Social Engineering: Wie Security-Awareness-Training die Sicherheit erhöhen kann

Social Engineering ist eine Methodik, die Angreifer anwenden, um die Schwachstelle Mensch im Alltag oder Arbeitsleben mit dem Ziel auszunutzen, an Daten und Informationen heranzukommen. Dabei werden nicht die technische Infrastruktur oder eine Firewall angegriffen, sondern das Vertrauen der Menschen. Mit gezielten Security-Awareness-Training kann Aufklärungsarbeit geleistet und ein Bewusstsein für Gefahren geschaffen werden, was die Lücken bei der Sicherheit schließt.

Die Strategien sind vielseitig: Dumpster Diving, also das Schnüffeln in Mülleimern, ist eine Form von Social Engineering. Eine andere liegt darin, die Höflichkeit von Menschen auszunutzen, indem man sich die Tür aufhalten lässt und so Zutritt zu Räumen gewinnt, für die man nicht autorisiert ist. Auch Vorwände wie Eile oder der Verweis auf eine Autorität wie die Geschäftsleitung können Menschen unter Druck setzen, sich wie vom Angreifer gewünscht zu verhalten – darauf setzen die Methoden des Social-Engineering.

Social Engineering: Manipulation von hilfsbereiten Mitarbeitern

Diese Art der Manipulation funktioniert auch in der digitalen Welt: Durch geschickte Gesprächsführung können zum Beispiel hilfsbereiten Mitarbeitern ein Passwort oder sensible Informationen entlockt werden. Normalerweise haben Angreifer im Vorfeld Informationen über ihr Ziel gesammelt: Sie recherchieren auf Social Media oder kennen Verbindungen und Geschäftsbeziehungen aus anderen Hacks. Mit diesem Wissen geben sie sich als Vertrauensperson aus – und der Getäuschte klickt in gutem Glauben auf eine Phishing-E-Mail oder lädt sich eine Datei mit einer Schadsoftware herunter.

Verschärft wurde diese Problematik durch die Corona-Maßnahmen: Viele Unternehmen schickten ihre Mitarbeiter schnell und hastig ins Homeoffice. Damit änderten sich zentrale Abläufe im Alltag: Neue Logins in andere Systeme wurden notwendig und die Kommunikation auf digitale Kanäle umgestellt. Das öffnet Betrugsversuchen mittels Social Engineering Tür und Tor. Die Angestellten können aufgrund fehlender Erfahrung und Vergleichbarkeit nicht beurteilen, ob ein Ablauf nun echt oder fake ist – und auch das Nachfragen bei Kollegen für eine Zweitmeinung ist aus dem Homeoffice nicht mehr ohne weiteres möglich. Angreifer wissen das und nutzen es aus.

So werden Mitarbeiter vor Social Engineering geschützt

Nicht jeder Mitarbeiter ist ein IT-Experte und kann Betrugsversuche erkennen. Da sich Technologie und Geräte rasant weiterentwickeln, wird es immer schwieriger, Risiken richtig einzuschätzen. Die Lösung für das Problem liegt also nicht in Sicherheitssoftware, sondern in einer besseren Vorbereitung und Ausbildung der Menschen.

Social Engineering hat viele Facetten – deswegen brauchen Mitarbeiter ein gewisses Maß an Umsicht und Weitblick. Im Homeoffice ist es zum Beispiel wichtig, allein in einem Raum zu arbeiten und bei Pausen den Arbeitsplatz zu sperren. Um Fake-Emails zu enttarnen, hilft es, sich zu überlegen, ob man Emails erwartet oder ob eine überraschend ankommt. Enthält diese noch eine Handlungsaufforderung, ist Skepsis angebracht. Auch Social Media spielt eine Rolle: Bei ihren Posts sollten Mitarbeiter darauf achten, keine sensiblen Informationen preis zu geben.

Ebenso ist der geschäftliche Kontext relevant: Woher stammt der Absender, ist er echt und einer Adresse im Unternehmen zuzuordnen? Hier können IT oder IT-Sicherheit bei Unklarheit gegenchecken: Betrugsmails sind meist gut gemacht und erfordern ein geschultes Auge. Insgesamt ist eine Art digitaler Hygiene hilfreich, sozusagen das virtuelle Äquivalent zu Anti-Corona-Maßnahmen wie Hände waschen oder Abstand halten.

Informationssicherheit und Datenschutz im Fokus

Fallen Unternehmen unter die KRITIS-Verordnung der kritischen Infrastrukturen, liegt zusätzlich ein besonderer Fokus auf der Sicherheit. So ist es für sie zum Beispiel erforderlich, ein funktionierendes Informationsmanagement-System (ISMS) nachzuweisen, Schulungen und Programme umzusetzen und zu etablieren. Auch die Finanz- und Versicherungsbranche wird von BaFin und EZB dazu verpflichtet, Schulungen auszurichten. Für Unternehmen, die mit der Automobilindustrie zusammenarbeiten ist die TISAX-Zertifizierung relevant: Der Branchenstandard von Autokonzernen und Herstellern reguliert hier die Anforderungen von IT-Sicherheit und Datenschutz. Zulieferer müssen zum Beispiel Schulungskonzepte vorhalten und den Nachweis erbringen, dass keine sensiblen Daten abfließen können.

Informationssicherheit und Datenschutz ist aber nicht nur für Unternehmen mit strengen regulatorischen Vorgaben relevant, sondern auch für alle anderen. Unternehmen können zum Beispiel mit dem Online-Awareness-Training des TÜV Hessen nachweisen, dass sie ihren Pflichten nachgekommen sind.  TÜV Hessen bietet eine Plattform mit 36 aufeinander aufbauenden Kursen entwickelt, die didaktisch von Experten aufgebaut wurde. In Lerneinheiten zwischen acht bis 30 Minuten wird ein Thema vertieft und multimedial mit Videos aufbereitet. Ein Quiz mit Multiple-Choice-Fragen schließt die Lerneinheit als Test für den Mitarbeiter ab. So kann er prüfen, ob er die Inhalte verstanden hat und sie anwenden kann.

Die Trainings setzen sich aus Basisschulungen und Zusatzmodulen mit Spezialthemen zusammen. Die Basis umfasst Einführungsprogramme, Informationssicherheit und Cybersicherheit für Führungskräfte sowie Security Awareness für IT-Professionals. Die weiterführenden Trainings adressieren Themen wie Cybersicherheit, europäische Datenschutzgrundverordnung (DSGVO), Malware oder mobile Geräte. Das Format der schnellen Microlearnings thematisiert unter anderem Internet of Things, Ransomware, die Meldung von Sicherheitsvorfällen oder die Sicherung mobiler Geräte. Außerdem deckt das Kurzformat Security Flash Bereiche wie Malware, Phishing, Social Media oder Arbeiten in der Cloud ab.

Online-Trainings schärfen Sicherheitsbewusstsein

Mit Trainings können Unternehmen gezielte Maßnahmen ergreifen, um das Bewusstsein der Mitarbeiter in Sicherheitsfragen zu schärfen und es zudem messbar zu machen. Startet eine Abteilung mit einer Schulungsreihe zum Beispiel mit dem Schwerpunkt Phishing, lässt sich das Bewusstsein der Mitarbeiter für Angriffe auf die Sicherheit messen. Nach den gezielten Schulungen werden die Ergebnisse evaluiert, was zum Beispiel mit einer selbst initiierten Phishing-Kampagne möglich ist. Darüber wird geprüft, ob die Schulung in der Praxis angewendet wird und Mitarbeiter problematische Anhänge eben nicht mehr anklicken.

Wichtig bei Schulungsangeboten ist immer die Praxisnähe – Mitarbeiter erfahren zum Beispiel, was genau sensible Daten sind oder wie sie gekennzeichnet, verschickt oder gespeichert werden müssen. Auch die Bedürfnisse von Außendienstmitarbeitern sollten im Blick behalten werden: Sie sollten ebenfalls auf den Umgang mit sensiblen Daten vorbereitet werden. So ist beispielsweise das Telefonieren in der Öffentlichkeit nicht optimal.

Modulares Trainingssystem von TÜV Hessen

Auf aktuelle Ereignisse kann beim Trainingssystem von TÜV Hessen anlassbezogen durch den modularen Aufbau leicht Bezug genommen werden. Die Themen sind branchenunabhängig und relevant für KMU genauso wie für Konzerne. Mit einem solchen System darüber kann ein komplettes Informationssicherheitsschulungskonzept umsetzt werden. Unternehmen haben freie Hand, welche Mitarbeiter oder Abteilungen welche Schulungen absolvieren. Sinnvoll ist es daher, einen Verantwortlichen im Unternehmen zu benennen, der die Schulungen plant und umsetzt.

Ein weiterer Vorteil: Online-Schulungen erfordern keine  Präsenz vor Ort und lassen sich flexibel in den Alltag der Mitarbeiter integrieren. Feste Räume und Trainer sind nicht mehr notwendig. Auch die Implementierung von Software entfällt. Eine solche Plattform ist auf mobilen Geräten wie Smartphone oder Tablet nutzbar, kann aber auch vom Desktop-PC erreicht werden, unabhängig davon, ob der Zugriff aus dem Homeoffice oder dem Unternehmensnetzwerk erfolgt. Je nach Größe des Unternehmens lassen sich die Schulungen außerdem auch skalieren; um die Anwendung durch internationale Teams zu ermöglichen, sind die Trainings zudem in sieben Sprachen verfügbar.

Trainingssystem bietet auch Analysefunktionen

Sinnvoll sind darüber hinaus Analysefunktionen: Idealerweise können Berichte erstellt werden, wie viel Prozent der Mitarbeiter eine Schulung bereits erhalten haben. Zudem gibt es Berichtsfunktionen zu Schulungen, welche in Bearbeitung oder noch offen sind. Auch die Ergebnisse der Abfragen sollten einsehbar sein. Auf dieser Basis können Administratoren Berichtspflichten erfüllen. Am Ende der Lerneinheiten und Module können sich Mitarbeiter außerdem Zertifikate erstellen lassen.

Die Plattform von TÜV Hessen wird kontinuierlich um Content und eigene Inhalte erweitert. Aktuell ist in Planung, Kerngebiete wie Datenschutz- oder Arbeitssicherheitsschulungen von Präsenztrainings und Powerpoint-Präsentationen abzukoppeln und stattdessen in der Plattform bereitzustellen. Security-Awareness-Training hilft dabei, Mitarbeiter von Unternehmen aller Branchen über sicherheitsrelevante Themen wie Datenschutz oder Social Engineering aufzuklären und das Bewusstsein für Angriffe zu schärfen. So können Versuche, sensible Informationen abzugreifen, verhindert werden. (sg)

Über die Autorin: Nadja Müller ist IT-Journalistin und für Wordfinder tätig.

Lesen Sie auch: Security-Awareness-Training: IT-Entscheider sind besorgt über Sicherheitsrisiken