NTT Security hält menschliche Firewall für die Abwehr von Social-Engineering-Angriffen für unerlässlich

Laut NTT Security unterschätzen Unternehmen die Gefahr von Social-Engineering-Angriffen. (Quelle: Fotolia)

Unternehmen unterschätzen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf auch nur unzureichend vorbereitet – trotz aller Security-Kampagnen, meint NTT Security. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die „menschliche Firewall“ gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar.

Social-Engineering-Angriffe liegen im Trend. Ein Grund dafür ist, dass Unternehmen in den letzten Jahren vielfach die Perimeter-Sicherheit deutlich erhöht haben, für Angreifer es also wesentlich schwieriger geworden ist, mit rein technischen Attacken in Unternehmensnetzwerke einzudringen. Deshalb wählen sie vielfach den Weg des Social-Engineerings. Durch geschicktes Vorgehen versucht der Angreifer einen Mitarbeiter dazu zu bewegen, ihm beim Zugriff auf das Unternehmensnetzwerk zu helfen.

Untersuchungen von NTT Security zeigen, dass sich in Sachen „Beliebtheit“ bei Social-Engineering-Angriffen folgendes Ranking ergibt:

  • Phishing-Mails, vor allem in Form von Spear Phishing, das heißt, gezielte Angriffe auf wenige Personen per Mail; im Blickfeld der Angreifer ist dabei oft der C-Level von Unternehmen, da er über viele Berechtigungen und uneingeschränkten Zugriff auf vertrauliche Unternehmensdaten verfügt
  • Vishing per Telefonanruf
  • Klonen eines WLAN-Access-Points
  • Physischer Zutritt zu Gebäuden

„Dass sich diese Rangfolge ergibt, ist mehr als logisch, denn aus Sicht des Angreifers sind die Angriffe von ungefährlich bis gefährlich angeordnet“, erklärt David Wollmann, Executive Consultant bei NTT Security, dem auf Sicherheit spezialisierten Unternehmen und „Security Center of Excellence“ der NTT Group (NYSE: NTT). „Bei Phishing-Mails kann einem Angreifer wenig passieren, wenn eine Mail als Angriff identifiziert wird. Versucht er jedoch, Zugang zu einem Betriebsgelände zu erlangen, oder wird er zum Beispiel ohne Authentisierung in einem Serverraum erwischt, könnte dies zu einer Verhaftung führen.“

Die Gefahr, die Social-Engineering-Angriffe für Unternehmen darstellen, ist immens. Schließlich ist jeder Mitarbeiter eine potenzielle Sicherheitslücke. Im schlimmsten Fall reicht bei einem Social-Engineering-Angriff ein einzelner Mitarbeiter aus, der auf die Manipulation durch den Angreifer hereinfällt und diesem Zugriff auf das Unternehmensnetzwerk gewährt. Dann bringt es auch nichts, wenn alle anderen Mitarbeiter eine sehr gute Security-Awareness besitzen und nicht auf diese Manipulation hereingefallen sind.

„Da es technisch sehr schwer ist, Unternehmen und Personen vor Social-Engineering-Angriffen zu schützen, ist es extrem wichtig, dass die ‚menschliche Firewall’ richtig funktioniert. Das größte Manko dabei stellen bisher generische Awareness-Trainings dar. Sie werden in der Regel als lästige Pflichtveranstaltung gesehen, ohne dass daraus ein Mehrwert generiert wird“, so Wollmann.

NTT Security bietet zwei verschiedene Services an, um Unternehmen und Mitarbeiter besser vor Social-Engineering-Angriffen zu schützen: ein Unternehmensprofiling aus Angreifersicht und ein unternehmensspezifisches Awareness-Training. Beim Unternehmensprofiling wird analysiert, welche Informationen ein Angreifer über ein Unternehmen und die Mitarbeiter erlangen kann, beispielsweise über Suchmaschinen und in sozialen Netzwerken. Daraus wird ein Risikoprofil erstellt und ermittelt, welche Mitarbeiter am ehesten für einen Social-Engineering-Angriff ausgesucht werden. Im Anschluss wird ein individuelles Awareness-Training erstellt, das auf den jeweiligen Mitarbeiter zugeschnitten ist.

Als weiteren Service bietet NTT Security unternehmensspezifische Awareness-Trainings an, bei denen ebenfalls individuell auf mögliche Social-Engineering-Angriffe auf das jeweilige Unternehmen eingegangen wird. Der Unterschied der beiden Services besteht darin, dass letzterer für alle Mitarbeiter gedacht ist und dabei individuell auf das Unternehmen, aber nicht auf einzelne Mitarbeiter zugeschnitten ist.