soomz.io

Wie können wir dir helfen?

HIGH FIVE!

Vielen Dank für deinen Einkauf! Du erhältst in Kürze eine Kaufbestätigung per E-Mail.


Informiere deine Freunde ganz einfach und sicher über unsere smarten Produkte!
E-Mail an Freunde schicken

ARGH!

Der Kaufvorgang konnte nicht beendet werden. Bitte prüfe deine Eingaben und versuchs nochmals.
Schon wieder? Dann melde dich per Kontaktformular an unseren Helpdesk.

Nochmals probieren Kontaktformular

Schick uns deinen Clip

Social Engineering: Sicherheitslücke Mensch

Photo by Andrew Worley on Unsplash

Social Engineering ist keine Frage der Technik! Egal wie gut Unternehmen ihre Hardware und Software schützen – solange die Sicherheitslücke Mensch nicht mitgedacht wird, bleiben auch Alarmanlagen und Antivirenprogramme machtlos.

Vertrauen – die vielleicht schönste Eigenschaft des Menschen ist leider auch seine grösste Schwäche. Denn seit jeher erschleichen sich Trickbetrüger und Kriminelle das Vertrauen ihrer Opfer, um Zugang zu wertvollen Informationen zu erhalten. Der Begriff Social Engineering ("Soziale Manipulation") bezeichnet somit keineswegs eine neue Idee, sondern lediglich eine kriminelle Strategie, die sich seit den 80ern auch ihren Weg in die Cyber-Welt erschlichen hat

Soziales Hacking

Als eine der ersten Personen, die das Social Engineering auf die IT-Sicherheit übertrug, gilt der US-Amerikaner Kevin Mitnick. Mithilfe der Unachtsamkeit und dem Unwissen von Mitarbeitern drang der Hacker in die Computersysteme grosser Organisationen ein – unter anderem ins Netzwerk des US-Verteidigungsministeriums – und wurde deshalb mehrmals zu langen Haftstrafen verurteilt. In seinem Buch "The Art of Deception" (Die Kunst der Täuschung) betonte Mitnick, dass Social-Engineering-Methoden oft der einfachere Weg sind, um in komplexe Netzwerke einzudringen als technisch komplexe Cyberangriffe.


Leichte Beute

Um ohne Berührungspunkt in ein IT-System einzudringen, benötigt ein Hacker eine technische Lücke als Einfallstor und davon gibt es zwei Arten: die technische Infrastruktur und der Mensch, der diese bedient. Wer die Sicherheitslücke also in den Mitarbeitern statt in der Software und Hardware eines Unternehmens sucht, der wird meist schneller und einfacher fündig.

Dies beweist beispielsweise die Studie eines deutsch-luxemburgischen Forscherteams. Unter dem Titel "Trick with Treat" nutzten die Forscher unsere vielleicht einfachste Schwäche boten den Unwissenden Opfern nicht mehr als eine Tafel Schokolade als Belohnung, wenn diese ihnen als Gegenleistung ihre persönlichen Passwörter verrieten. Erschreckenderweise entschied sich fast die Hälfte der "Opfer" Zweite fürs Zückerchen – und verkaufte seine Privacy somit ganz bewusst und unbeschwert für einen kleinen Snack. Damit wird deutlich: Social Engineers hacken nicht die technischen Geräte, um ans Ziel zu gelangen, sondern unsere Emotionen.

Awareness statt Kontrolle

Doch wie sollen Unternehmen auf Social Engineering und die Sicherheitslücke Mensch reagieren? Schliesslich sollte ein guter Arbeitgeber seinen Mitarbeitern ein hohes Mass an Vertrauen schenken und ihnen nicht auf Schritt und Tritt hinterherspionieren. Die Lösung lautet Awareness. Denn nur wer seine Mitarbeiter für die Gefahren sensibilisiert und ihnen diese auf verständliche Weise näherbringt, schliesst die Sicherheitslücke Mensch nachhaltig. Die wenigsten Mitarbeiter würden das Büro verlassen, ohne den Computer auszuschalten oder die Türe abzuschliessen. Dass eine unbedachte Handlung im Cyberspace oder im Umgang mit Hardware weitaus schlimmere Konsequenzen haben kann, ist den wenigsten Arbeitnehmern bewusst.

Und Awareness beginnt zwar am Arbeitsplatz, greift aber bis tief ins Privatleben der Mitarbeiter. Wer seine Business-Mails auf dem Handy checkt, muss sich bewusst sein, dass auch dieses eine Zielscheibe für Angriffe sein kann – genauso wie der Laptop zuhause.

Photo by Matthew Henry on Unsplash

Lücken suchen, Lücken schliessen

So können beispielsweise regelmässige Workshops oder lebensnahe Life-Hackings den Mitarbeitern die Gefahren von gefakten Social Media Anfragen, Phishing, Passwort-Sicherheit und anderen digitalen und analogen Gefahrenquellen wie herumliegende Datenträger oder Trickanrufe aufzeigen. Zudem werden dadurch ein kollektives Sicherheitsbewusstsein und die Identifikation mit dem eigenen Unternehmen gefördert. Und wenn das gesamte Team (gut informiert) am gleichen Strang zieht, haben auch allfällige Saboteure schlechte Karten. Auch der Einsatz von Produkten kann Awareness schaffen: So schützt uns ein Antivirenprogramm nicht nur vor Bedrohungen aus dem Netz, sondern macht uns diese auch mit jeder Update-Meldung bewusst. Den gleichen Zweck verfolgen übrigens auch Hardware-basierte Schutzprodukte wie unsere Webcam-Cover, RFID-Schutzprodukte oder Blickschutzfolien.

Wo ein Wille ist, ist aber immer auch ein Weg – somit bleibt ein gewisses Restrisiko. Gerade darum führt kein Weg vorbei an regelmässigen und gründlichen Schwachstellenanalysen aller (!) potenziellen Einfallstore und einem umfassenden Sicherheitskonzept, welches über Antivirenprogramm und Sicherheitstüren hinausgeht.

Wir bringen dich zum Nachdenken!

Unsere Produkte bieten dir nicht nur Schutz vor Hackern, Skimmern und anderen Datendieben, sondern schaffen auch Awareness im Umgang mit technischen Geräten: Wer seine Webcam beispielsweise mit einem Webcam Cover schützt, nutzt seine Kamera viel bewusster. Darum werden unsere Abdeckungen von diversen Sicherheitsexperten des Bundes empfohlen und in der Jugendprävention eingesetzt:

"Das Tolle an diesem Webcam-Schutz ist, dass er mechanisch und daher gut sichtbar ist. Für Laien ist in der Regel nicht nachvollziehbar, was auf einem Computer oder Smartphone im Hintergrund läuft – das verunsichert. Dadurch kommt ein solch simpler, mechanischer Schutz gut an."

Rolf Nägeli, Chef des Kommissariats Prävention der Stadtpolizei Zürich