Kampf gegen Social Engineering
Der richtige Mix für mehr Sicherheit
Fortsetzung des Artikels von Teil 2
Sensibilisierung der Mitarbeiter
Neben den technischen Möglichkeiten wie etwa Mehr-Faktor-Authentifizierung, Verschlüsselung und gehärteten Containerlösungen sollten Unternehmen klar definierte Prozesse festlegen, die bei riskanten Geschäftsvorgängen wie dem Transfer hoher Geldbeträge unbedingt einzuhalten sind. Das kann ein zweiter Kontrollanruf beim stellvertretenden Geschäftsführer oder eine zusätzliche Bestätigung der Anweisung per E-Mail sein, die signiert und sicher verschlüsselt verschickt wird. Beide Maßnahmen schließen Social-Engineering-Betrügereien zwar nicht komplett aus, sie erhöhen jedoch die Hürden für Angreifer und verkleinern die Angriffsfläche der Unternehmen signifikant.
Mindestens genauso wichtig ist die Sensibilisierung der Mitarbeiter. Lange Vorträge zu halten führt in der Regel nur selten zum Ziel. „Learning by doing“ heißt die Devise: Geschäftsführer und Abteilungsleiter sollten zum Beispiel White Hat Hacker oder auf Sicherheit spezialisierte Dienstleister damit beauftragen, Social-Engineering-Angriffe gegen ihre Mitarbeiter zu fahren, um Schwachstellen offenzulegen. Die Erfolgsquote solcher Maßnahmen ist sehr hoch: Wer eine Social-Engineering-Attacke am eigenen Leib erfahren hat und darauf hereingefallen ist (oder aber Kollegen kennt, denen es so ging), wird beim nächsten Mal mehr Vorsicht walten lassen.
Anwenderfreundlichkeit bei Mobile Computing ein Muss
Gleichzeitig müssen die eingesetzten Sicherheitstechnologien bedienerfreundlich und komfortabel sein. Denn selbst die sicherste Lösung bringt nicht den gewünschten Erfolg, wenn die Endanwender sie als zu umständlich und zeitaufwendig empfinden und deshalb nicht nutzen.
Thomas Mayerhofer ist Lead Presales Consultant bei Virtual Solution,
www.virtual-solution.com.
- Der richtige Mix für mehr Sicherheit
- Wenn herkömmliche Security nicht reicht
- Sensibilisierung der Mitarbeiter
Lesen Sie mehr zum Thema
