Das beste Sicherheitskonzept zum Schutz vor Social Engineering

Klar ist: Es gibt keine Standard-Strategie, eine Art „Anti-Social Engineering-Blueprint“. Es ist entscheidend, die psychologischen Methoden der Angreifer zu durchschauen und die Mitarbeiter aufzuklären. Das ist die halbe Miete. Letztlich benötigt der gesamte Unternehmenskosmos ein integriertes IT-Security-Konzept, das hinsichtlich der aktuellen Risiken und Methoden permanent aktualisiert wird. Das Sicherheitskonzept und die dahinter liegende Sicherheitsphilosophie sollten bis zum letzten Mitarbeiter durchdekliniert werden, sodass Sicherheitsdenken im Unternehmen tief verankert ist. Die drei Kernfragen, die sich Unternehmen stellen müssen, lauten:

• Wie müssen sich externe Dienstleister, IT- und Nicht-IT, bei der Kontaktaufnahme legitimieren?
• Auf welche Art und Weise dürfen sensible Daten und Informationen Ihr Unternehmen überhaupt verlassen?
• Wer hat mit welchen Rechten Zugriff auf die Unternehmensinfrastruktur?

Die fünf wichtigsten Inhouse-Maßnahmen gegen Social Engineering

• Management für IT-Security und Strategien gegen Social Engineering begeistern. Das ist natürlich die Aufgabe des IT-Managements und ggf. des Datenschutzbeauftragten. Die Argumente für die Unternehmensleitung liegen auf der Hand: Soziale Manipulation sollte zu den Bausteinen des Risk Managements zählen – Risikovorsorge stützt die Organisation, senkt die Risiken, schützt vor Wirtschaftsspionage und hilft unnötige Kosten durch exogene Schocks  zu sparen.
  
  
• Mitarbeiter initial und fortlaufend schulen. Insbesondere für neue Mitarbeiter sollte eine Präventionsschulung im Bereich Social Engineering und soziale Manipulation zum Standard des Begrüßungspakets und der Einführungstage dienen. Jeder Mitarbeiter sollte verpflichtend in ein Sicherheitskonzept der IT-Sicherheit eingebunden sein.  Workshops zu Risiken des Social Engineerings  und Gefahren in sozialen Medien verbessern nicht nur die IT-Sicherheit im Unternehmen, sondern auch im privaten Bereich. Der persönliche Nutzen sollte zusätzlich herausgehoben werden, damit das Interesse zusätzlich ansteigt, vorsichtig zu agieren.
  
  
• Richtlinien erarbeiten, in Schriftform bringen und verteilen. Parallel zur regelmäßigen Schulung sollten Richtlinien erarbeitet werden, die jedem Mitarbeiter schriftlich – ob Print oder digital –zur Verfügung gestellt werden. Das richtige Verhalten sollte klar und präzise herausgearbeitet werden. Der Empfang der Guideline sollte verbindlich gegenbestätigt werden.

• Sicherheits-Architektur. Ein gut durchgedachtes Mitarbeiterkonzept wird durch die Einführung in die verwendete und möglichst zeitgemäße  IT-Sicherheitsarchitektur sowie Hardware und  Software komplettiert.
  
  
• Regelmäßige Check-Ups und Penetrationstests. Die IT-Verantwortlichen sollten in regelmäßigen, stichprobenartigen und unangekündigten Tests prüfen, ob die „humane Firewall“ gegen Social Engineering funktioniert. Dabei ist zu beachten, dass der Betriebsrat hier ggf. einbezogen werden sollte.