Neben Malware und Hacking, also digitalen Angriffen auf IT-Infrastrukturen und Privat- oder Geschäftsgeheimnisse, spielt bei der IT-Sicherheit eines Unternehmens auch eine effektive organisatorische Abwehr sog. „Social Engineering“-Angriffe eine wichtige Rolle. Social Engineering (etwa „soziale Manipulation“) bezeichnet einen IT-Sicherheitsangriff, bei dem der Angreifer durch soziale Interaktion ein besonderes Vertrauensverhältnis zu dem Angegriffenen herstellt, um auf diesen Weg an Informationen zu gelangen oder Zugriff auf IT-Systeme zu erlangen. Social Engineering geht oftmals mit der Vortäuschung von Identitäten einher. Um die 80 % der relevanten Social Engineering Angriffe stellen dabei das sog. Phishing dar. 1https://www.forbes.com/sites/laurashin/2017/01/04/be-prepared-the-top-social-engineering-scams-of-2017/#6c069c527fec Aber auch außerhalb von IT-Anwendungen kann das Social Engineering eine wichtige Rolle spielen.

Social Engineering war insbesondere in den 1980er Jahren ein häufig gebrauchtes Arbeitsmittel von Hackern, die etwa bei Telefongesellschaften anriefen, sich als Systemadministrator ausgaben und so an Passwörter gelangten. 2https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit) Im Vorfeld eines solchen Social Engineering Angriffs spioniert der Angreifer zumeist das Umfeld des Angegriffenen aus, um etwa unternehmensinterne Redewendungen, Abkürzungen oder bekannte Personen kennenzulernen und in das Telefonat zur Erweckung von Vertraulichkeit einbinden zu können.

Diese „soziale“ Form des Hackings spielt auch heute noch eine bedeutende Rolle. So geben sich heute Betrüger oftmals telefonisch als Bankangestellte aus, um an Zugangskennungen, PINs und TAN-Nummern zu gelangen. 3Vgl. http://www.it-sicherheitsnews.de/wenn-sie-ein-falscher-bankmitarbeiter-anruft/ Hierbei wird die Telefonnummer des Anrufenden meistens vorgetäuscht, sodass diese für den Angerufenen den Schein der Richtigkeit erweckt. Doch auch im Unternehmensbereich sind derartige betrügerische Anrufe keine Seltenheit. Hier geben sich Betrüger oftmals etwa als Lieferanten, als Importeure, als Zwischenhändler oder als Drittanbieter aus und teilen dem betroffenen Unternehmen etwa eine Änderung der Bankverbindung mit. Auch hierbei recherchiert der Angreifer im Vorfeld relevante Namen und Stellen des Unternehmens sowie laufende Projekte und Bestellungen. 4Vgl. http://www.it-sicherheitsnews.de/gefahr-lieferant-aenderung-der-bankdaten-mitteilung/

Als Fazit bleibt festzustellen, dass eine effektive IT-Abwehr nicht nur technische Maßnahmen zum Schutz der digitalen Infrastruktur eines Unternehmens bedarf. Auch außerhalb von IT-Anwendungen können sich Angriffe ereignen. Hier hilft nur eine Schulung und Aufklärung der Mitarbeiter sowie ein IT-Sicherheitskonzept, das einerseits bei fragwürdigen Anrufen eine vollständige Informationssperre vorsieht und anderseits bestimmt, dass telefonisch eingehende kritische Informationen durch eine Nachfrage bei der Organisation des angeblichen Anrufers validiert werden müssen.

Referenzen   [ + ]

1. https://www.forbes.com/sites/laurashin/2017/01/04/be-prepared-the-top-social-engineering-scams-of-2017/#6c069c527fec
2. https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit
3. Vgl. http://www.it-sicherheitsnews.de/wenn-sie-ein-falscher-bankmitarbeiter-anruft/
4. Vgl. http://www.it-sicherheitsnews.de/gefahr-lieferant-aenderung-der-bankdaten-mitteilung/