DE
Haben Sie Fragen? +43 3172 67715

Newsreader
von Harald Schenner
(Kommentare: 0)

Quickinfo

Proofpoint Studie (PDF)

Weniger als 1% der Angriffe nutzten technische Schwachstellen

Aktuelle Proofpoint-Studie zeigt: "Risikofaktor Mensch" bei fast 100% der Angriffe ursächlich

Man möchte fast meinen, da ist "Hopfen und Malz" verloren - beinahe 100% der Angriffe nutzen die Schwachstelle Mensch. Und noch immer wird dagegen (fast) nichts unternommen - zumindest nichts, was den Kern trifft.

Was meine ich damit?

Unternehmen rüsten sich auf technischer Seite mit entsprechenden Tools und entsprechender Hardware: Firewalls, Antiviren- und Internet-Security-Programme, Layer7-/Application-Filter, Next-Generation-Schieß-mich-tot-Produkte, und noch vieles mehr. In der Hoffnung, dass das Problem damit behoben sei, werden auf diesem Sektor viele Tausend Euro ausgegeben (je nach Unternehmensgröße bis zu einigen Hunderttausend Euro).

Und, hat's geholfen? Nö - kann es gar nicht.

Jedesmal, wenn der Mensch aktiv zu etwas "JA, ich will" sagt, tut sich die Technik schwer. Und vieles ist technisch überhaupt nicht abfangbar, weil es ein organisatorisches Thema ist.

CEO-Fraud

"Business eMail Compromise" (BEC)

Beispiel CEO-Fraud

Fraud steht für englisch "Betrug, Täuschung, Fälschung" und der CEO (Chief Executive Officer) ist der Geschäftsführer. Wobei der Geschäftsführer synoym auch für andere im Unternehmen beschäftigte Führungskräfte stehen kann. Der Trick basiert dabei nicht auf technischen Schwachstellen, sondern nur auf "menschlichem und organisatorischem Versagen".

Einfach erklärt, funktioniert dieser Betrug wie folgt:

Betrüger senden an ein eMail beispielsweise an die Buchhaltung (entweder über eine gefälschte eMail-Adresse oder sie haben vielleicht sogar Zugang zum Postfach des Unternehmens) mit der Aufforderung, eine hohe Zahlung anzuweisen - meist auf ein Konto im Ausland. Zudem wird meist um Verschwiegenheit gebeten, da hier ein neues Geschäft vorbereitet würde (oder ähnliches), und der Absender (der vermeintliche Chef) nur der Empfänger-Person trauen würde, ... bla, bla, bla
Dabei werden mit psychologischen Methoden die Muster, Bedürfnisse und Wünsche der Menschen "getriggert", sodass sogar diejenigen Menschen darauf heranfallen, die es eigentlich besser wissen müssten. So simpel ist es!

Es gibt viele Beispiele, die in den letzten Jahren in den Medien aufgeziegt wurden, um nur ein paar zu nennen:
Facebook & Google: 120 Mio. €
FACC (Österreich): 50 Mio. €
Leoni AG (Deutschland): 40 Mio. €
Pathé (Niederlande): 21 Mio. €
Bäckereikette Hofpfisterei (Deutschland): 1.9 Mio. €
... und die Dunkelziffer auch im KMU-Bereich ist enorm

Bei diesem Angriff kann KEINE Technik helfen!

Was hilft?

Schulung der MitarbeiterInnen

Na, super - wir sind also alle verloren?

Nein, es gibt ein Rettungsboot, auf das wir Sie herzlich einladen!

Schulen Sie Ihre MitarbeiterInnen!

Aber, Achtung: machen Sie es richtig!

Zeigen Sie die Gefahren auf, durchforsten Sie selbst Ihre Vorgänge im Unternehmen und sondieren Sie kritisch etwaige Risiken. Erklären Sie psychologische Prinzipien der Manipulation, machen Sie beispielhafte Übungen dazu, damit die Vorgehensweise erlebbar wird. Bringen Sie Ihre MitarbeiterInnen dazu, wie ein Social Engineer zu denken, um mit diesem Blick und dem Wissen und Können auf die eigenen Betriebsvorgänge zu schauen. Schulen Sie Kritikfähigkeit - und schaffen die Basis im Unternehmen, dass dies zugelassen wird.

Es bedarf manchmal auch entsprechender Veränderung der Unternehmenskultur oder im Führungsverhalten: wer seinem Chef nicht widersprechen darf, wird ungeprüft überweisen!

Zurück

Copyright 2020. All Rights Reserved.