Newsfeed abonnierenDer Report „Die Risiken von Social Engineering für die Informationssicherheit“ („The Risk of Social Engineering on Information Security“) zeigt auf, dass Phishing- und Social Networking-Tools die gängigsten Mittel für den gezielten Missbrauch menschlicher Schwächen sind – für die betroffenen Organisationen Grund genug, zur Absicherung ihrer sensitiven Daten künftig auf eine starke Kombination aus Technologie und hohem Anwenderbewusstsein zu setzen.
Von Social Engineering spricht man dann, wenn ein Angreifer, z.B. für Zwecke der Wirtschaftsspionage, menschliche Eigenschaften ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben.
Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen und das schwächste Glied in der Organisation zu identifizieren, nutzen Hacker eine Vielzahl von Techniken und Social Networking-Applikationen. Der in Deutschland, den USA, Kanada, Großbritannien, Australien und Neuseeland durchgeführten Check Point-Studie zufolge betrachten 86% der Unternehmen das Thema Social Engineering als ernstes, wachsendes Problem. Dabei stellen 51% der Befragten fest, dass die Aussicht auf finanzielle Vorteile die Hauptmotivation der Angriffe ist, gefolgt vom Erlangen von Wettbewerbsvorteilen und Rachemotiven.
Social Engineering-Techniken zielen darauf ab, die Schwachstellen der betroffenen Personen auszunutzen. Die starke Verbreitung von Web 2.0 und Mobile Computing machen es den Angreifern immer leichter, an die entsprechenden Informationen zu ihren Zielpersonen heranzukommen und bilden neue Einfallstore für die erfolgreiche Ausführung von Attacken.
Die gebräuchlichsten Methoden für Social Engineering – Phishing-Emails (47%) werden global als die am häufigsten verwendete Social Engineering-Methode genannt, gefolgt von Social Network-Sites, die Informationen zu Person und Beruf preis geben (39%) und ungesicherten, mobilen Endgeräten (12%).
Mit 60% werden neue Mitarbeiter und externe Dienstleiser oder Zulieferer (44%), die möglicherweise mit den Sicherheitsregeln des Unternehmens nicht umfassend vertraut sind, von den befragten Organisationen als besonders anfällig für Social Engineering-Methoden angesehen, gefolgt von der Geschäftsführungsassistenz, der Personalabteilung und dem IT-Personal.
Die Studie „The Risk of Social Engineering on Information Security“ wurde im Juli und August 2011 durchgeführt. Sie repräsentiert Organisationen aller Größen über verschiedene Marktsegmente hinweg, einschließlich Banken & Finanzen, Fertigungsindustrie, Wehrtechnik, Einzelhandel, Gesundheitswesen und Bildungssektor.
1/2012
8/2011
7/2011
Dr. Manfred Wöhrl ist Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. 