24. Oktober 2024
Die Ausbildung wird immer digitaler und durch die rasanten KI-Entwicklungen entstehen fortlaufend neue IT-Sicherheitsanforderungen. Deshalb ist es wichtig, dass Ausbildungsverantwortliche und Auszubildende sowohl für die Risiken digitaler Medien als auch den sachgerechten Umgang mit Unternehmensdaten sensibilisiert werden. Worauf es ankommt, haben wir in unserem Q 4.0 Work „Sicherheitsrisiko Mensch: Schutz vor Social Engineering Angriffen in der Ausbildung“ mit unserem IT-Experten Henning Hinck diskutiert.
„Faktor Mensch“ als Schwachstelle
Henning Hinck, Bereichsleiter und Stabsstelle Digitalisierung in einer Berufsbildungsgesellschaft und freiberuflicher IT-Consultant, illustrierte an Praxisbeispielen, dass Cyberattacken darauf ausgelegt sind, Schwachstellen auszumachen und auszunutzen. Bei den Schwachstellen handelt es sich nicht immer um technische Gegebenheiten, sondern zunehmend um den Menschen selbst.
Häufig sind es die Unwissenheit über Risiken oder die Unaufmerksamkeit im oft hektischen Betriebsalltag, die zu Sicherheitslücken führen. Der „Faktor Mensch“ spielt daher eine zentrale Rolle. Auszubildende für die nötige Sorgfaltspflicht im Umgang mit digitalen Medien, personen- und geschäftsbezogenen Daten zu sensibilisieren sowie im Erkennen von Social Engineering zu schulen, sollte daher in der Ausbildung stets mitgedacht werden.
IT-Sicherheit als das Hightech-Thema Nummer eins
Unsere „smarte Welt“ wird digitaler und vernetzter, sodass berufliche und private Lebensbereiche immer mehr miteinander verschmelzen. Dies gilt auch für die Daten, die wir täglich produzieren, verarbeiten und kommunizieren. Vermutlich nutzen auch Sie tagtäglich Ihr Smartphone und Ihren Computer für berufliche sowie private Zwecke, sind auf LinkedIn, Facebook oder Instagram unterwegs oder nutzen vielleicht auch schon Apps zur Steuerung Ihres „smart Homes“. Selbst der Verkehr, Fabriken oder das Gesundheitssystem funktionieren zunehmend „smart“ und digital (s. Abbildung, Präsentation von Prof. Dipl.-Ing. Heinz Kraus (THM)).
Dieser Trend ist zwar mit vielen Vorteilen verbunden, eröffnet aber gleichzeitig neue Möglichkeiten, um an vertraulichen Daten zu gelangen. Daher landet das Thema IT-Sicherheit bei den wichtigsten Technologie- und Markttrends aus Sicht der Digitalbranche auch auf Platz 1 (Bitkom-Branchenbarometer 1. Halbjahr 2018), schließlich betrifft IT-Sicherheit jeden, sodass Cybercrime sowohl auf der privaten als auch auf der Unternehmensebene großen Schaden anrichten kann. Gerade in Unternehmen entstehen die Schäden zu 80% durch den Faktor Mensch, aus Unwissenheit oder aus Unachtsamkeit, so unser IT-Experte Henning.
Auch Sie selbst haben über Ihre Mailadresse bestimmt schon zahlreiche Mails oder Nachrichten von angeblich reichen Prinzen aus dem Ausland (Baiting), PayPal, Amazon o. Ä. erhalten, die sich als Betrugsversuch entpuppt haben. Einige dieser Versuche waren dabei vielleicht für Sie offensichtlich gefälscht, während Sie auf andere fast hereingefallen wären. So verwundert es kaum, dass Henning in unserem Q 4.0 Work davon berichtete, dass ca. 38 Mio. Identitäten jeden Monat geleakt werden.
Social Engineering – Was steckt dahinter?
Beim Social Engineering werden Eigenschaften des Menschen, wie etwa Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten ausgenutzt, um diese gezielt zu manipulieren. Cyberkriminelle bringen die Betroffenen auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Geldüberweisungen zu tätigen oder Schadsoftware auf ihren persönlichen oder beruflichen Geräten zu installieren. Ähnlich wie beim Trickbetrug an Ihrer Haustür nutzen Cyberkriminelle die Vortäuschung einer persönlichen Beziehung oder machen verlockende Gewinnversprechen (BSI - Social Engineering – der Mensch als Schwachstelle)
Es gibt dabei vielfältige Angriffsmöglichkeiten und -methoden. Das Erkennen und Aufdecken der Angriffe ist häufig eine Herausforderung, der Verdunklungsgrad hoch und die Realisierung von Betrugsversuchen verhältnismäßig hoch. Umso wichtiger ist daher eine Sensibilisierung aller Mitarbeitenden und damit auch der Auszubildenden. Eine rasche Meldung und die Abkehr von der Fehler- und Schuldkultur seien dabei das A und O, so Henning. Gerade Azubis sind zwar Digital Natives, also mit der digitalen Welt und dem Umgang mit digitalen Technologien vertraut, allerdings sind der Arbeitskontext und damit verbundene IT-Verhaltensweisen neu für die jungen Menschen.
Wenn zum Beispiel aus Unwissenheit oder Unachtsamkeit ein gefälschter Link geklickt wird oder in einem vermeintlich betriebsinternen Telefonat Anmeldedaten weitergegeben werden, dann fällt dies zunächst vielleicht gar nicht auf oder ihre Azubis wollen vor dem Hintergrund möglicher Konsequenzen diesen Fehler nicht ansprechen, so unser IT-Experte Henning. Cyberkriminelle machen sich genau dies zu Eigen, indem sie sich beispielsweise als Vorgesetzte oder Mitarbeitende der IT-Abteilung ausgeben (Pretexting) und so versuchen an sensible Daten zu kommen.
Social Engineering – Wie kann das aussehen?
Die Methoden der Cyberangreifer sind vielfältig und wandeln sich rasant schnell. Sie reichen von Baiting über Pretexting und Reverse Social Engineering bis hin zu Phishing und Vishing.
Phishing
Eine weit verbreitete Form des Social Engineering ist das Phishing – der Versand betrügerischer Mails, die zur Herausgabe von Daten, Passwörtern oder der Installation von Malware auffordern. Nahezu jede dritte unerwünschte E-Mail – sei es Werbung, vermeintliche Gewinnbenachrichtigungen oder ein Newsletter– enthält einen Phishing-Versuch. Beim Phishing führt die Masse der Streuung zum Erfolg. Manche dieser E-Mails sind leichter identifizierbar, beispielsweise aufgrund von fehlender, unpassender oder falscher Anrede, vielen Rechtschreibfehlern oder Link-Adressen, die klar als unseriös erkennbar sind. Andere wiederum sind kaum zu erkennen, da das Corporate Design, einschließlich Logo, Farbgebung und Schriftart der jeweiligen Organisation täuschend echt imitiert wurde (BSI - Passwortdiebstahl durch Phishing E-Mails).
Zusätzlich zum massenhaften Versenden von Phishing-E-Mails wird zunehmend auch das sogenannte Spear Phishing eingesetzt. Hierbei werden die E-Mails gezielt für kleinere Gruppen oder einzelne Personen erstellt, wodurch die Wahrscheinlichkeit eines Erfolgs erheblich steigt. (BSI - Social Engineering – der Mensch als Schwachstelle).
Sie möchten herausfinden, wie fit Sie im Erkennen von echten vs. Phishing-Mails sind oder suchen nach einem Hilfsmittel für Ihre Azubis, damit diese ihr Wissen testen können? Dann hilft Ihnen das Phishing-Quiz von Google weiter.
Achtung KI - Vishing
Beim Vishing handelt es sich um Telefonanrufe, meist mittels KI generierter Stimmen (https://elevenlabs.io/). Das Ziel ist auch hier die Herausgabe von sensiblen Daten wie Passwörtern oder Bankdaten etc. Auch Videoanrufe können mittels KI-Tools, wie zum Beispiel heygen, gefälscht werden, sofern die Cyberkriminellen über ausreichend Video- und Tonmaterial von der nachzuahmenden Person verfügen.
Doch welche Möglichkeiten gibt es, um sich selbst und Ihre Azubis vor Social Engineering Angriffen zu schützen?
Social Engineering – Wie können Sie sich und Ihre Azubis schützen und das Thema praxisnah vermitteln?
Das Wichtigste ist, wie eingangs bereits dargelegt, die Sensibilisierung und ein verantwortungsvoller Umgang mit persönlichen Informationen (ergo Datensparsamkeit). Darüber hinaus stehen Ihnen viele technische Hilfsmittel zur Verfügung. So etwa die zweistufige Authentifizierung (2FA). Hierbei wird ein zusätzlicher Identitätsnachweis für den Zugriff gefordert, so beispielsweise per SMS, Anruf, App oder mittels eines FIDO2 Sticks.
Außerdem ist es immer empfehlenswert, wenn Sie sich die Identität Ihres vermeintlichen Gegenübers verifizieren lassen. Dies kann beispielsweise über eine eher persönliche Nachfrage zu der vermeintlichen Person geschehen.
Auch die Verschlüsselung von Daten (Kryptografie) oder die Nutzung von Software oder Messengern, die von vorneherein mit Verschlüsselung arbeiten, sowie eine einheitliche IT-Sicherheitsstrategie Ihres Unternehmens sind empfehlenswert.
Zudem können Sie sogenannte Leak Checker nutzen, um mithilfe Ihrer Mailadresse zu überprüfen, ob Ihre persönlichen Daten bereits im Internet veröffentlicht wurden:
Tool: https://ilc.hpi.de/
Fazit: Sensibilisierung und Schulung von Azubis
Social Engineering ist allgegenwärtig und betrifft uns alle, also auch Ausbilder:innen und Auszubildende. Die Methoden der Cyberangreifer sind vielfältig, werden zunehmend schwerer zu erkennen und wandeln sich rasant. Entsprechend wichtig sind die Sensibilisierung und Schulung von Mitarbeitenden und Auszubildenden – hierbei gibt es hilfreiche Tools um das eigene Wissen zu überprüfen, wie in diesem Blog vorgestellt wurde. Nicht zuletzt lohnt sich natürlich auch ein Blended-Learning-Training für Ausbilder:innen, wie zum Beispiel eines unserer Q 4.0 Trainings.