Was gegen Social Engineering hilft

Wie groß das Problem des Social Engineering tatsächlich ist, lässt sich schwer beziffern. Denn Unternehmen veröffentlichen entsprechende Angriffe aus Angst vor Reputationsverlust selten. Viele Social-Engineering-Angriffe würden zudem nicht einmal bemerkt, erklärt Lekati.

Stellenmarkt

1. thinkproject Deutschland GmbH, Köln, München
2. EnBW Energie Baden-Württemberg AG, Karlsruhe

Die Darpa, eine Forschungsagentur des US-Verteidigungsministeriums, geht jedoch davon aus, dass mehr als 80 Prozent der Cyberangriffe und über 70 Prozent der Angriffe aus Nationalstaaten auf die Schwachstelle Mensch setzen. Auch die Europäische Agentur für Netz- und Informationssicherheit (Enisa) listet Social Engineering als die häufigste Angriffsmethode. Gefolgt von Phishing-Angriffen, die zum Teil auf einzelne Personen zugeschnitten werden (Spearphisihing), und Scams, wie etwa ein vermeintlicher Anruf des Apple-Supports. Damit diese Angriffe nicht mehr so gut funktionieren, brauche es vor allem Bewusstsein und Bildung, sagt Lekati. Und Verschwiegenheit.

In einem Informatikstudium lernt man meist viel über die technische Absicherung von Geräten und Firmennetzwerken, die Abwehr von Social-Engineering-Angriffen steht indes normalerweise nicht im Lehrplan. Dabei sollte sie unbedingt Teil der Ausbildung sein, betont Lekati. Sicherheitsteams hätten meist keine Ahnung von Social Engineering.

Der Schutz gegen Social Engineering beginnt - ähnlich wie die Angriffe - bei den Menschen, also bei jedem selbst. Ein erster wichtiger Schritt ist es, sich bewusst zu machen, dass man Schwachstellen hat. Diese gilt es durch Selbstreflexion zu identifizieren. Das sei nicht einfach, aber allein das Bewusstsein helfe schon immens, meint Lekati. "Sei vorsichtig mit deinen Schwächen, beachte sie - und sei ehrlich zu dir selbst", rät sie.

Privates nicht teilen

Und sei verschwiegen. Die innersten Gedanken und die Schwächen sollten nicht geteilt werden, schon gar nicht öffentlich. Lekati rät zudem, alle Social-Media-Profile auf "privat" zu stellen, so dass nur noch autorisierte Freunde und Follower die Inhalte sehen können. Freundschaftsanfragen und Follower sollten nicht ungeprüft angenommen werden, die bereits vorhandenen sollten verifiziert werden. Auch eine Zwei-Faktor-Authentifizierung sei ratsam.

"Sei dir der Informationen bewusst, die über dich verfügbar sind", rät Lekati. Firmen sollten sich selbst einem OSINT unterziehen und alle verfügbaren Informationen ausfindig machen. Oft seien diese erstaunt, wie viel über sie herauszufinden sei, erzählt Lekati. Durch eine Sensibilisierung und Schulung der Mitarbeiter werde nicht nur das Unternehmen abgesichert und Bewusstsein für die Gefahr geschaffen, sondern auch das Risiko für die Social Engineers größer. Diese suchten sich lieber die einfacheren Ziele, erklärt Lekati. Entsprechend könne es durchaus sinnvoll sein, nach außen zu kommunizieren, dass das Unternehmen das Thema angeht.

Allerdings sollte das Unternehmen die Informationen sparsam dosieren und auch keine Standardseminare buchen, denn auch dies seien wertvolle Informationen für den Social Engineer, sagt die Spezialistin. Ein Angreifer wisse dann, welche Angriffstechniken vermittelt wurden - und welche nicht.

Wie im Sicherheitsbereich üblich, gibt es auch bei Social Engineering keinen absoluten Schutz. Ein bewusster Umgang mit den eigenen Schwachstellen, Trainings und klare Firmenpolicies können jedoch helfen. Auf keinen Fall solle man sich jedoch in falscher Sicherheit wiegen und davon ausgehen, dass Social Engineering bei einem selbst nicht klappt. Das hilft letztlich nur einem: dem Social Engineer.