Social Engineering: Angriff auf Mitarbeiter-Konten

Unternehmen, die sich vor Social-Engineering-Attacken schützen wollen, haben mehrere Optionen. Eine ist, die Nutzung von Social-Media-Plattformen im Unternehmen zu untersagen. Durchsetzen lassen sich solche Verbote mithilfe von sogenannten Next-Generation-Firewalls, etwa von Check Point, Fortinet, Juniper Networks, Palo Alto Systems, Stonesoft oder Watchguard. Diese Systeme analysieren den Datenverkehr im Corporate Network auf der Applikationsebene (Layer 7).

Somit ist es mithilfe solcher Systeme möglich, den Zugang zu potenziell gefährlichen Anwendungen zu sperren, etwa Sozialen Netzwerke und Skype. Doch wer mit dem Gedanken spielt, aus Sicherheitsgründen Social Media aus dem Unternehmensnetz auszusperren, geht ein anderes Risiko ein. Laut einer Untersuchung von Symantec aus dem September 2010 würden 32 Prozent der Beschäftigten nicht bei einem Unternehmen arbeiten, das die Nutzung von Social Media am Arbeitsplatz untersagt. Und in vielen Abteilungen – etwa im Vertrieb – ist Social Media nicht nur zum Vergnügen da, sondern wichtiges Werkzeug bei der Arbeit.

Verbote helfen nur bedingt

Aus diesem Grund verzichten laut der Studie inzwischen fast alle Firmen (95 Prozent) auf Verbote. Die Beratungsgesellschaft Gartner ist zudem der Auffassung, dass 2014 rund 20 Prozent aller Firmenangehörigen Social-Media-Dienste als primäres Kommunikationsmittel verwenden werden. Allerdings ergab eine Untersuchung von Symantec auch, dass IT-Verantwortliche und Sicherheitsspezialisten diese Entwicklung mit großem Unbehagen sehen: An die 84 Prozent der Chief Information Officer (CIOs) und 77 Prozent der Administratoren haben demnach Bedenken, was den Einsatz von sozialen Netzen während der Arbeitszeit betrifft.

Es macht für Unternehmen daher wenig Sinn, diese neuen Medien mit einem Verbot zu belegen. Gefordert sind vielmehr Regeln für den Einsatz von sozialen Netzwerken. Es muss klar definiert sein, welche Informationen über solche Plattformen kommuniziert werden dürfen.

Bildergalerie

IT-Sicherheit und Compliance im Mittelstand

zur Bildergalerie

Tipps zum Schutz vor Social-Engineering-Angriffen

• Vorsicht bei E-Mails oder Anrufen von – vermeintlichen – Kollegen, die man nicht kennt und die nach firmeninternen Informationen fragen: Viele Attacken dieser Art setzen auf die Hilfsbereitschaft von Mitarbeitern.
• Restriktive Informationspolitik verfolgen: Wer Social-Media-Plattformen nutzt, sollte Kontakt- oder Freundschaftsanfragen von Fremden kritisch prüfen und dubiose Anfragen blocken.
• Sparsam mit firmeninternen Informationen umgehen: Daten über die Tätigkeit in einem Unternehmen oder gar das konkrete Aufgabengebiet sollten nicht auf Online-Plattformen publiziert werden. Was kommuniziert werden darf, lässt sich in Security-Policies festlegen.
• Keine Verbote, sondern Aufklärung: Zwar kann ein Unternehmen die Nutzung von Facebook und Co. im Unternehmen verbieten, das ist jedoch für die Mitarbeiter wenig motivierend. Besser ist es, regelmäßig über die Gefahren zu informieren, die die Weitergabe von Interna über solche Plattformen mit sich bringen kann.
• Kommunikationswege definieren: Festlegen, über welche Kanäle, etwa Online-Plattformen, Instant-Messaging, E-Mail, Telefon oder Fax, Mitarbeiter mit Unbekannten kommunizieren dürfen.
• Vertraulichkeitsstufen für Informationen definieren: Unternehmensinterne Daten sollten auf Basis ihrer Wichtigkeit in Klassen eingeteilt und entsprechend geschützt werden, etwa mittels Verschlüsselung, eingeschränkten Zugriffsrechten oder Einführung eines Vier-Augen-Prinzips.
• Audits und Tests durchführen: Regelmäßig die IT-Sicherheitsmaßnahmen überprüfen, speziell unter dem Aspekt Social-Engineering-Angriffe. Penetration-Test mithilfe von externen Fachleuten zeigen Schwachstellen und helfen dabei, Sicherheitsprozeduren zu verbessern.

Personensuchmaschinen wie Yasni liefern erste Ansatzpunkte für Social-Engineering-Angriffe (Screenshot: Reder).