{"id":5613,"date":"2017-11-24T09:52:21","date_gmt":"2017-11-24T08:52:21","guid":{"rendered":"https:\/\/staging.blogs.yokogawa.de\/chemical-pharma\/unkategorisiert\/path-to-security-social-engineering\/"},"modified":"2022-06-17T07:53:03","modified_gmt":"2022-06-17T05:53:03","slug":"path-to-security-social-engineering","status":"publish","type":"post","link":"https:\/\/www.yokogawa.com\/eu\/blog\/chemical-pharma\/de\/path-to-security-social-engineering\/","title":{"rendered":"Path to Security \u2013 Social Engineering"},"content":{"rendered":"

Wir wissen, dass die Digitalisierung der Schl\u00fcssel zur Zukunft ist. Und ebenfalls, dass es eine riesige Wundert\u00fcte mit unbekannten Gefahren ist! Wie manipulierbar sind wir wirklich?<\/strong><\/p>\n

Faktor Mensch \u2013 Sind wir zu naiv?<\/strong><\/h2>\n

Eine der gro\u00dfen unbekannten Gefahren ist hier der Faktor Mensch. Die Psyche des Menschen ist ein sehr kompliziertes Konstrukt. Wir wissen manchmal selbst nicht, warum wir so handeln, wie wir eben handeln. Was die tats\u00e4chlichen verleitenden Motive sind. Doch unser Verhalten kann relativ simpel beeinflusst werden.<\/p>\n

Menschliche Neigung \u2013 Social Engineering<\/strong><\/h2>\n

Und genau das nutzen Cyber-Kriminelle unverfroren f\u00fcr Ihre Angriffe aus. Beim Social Engineering werden Zielpersonen durch subtile Methoden manipuliert. Folgend f\u00fchren diese Handlungen aus, die Sie ohne Zutun der Kriminellen nicht tun w\u00fcrden. In unserer Arbeitswelt hei\u00dft das konkret, Personen, die Zugang zu kritischen Daten in einem Unternehmen haben, werden so beeinflusst, dass sie u. U. die Zugangsinformationen an Externe weitergeben.<\/p>\n

Die bekanntesten Vorgehensweisen sind u.a.:<\/p>\n

Phishing<\/a><\/h3>\n

Hierbei versuchen Cyber-Kriminellen mit verschiedenen K\u00f6dern, meist E-Mails mit Anh\u00e4ngen nach sensiblen Daten der Betroffenen zu “angeln”. Dazu z\u00e4hlen Passw\u00f6rter, Bankdaten oder Unternehmensinformationen. Obwohl  wir alle diese dubiosen E-Mails kennen, klicken immer noch mehr als 10% der Betroffenen auf Links oder Anh\u00e4nge. Grund daf\u00fcr, ist die angeborene Neugier.<\/p>\n

Spear Phishing <\/a><\/h3>\n

Hierbei gehen Cyber-Kriminelle sehr organisiert vor. Methodisch durchdacht werden spezielle Organisationen “ausgesucht” bei denen dann Informationen abgegriffen werden sollen. Auch hier steht das E-Mail meist im Mittelpunkt, doch auch \u00fcber Social Media oder Telefon wird Kontakt aufgenommen. Die eben benannten dubiosen E-Mails kennen wir nur zur Gen\u00fcge und 9 von 10 Internetnutzer sind entsprechend sensibilisiert.<\/p>\n

Doch bei Spear Phishing ist den Cyber-Kriminellen genau das bewusst. Aufgrund der h\u00f6heren Sensibilisierung funktioniert es nur noch mit E-Mails<\/p>\n

    \n
  1. von Personen, denen wir vertrauen oder die vertrauensw\u00fcrdig sind oder<\/li>\n
  2. die mit bestimmten Angaben die Glaubw\u00fcrdigkeit erh\u00f6hen<\/li>\n
  3. die einen logischen Grund f\u00fcr die Preisgabe der Informationen erh\u00e4lt.<\/li>\n<\/ol>\n

    Vishing <\/a><\/h3>\n

    Hierbei werden E-Mails verschickt, in denen die Betroffenen aufgefordert werden eine bestimmte Telefonnummer zu w\u00e4hlen. Meist um Daten aus der E-Mail zu best\u00e4tigen. Einmal angerufen, sollen die gleichen Daten aus der E-Mail nochmals angegeben werden. In selteneren F\u00e4llen rufen die Cyber-Kriminellen im Namen vertrauensw\u00fcrdiger Personen aber auch direkt an. F\u00fcr wie sicher halten Sie Anrufe, bei denen Sie nach Ihren Passw\u00f6rtern oder Codes gefragt werden?<\/p>\n

    Smishing<\/a><\/h3>\n

    Hierbei versenden Cyber-Kriminelle SMS oder Textnachrichten, in denen die Betroffenen Links anklicken oder eine bestimmte Nummer w\u00e4hlen sollen. Der Erfolg dieser Methode liegt darin, dass wir einer SMS “mehr vertrauen” als einer E-Mail. Hier muss die Sensibilisierung noch st\u00e4rker erfolgen.<\/p>\n

     <\/p>\n

    Sind wir sensibel genug f\u00fcr die Vielzahl von \u201aCyber-Attacken\u2018?<\/strong><\/h2>\n

    Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik verweist auf die Wichtigkeit von Sensibilisierungsma\u00dfnahmen von Mitarbeitern \u2013 BSI Publikation Lagebericht 2017:<\/a><\/p>\n

    “Umfassender Schutz gegen Social Engineering kann nur durch kontinuierliche und in ein Gesamtkonzept eingebundene Sensibilisierungsma\u00dfnahmen erzielt werden.“<\/strong><\/p><\/blockquote>\n

    Laut der BSI<\/a>-Kurzumfrage “Wie wird am effektivsten ein Bewusstsein f\u00fcr Sicherheit geschaffen?” liegen Schulungen und Trainings mit 28%<\/strong> auf Platz zwei.<\/p>\n

    \n

    Auch in der letzten #ECSM<\/a>-Woche fragen wir gemeinsam mit @ANSSI_FR<\/a>: Wie wird am effektivsten ein Bewusstsein f\u00fcr Sicherheit geschaffen?<\/p>\n

    \u2014 BSI (@BSI_Presse) 27. Oktober 2017<\/a><\/p><\/blockquote>\n

    Sensibiliseren Sie Ihre Mitarbeiter auf Social Engineering-Methoden! Wir bieten hierzu ein Automation Security-Seminar<\/a>. Eine Anlage kann nur dann wirklich sicher sein, wenn auch die Mitarbeiter geschult sind.<\/p>\n

    Weitere Informationen zu anderen Seminaren<\/a> finden Sie hier<\/a>.<\/p>\n

    Zum Abschlu\u00df \u2013 Thema: Fake News<\/strong><\/h2>\n

    Viral werden absichtlich immer mehr falsche Nachrichten \u2013 Fake News \u2013 verbreitet. Ziel ist auch hier die Manipulation von Menschen. Mittels einer \u00f6ffentlichen Konsultation hat sich die Europ\u00e4ische Kommission f\u00fcr das kommende Jahr als Ziel gesetzt, alle B\u00fcrger im digitalen Zeitalter in Bezug auf \u201aFake News\u2018 aufzukl\u00e4ren. Mit wirksamen Instrumenten k\u00f6nnen wir somit erkennen, ob die Informationen aus einer zuverl\u00e4ssigen, sowie \u00fcberpr\u00fcften Quelle entstammen.<\/p>\n

    \n

    How are we tackling fake news?
    \nWe are setting up a up a High-Level Expert Group now open for applications, and our public consultation has been launched.     https:\/\/t.co\/6Amwg0YXJ5<\/a> #TackleFakeNews<\/a> pic.twitter.com\/OwcJBGR0e8<\/a><\/p>\n

    \u2014 European Commission (@EU_Commission) 13. November 2017<\/a><\/p><\/blockquote>\n

    Security ist ein Thema, das die gesamte Organisation angeht.<\/strong>
    \n Wir informieren Sie gerne dar\u00fcber, wie Sie ein ganzheitliches Sicherheitskonzept realisieren, um Ihre komplette Organisation zu sch\u00fctzen.<\/strong><\/p>\n

    Sind Sie schon mal privat Opfer geworden? Kennen Sie diese “Maschen”? Oder sind Sie bereits sensibilisert? Schreiben Sie uns. Wir freuen uns auf Ihre Anmerkungen.<\/p>\n

    Mehr spannende Beitr\u00e4ge zum Thema “Security”<\/a> finden Sie hier<\/a>.<\/p>\n

    \n

    Serie “Path to Security”:<\/strong><\/p>\n