Security-Studie: 64 Prozent der Unternehmen wurden bereits Opfer von Social Engineering

Menschen haben einen ganz entscheidenden Anteil an der Sicherheit der Unternehmensdaten

(29.09.11) - Check Point Software Technologies stellte jetzt die Ergebnisse einer neuer Security-Studie vor, die bei weltweit mehr als 850 IT- und Security-Experten (ff: Ergebnisse weltweit in Klammern) und in Deutschland bei 80 Untersuchungsteilnehmern durchgeführt wurde. Danach sind 64 Prozent (48 Prozent) der in Deutschland befragten Unternehmen bereits Opfer so genannter Social Engineering-Attacken geworden. 46 Prozent (48 Prozent) der deutschen Organisationen haben in den vergangenen beiden Jahren 25 oder mehr solcher Angriffe hinnehmen müssen, die eigener Einschätzung pro Vorfall mit Folgekosten von über 25.000 Dollar (25.000 bis100.000 Dollar) verbunden waren.

Der Report "Die Risiken von Social Engineering für die Informationssicherheit" ("The Risk of Social Engineering on Information Security") zeigt auf, dass Phishing- und Social Networking-Tools die gängigsten Mittel für den gezielten Missbrauch menschlicher Schwächen sind - für die betroffenen Organisationen Grund genug, zur Absicherung ihrer sensitiven Daten künftig auf eine starke Kombination aus Technologie und hohem Anwenderbewusstsein zu setzen.

Von Social Engineering spricht man dann, wenn ein Angreifer, z.B. für Zwecke der Wirtschafts-spionage, menschliche Eigenschaften ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen und das schwächste Glied in der Organisation zu identifizieren, nutzen Hacker eine Vielzahl von Techniken und Social Networking-Applikationen. Der in Deutschland, den USA, Kanada, Großbritannien, Australien und Neuseeland durchgeführten Check Point-Studie zufolge betrachten 84 Prozent (86 Prozent) der deutschen Unternehmen das Thema Social Engineering als ernstes, wachsendes Problem. Dabei stellen 43 Prozent (51 Pro-zent) der Befragten fest, dass die Aussicht auf finanzielle Vorteile die Hauptmotivation der Angriffe ist, gefolgt vom Erlangen von Wettbewerbsvorteilen und Rachemotiven.

"Die Untersuchungsergebnisse belegen, dass knapp zwei Drittel der deutschen Unternehmen wissen, bereits Opfer von Social Engineering-Attacken geworden zu sein", so Jörg Kurowski, Regional Director Zentraleuropa bei der Check Point Software Technologies GmbH in Ismaning. "Das ist schockierend. Doch ebenso beunruhigend wie die tatsächlichen Attacken ist, dass mit

22 Prozent fast ein Viertel der befragten Organisationen in diesem Punkt nichts ahnend bzw. nicht sicher ist, also deutlich zu wenig Sicherheitsbewusstsein vorhanden ist."

Social Engineering-Techniken zielen darauf ab, die Schwachstellen der betroffenen Personen auszunutzen. Die starke Verbreitung von Web 2.0 und Mobile Computing machen es den Angreifern immer leichter, an die entsprechenden Informationen zu ihren Zielpersonen heranzukommen und bilden neue Einfallstore für die erfolgreiche Ausführung von Attacken. Mit 45 Prozent (60 Prozent) werden neue Mitarbeiter und externe Dienstleiser oder Zulieferer (44 Prozent), die möglicherweise mit den Sicherheitsregeln des Unternehmens nicht umfassend vertraut sind, von den befragten Organisationen als besonders anfällig für Social Engineering-Methoden angesehen, gefolgt von der Geschäftsführungsassistenz, der Personalabteilung und dem IT-Personal.

"Am Ende des Tages haben die Menschen einen ganz entscheidenden Anteil an der Sicherheit der Unternehmensdaten", so Kurowski. "Sie können von Kriminellen getäuscht und zu Fehlern verleitet werden, die zu Infektionen mit Schadsoftware und unbeabsichtigtem Datenverlust führen. Obwohl die Mitarbeiter im realen Arbeitsalltag oft die erste Verteidigungslinie bilden, achten viele Organisationen nicht ausreichend drauf, dass ihre Anwender in das Thema Datensicherheit eingebunden sind. Ein guter Weg, das Sicherheitsbewusstsein unter den Benutzern zu erhöhen ist, sie an den Security-Prozessen teilnehmen zu lassen und sie zu befähigen, Security-Vorfälle selbst und sofort verhindern bzw. beseitigen zu können."

Die wichtigsten Untersuchungsergebnisse für Deutschland & weltweit ( Ergebnisse in Klammern ) im Überblick:

· Die Gefahren von Social Engineering sind real - 84 Prozent (86 Prozent) der befragten IT- und Security-Profis sind sich der Risiken, die mit Social Engineering einhergehen, bewusst. Etwa 64 Prozent (48 Prozent) der befragten Unternehmen räumen ein, dass sie bereits Opfer von Social Engineering geworden sind.

· Social Engineering-Attacken sind teuer - 46 Prozent der befragten deutschen Unternehmen sind in den vergangenen beiden Jahren mehr als 25mal zu Opfern von Social Engineering-Methoden geworden. 71 Prozent der Studienteilnehmer gehen davon aus, dass die Kosten für jede einzelne Social Engineering-Attacke bei über 25.000 US-Dollar liegen. Darunter fallen auch Kosten, die durch Unterbrechung von Geschäftsabläufen, Mehraufwand für Kunden, Umsatzverlust und Imageschaden entstehen.

· Die gebräuchlichsten Methoden für Social Engineering - Phishing-E-Mails (47 Prozent) werden global als die am häufigsten verwendete Social Engineering-Methode genannt, gefolgt von Social Network-Sites, die Informationen zu Person und Beruf preis geben (39 Prozent) und ungesicherten, mobilen Endgeräten (12 Prozent).

· Finanzielle Bereicherung ist die Hauptmotivation für Social Engineering - Die Erlangung finanzieller Vorteile wurde in Deutschland mit 43 Prozent am häufigsten als Grund für Social Engineering-Angriffe genannt, gefolgt vom Zugriff auf vertrauliche Informationen (46 Prozent), der Erlangung von Wettbewerbsvorteilen (40 Prozent) und - mit bemerkenswerten 18 Prozent - Racheakten (14 Prozent).

· Neue Mitarbeiter sind am stärksten gefährdet - Den Untersuchungsergebnissen zufolge betrachten 45 Prozent der Befragten neue Mitarbeiter bei Social Engineering-Attacken als besonders gefährdet, gefolgt von Zulieferern/Drittanbietern (44 Prozent), der Assistenz der Unternehmensleitung (38 Prozent), der Personalabteilung (33 Prozent), Führungskräften (32 Prozent) und dem IT-Personal (23 Prozent). Unabhängig von der Funktion des Mitarbeiters innerhalb der Organisation sind folglich die Implementierung eines angemessenen Trainings und das Sicherheitsbewusstsein der Anwender erfolgskritische Komponenten einer jeden Security-Policy.

· Mangel an proaktivem Training zur Verhinderung von Social Engineering-Attacken - 40 Prozent der befragten Unternehmen in Deutschland haben keinerlei Mitarbeitertraining oder Security-Regeln für die Abwehr von Social Engineering-Methoden im Einsatz. Allerdings planen 25 Prozent der Studienteilnehmer, solche Mittel in Zukunft einzusetzen.

Die Studie "The Risk of Social Engineering on Information Security" wurde im Juli und August 2011 durchgeführt. Sie repräsentiert Organisationen aller Größen über verschiedene Marktsegmente hinweg, einschließlich Banken & Finanzen, Fertigungsindustrie, Wehrtechnik, Einzelhandel, Gesundheitswesen und Bildungssektor. (Check Point: ra)