Kriminelle nutzen Social Engineering über soziale Netzwerke immer effektiver für „soziale Angriffe“ auf Unternehmen. Dagegen helfen keine technischen Sicherheitslösungen. Vielmehr sind klare Richtlinien für Mitarbeiter und Maßnahmen zur Sensibilisierung nötig, um Betriebsgeheimnisse vor Spear-Phishing zu schützen.

Mit einer vernünftigen Firewall, aktuellem Spam- und Virenschutz sollte mein Unternehmen doch ausreichend gegen Cyberbedrohungen geschützt sein, oder?! Eine Fehleinschätzung. Nach dem aktuellen 2018 Data Breach Investigation Report von Verizon waren im letzten Jahr 17 % der Cyberattacken „soziale Angriffe“, denen in irgendeiner Form eine Kontaktaufnahme an oder Informationsbeschaffung über Mitarbeiter des Unternehmens vorangegangen war – die Attacken durch Spear-Phishing bergen erhebliche Risiken.

Cyberkriminelle müssen keine ausgebuffte Hacker oder Code-Experten sein. Mithilfe von Social Engineering lassen sich die „Erfolgsquoten“ auch von relativ einfachen Phishing-Mails deutlich steigern. Statt eines Massenmailings suchen sich die Angreifer gezielt ihre Opfer aus. Angriffe werden teils über Wochen akribisch vorbereitet. Dabei geht es natürlich ums Geld: Mitarbeiter sollen dazu bewogen werden, eine Überweisung ins Ausland zu tätigen, oder sie plaudern ungewollt Betriebsgeheimnisse aus, die dann bei der Konkurrenz landen.

Cyberkriminelle lieben soziale Netzwerke

Neben klassischem Social Engineering per Telefon oder an der Raucherecke vor dem Gebäude nutzen Cyberkriminelle mit Vorliebe auch soziale Medien, um Angriffe vorzubereiten. Dafür muss das Unternehmen selbst gar keine eigene Unternehmensseite im Social Web vorhalten – die Mitarbeiter sind längst mit ausführlichen Profilen in den Netzwerken vertreten. Nie war es einfacher, relevante Ansprechpartner aus der Geschäftsführung, der Buchhaltung oder der Entwicklungsabteilung mit Name und genauer Positionsangabe zu recherchieren. Kennt man das Schema, mit dem im jeweiligen Unternehmen die E-Mail-Adressen gebildet werden, reicht das meist schon, um einen typischen „CEO-Fraud“ zu initiieren.

Auch BSK war schon Ziel, glücklicherweise aber kein Opfer einer solchen Spear-Phishing-Attacke mit individualisierten E-Mails. „Hallo Anna, wie hoch ist unser Kontostand? Wir müssen heute noch eine Überweisung tätigen“, lautete die zunächst unverdächtige E-Mail an unsere Buchhalterin. Absender war augenscheinlich unser Geschäftsführer. In unserem Fall scheiterte der Angriff noch vor der Beantwortung – dank umfassender Sensibilisierung unserer Mitarbeiter für solche Attacken.

Mitarbeiter suchen Anerkennung

Schwieriger sind die Fälle, in denen versucht wird, über die gezielte Interaktion in beruflichen sozialen Netzwerken Betriebsgeheimnisse abzugreifen. Experten einer bestimmten Fachrichtung tauschen sich über soziale Medien aus, diskutieren Problemstellungen oder Forschungsergebnisse. Das ist ein echter Gewinn für alle Beteiligten, solange die Gefahren nicht ausgeblendet werden. Die Grenzen zur Preisgabe von Betriebsgeheimnissen können hier nämlich fließend verlaufen, insbesondere wenn die Angreifer dem Ansprechpartner die Anerkennung geben, die ihm im eigenen Unternehmen verwehrt bleibt. Die Mitarbeiterzufriedenheit ist deshalb ein wichtiger Risikoindikator, wie anfällig das eigene Unternehmen potenziell für Social Engineering ist.

Verbot der Social Media Nutzung ist keine Lösung

Was also können Unternehmen tun, um Social Engineering über die sozialen Netzwerke zu verhindern? Ein Verbot der Nutzung ist keine Lösung, zumal sich der Einflussbereich des Arbeitgebers sowieso nur auf Profile erstrecken würde, die explizit im Rahmen der beruflichen Tätigkeit genutzt werden. Der kollegiale Austausch, aber auch die Positionierung von Mitarbeitern als Experten im Social Web und als Markenbotschafter des Unternehmens sind ja alles gewünschte, sehr positive Effekte der Social-Media-Nutzung. Im Gegenteil – wir empfehlen Unternehmen im Rahmen von Kommunikationsstrategien zur Unternehmens- und Produktkommunikation sogar ausdrücklich, die sozialen Netzwerke als Kommunikationskanal mit einzubeziehen. Wie aber bewältigt man die Sicherheitsherausforderungen, die mit der Nutzung einhergehen?

Klare Richtlinien und Sensibilisierung der Mitarbeiter

Was hilft sind nur klare Richtlinien und eine Sensibilisierung der Mitarbeiter. Eine umfassende Social-Media-Richtlinie für die Mitarbeiter zeigt die Grenzen auf, was gepostet werden darf und was als Betriebsgeheimnis nicht außerhalb des Unternehmens diskutiert werden sollte. Ein professionelles Social-Media-Monitoring überwacht die Einhaltung der Richtlinie.

Im Rahmen von Social-Media- oder Cybersecurity-Schulungen sollten Mitarbeiter außerdem dafür sensibilisiert werden, wie Cyberkriminelle Social Engineering in den sozialen Netzwerken nutzen, um Informationen für gezielte Malware-Attacken zu gewinnen oder Industriespionage zu betreiben.

Gegen Social Engineering im Social Web helfen also weder Anti-Spam-Lösungen, Virenschutz noch Firewalls. Der beste Schutz gegen Spear-Phising und die Preisgabe von Betriebsgeheimnissen sind zufriedene, aufgeklärte Mitarbeiter.