Markus H., Systemadministrator bei einem Finanzinstitut, wacht mit einem "Filmriss" auf. Er hatte in seiner Stammkneipe einen heißen Flirt mit einer Frau und diese mit nach Hause genommen. Dort hatte die Frau H. jedoch KO-Tropfen verabreicht, sich an seinem PC die Zugangsdaten für das Firmennetzwerk verschafft und wichtige Kunden- und Kontoinformationen gestohlen.
Social Engineering ist ein ernstes Problem
So ähnlich könnte eine Social-Engineering-Attacke ablaufen, über die Kriminelle an sensible Firmeninformationen kommen. Die Angreifer nutzen menschliche "Schwächen" wie Hilfsbereitschaft, Freundlichkeit, Dankbarkeit, Gutgläubigkeit oder Liebesbedürfnis gnadenlos aus. Auch vor Bestechung schrecken sie nicht zurück. Genau diese Art des Datenklau wird für Unternehmen inzwischen immer mehr zum Problem.
Das hat Check Point, ein US-Anbieter von Sicherheitslösungen, in seiner weltweit durchgeführten Studie "The Risk of Social Engineering on Information Security" herausgefunden. Die Ergebnisse sind alarmierend. 48 Prozent der befragten Firmen weltweit waren bereits einmal Opfer eines Social-Engineering-Angriffs, in Deutschland sogar 64 Prozent der Betriebe. 48 Prozent (Deutschland: 46 Prozent) haben in den vergangenen zwei Jahren sogar 25 oder mehr Attacken auf die "Schwachstelle Mensch" hinnehmen müssen, in Deutschland waren es mit 46 Prozent etwas weniger.
Angriffe per Phishing-Mail und über soziale Netzwerke
Eine Ursache für den starken Anstieg von Social-Engineering-Angriffen liegt der Studie zufolge in der weiten Verbreitung und regen Nutzung von Web-2.0- und Social-Media-Angeboten sowie in ungesicherten mobilen Endgeräten. Das mache es Angreifern leicht, an die Informationen ihrer Zielpersonen heranzukommen, deren Schwachstellen auszunutzen und Attacken erfolgreich durchzuführen.
Als die am häufigsten angewandte Social-Engineering-Methode nannten 47 Prozent der befragten Firmen Phishing-Mails. Es folgen mit 39 Prozent soziale Netzwerke, die Informationen zu Person und Beruf preisgeben, und ungesicherte mobile Endgeräte mit einem Anteil von zwölf Prozent.
Pro Vorfall mehr als 100.000 Dollar Schaden
Werden wichtige Geschäftsdaten geklaut, beschädigt das nicht nur das Firmenimage schwer, sondern es entsteht auch ein immenser finanzieller Schaden. 48 Prozent der Studienteilnehmer bezifferten die Folgekosten für eine einzige Social-Engineering-Attacke Kosten auf über 25.000 US-Dollar. 19 Prozent hatten pro Incident sogar Verluste von mehr als 100.000 Dollar. Unter die Folgekosten fallen die Unterbrechung von Geschäftsabläufen, der Mehraufwand für Kunden, Umsatzverluste und der Imageschaden.
Die Hauptmotive für die Angriffe sehen etwas mehr als die Hälfte der Befragten (Deutschland: 43 Prozent) in der Aussicht auf finanzielle Vorteile und 46 Prozent im Zugriff auf vertrauliche Informationen. 40 Prozent gaben Wettbewerbsvorteile als Kernmotiv an und immerhin 14 Prozent Rachegelüste.
Neue Mitarbeiter besonders anfällig
60 Prozent (Deutschland 45 Prozent) der befragten Firmen halten neue Mitarbeiter, externe Dienstleister und Zulieferer für besonders anfällig für Social-Engineering-Attacken. Diese seien möglicherweise mit den jeweiligen Sicherheitsregeln des Unternehmens nicht umfassend vertraut sind. Innerhalb der Betriebe sind vor allem folgende Personengruppen gefährdet: Geschäftsführung, IT- und HR-Mitarbeiter und die Assistenz der Geschäftsführung.
Für die Studie befragte der Sicherheitsanbieter über 850 IT- und Sicherheitsprofis in Firmen aller Branchen aus Australien, Deutschland, Großbritannien, Kanada, Neuseeland und den USA. Davon kamen 80 Untersuchungsteilnehmer aus Deutschland.