Beiträge

Social Engineering: Die unterschätzte Gefahr

Der Zugriff auf sen­si­ble, schüt­zens­wer­te und für das Unternehmen ele­men­tar über­le­bens­wich­ti­ge (“intel­lec­tu­al pro­per­ty”) Daten will kon­trol­liert, gesteu­ert und geschützt sein, um den Bestand der Unternehmung nicht zu gefähr­den. Kommerzielle Schäden (Umsatzrückgang auf­grund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das gerin­ge­re Übel, wenn sol­che Daten “abhan­den kom­men”. Vielmehr kann geziel­te Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grund­le­gend den Fortbestand des Unternehmens gefähr­den, wenn intel­le­cu­tal pro­per­ty zum Mitbewerb wan­dert.

Unternehmen fokus­sie­ren daher auf IT-Sicherheit und geben gemäß einer Studie von Statista allein in Deutschland in 2019 voraussichtlich rund 1,4 Milliarden Euro aus.

Das senkt die Wahrscheinlichkeit des tech­ni­schen Einbruchsversuchs, denn wie im wirk­li­chen Leben auch zie­hen Einbrecher lie­ber wei­ter zum nächs­ten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesi­chert ist.

Vergessen wird jedoch gern, dass tech­ni­sche Zugänge ja nicht der ein­zi­ge Weg sind, auf die­se schüt­zens­wer­ten Daten zuzu­grei­fen. Denn wenn Ihr Unternehmen nicht zufäl­li­ges und belie­bi­ges Ziel einer Diebesbande ist, son­dern Ihre Daten ganz kon­kre­tes Ziel geplan­ter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, wer­den Angreifer nicht locker las­sen, um an Ihre infor­ma­tio­nel­len Kronjuwelen zu gelan­gen. Sie wer­den ande­re Angriffswege wäh­len, wenn Hacker tech­nisch nicht wei­ter­kom­men und an den tech­ni­schen Sicherheitsmaßnahmen Ihrer Organisation schei­tern.

Angriffssziel wer­den dann die MitarbeiterInnen Ihrer Organisation, die durch geziel­te und geschick­te Manipulation dazu bewegt wer­den, Daten her­aus­zu­ge­ben, Credentials preis­zu­ge­ben oder Angreifern Türen auf­zu­ma­chen, die durch Technik bis­her gut gesi­chert und ver­schlos­sen waren.

Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeut­sams­ten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für die­ses Thema beim Aufbau eines ganz­heit­li­chen Ansatzes zum Schutze die­ser sen­si­blen Unternehmensdaten ist jedoch aus unse­rer Erfahrung immer noch viel zu gering.

Wir freu­en uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker ein­ge­la­den hat und wir auf der DOAG Konferenz 2019 in Nürnberg über die­ses wich­ti­ge Thema der Informationssicherheit spre­chen dür­fen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die füh­ren­de ORACLE Fachkonferenz, auf der das Thema tech­ni­scher Sicherheit von Daten(banken) in den letz­ten Jahren aus genann­ten Gründen zuneh­mend an Bedeutung gewon­nen hat.