasierte Schulungen durchführen, die sich auf die wichtigsten Bedrohungen konzentrieren. Verwenden Sie eine Plattform, die rollenbasierte Vorlagen für Phishing-Simulationsübungen anbietet. Erstellen Sie Phishing-Simulationen und -Schulungen, die sich auf die Art von Bedrohungen konzentrieren, mit denen ein einzelner Mitarbeiter oder eine Abteilung wahrscheinlich konfrontiert wird.

Ermutigung zur Meldung von Sicherheitsvorfällen

Der Bericht von Abnormal Security ergab außerdem, dass nur 2,1 % der Sicherheitsvorfälle dem Sicherheitsteam des Unternehmens gemeldet wurden. Dies hinterlässt eine klaffende Lücke in der Fähigkeit, schnell auf einen laufenden Angriff zu reagieren.

Da Social Engineering oft Teil einer Kette von Ereignissen ist, die zu Ergebnissen wie Finanzdiebstahl oder Ransomware-Infektionen führen, kann eine frühzeitige Warnung vor einem laufenden Vorfall die nötigen Informationen liefern, um den Angriff zu stoppen und den Schaden zu begrenzen.

Es ist wichtig, eine Möglichkeit zu schaffen, Vorfälle einfach zu melden und ein Umfeld zu schaffen, in dem es keine Schuldzuweisungen gibt, um die Mitarbeiter zur Meldung von Vorfällen zu ermutigen. Unternehmen sollten sich nicht nur auf Firewalls oder Spam-Filter verlassen, um diese Art von Angriffen zu verhindern.

Geben Sie Ihren Mitarbeitern stattdessen die Möglichkeit, einen Cybervorfall zu melden. Die Meldung eines Vorfalls kann dazu beitragen, die Auswirkungen zu mildern, indem die Reaktion auf einen sachkundigen Mitarbeiter eskaliert. Wichtig ist, dass Sie Ihren Mitarbeitern einen sicheren Ort bieten, an dem sie die Details des Vorfalls aufzeichnen können, z. B. ein spezielles Portal zur Meldung von Sicherheitsvorfällen.

Anhand der vom Mitarbeiter eingegebenen Vorfallsinformationen kann das Sicherheitsteam den Vorfall einordnen, Reaktionsprioritäten festlegen und Sicherheitsprotokolle einleiten. Die MetaCompliance MetaIncident-Konsole ist beispielsweise ein System zur Verwaltung von Vorfällen während des gesamten Lebenszyklus, das ein Vorfallsregister zur Verwaltung von Problemen enthält. Die Möglichkeit, Berichte und Reaktionen auf Vorfälle zu prüfen und Berichte mit den Daten eines Sicherheitsvorfalls zu erstellen, ist auch für den Nachweis der Einhaltung von Vorschriften hilfreich.

Social Engineering wird wahrscheinlich weiterhin eine Herausforderung für Unternehmen sein. Neue Technologien wie KI-gestützte Schnittstellen werden es Betrügern ermöglichen, noch raffiniertere Social Engineering-Tools zu entwickeln. Ein Unternehmen kann diese heimtückische Bedrohung jedoch stoppen, indem es gezielte Schulungsprogramme entwickelt und die Meldung von Vorfällen in die tägliche Arbeit integriert.

Risiko von Ransomware