Redwood City, Kalifornien/Wien (pts008/27.09.2011/09:05) – Die auf Sicherheitslösungen spezialisierte Check Point® Software Technologies Ltd. (Nasdaq: CHKP) stellt die Ergebnisse einer neuer Security-Studie vor, die bei weltweit mehr als 850 IT- und Security-Experten durchgeführt wurde. Danach sind 48% der befragten Unternehmen bereits Opfer sogenannter Social Engineering-Attacken geworden und haben in den vergangenen beiden Jahren 25 oder mehr solcher Angriffe hinnehmen müssen, die nach eigener Einschätzung pro Vorfall mit Folgekosten von 25.000 bis 100.000 US-Dollar verbunden waren. Der Report „Die Risiken von Social Engineering für die Informationssicherheit“ („The Risk of Social Engineering on Information Security“) zeigt auf, dass Phishing- und Social Networking-Tools die gängigsten Mittel für den gezielten Missbrauch menschlicher Schwächen sind – für die betroffenen Organisationen Grund genug, zur Absicherung ihrer sensitiven Daten künftig auf eine starke Kombination aus Technologie und hohem Anwenderbewusstsein zu setzen.
Von Social Engineering spricht man dann, wenn ein Angreifer, z.B. für Zwecke der Wirtschaftsspionage, menschliche Eigenschaften ausnutzt, um sich unrechtmässig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen und das schwächste Glied in der Organisation zu identifizieren, nutzen Hacker eine Vielzahl von Techniken und Social Networking-Applikationen. Der in Deutschland, den USA, Kanada, Grossbritannien, Australien und Neuseeland durchgeführten Check Point-Studie zufolge betrachten 86% der Unternehmen das Thema Social Engineering als ernstes, wachsendes Problem. Dabei stellen 51% der Befragten fest, dass die Aussicht auf finanzielle Vorteile die Hauptmotivation der Angriffe ist, gefolgt vom Erlangen von Wettbewerbsvorteilen und Rachemotiven.
„Die Untersuchungsergebnisse belegen, dass knapp die Hälfte der Unternehmen wissen, dass sie bereits Opfer von Social Engineering-Attacken geworden sind“, sagt Christian Fahlke, Country Manager Schweiz und Österreich von Check Point. „Das ist schockierend. Doch ebenso beunruhigend wie die tatsächlichen Attacken ist, fast ein Viertel der befragten Organisationen in diesem Punkt nichts ahnend bzw. nicht sicher ist, also deutlich zu wenig Sicherheitsbewusstsein vorhanden ist.“
Weg von der Technologieansammlung, hin zum effektiven Geschäftsprozess
Social Engineering-Techniken zielen darauf ab, die Schwachstellen der betroffenen Personen auszunutzen. Die starke Verbreitung von Web 2.0 und Mobile Computing machen es den Angreifern immer leichter, an die entsprechenden Informationen zu ihren Zielpersonen heranzukommen und bilden neue Einfallstore für die erfolgreiche Ausführung von Attacken. Mit 60% werden neue Mitarbeiter und externe Dienstleiser oder Zulieferer (44%), die möglicherweise mit den Sicherheitsregeln des Unternehmens nicht umfassend vertraut sind, von den befragten Organisationen als besonders anfällig für Social Engineering-Methoden angesehen, gefolgt von der Geschäftsführungsassistenz, der Personalabteilung und dem IT-Personal.
„Am Ende des Tages haben die Menschen einen ganz entscheidenden Anteil an der Sicherheit der Unternehmensdaten“, so Fahlke. „Sie können von Kriminellen getäuscht und zu Fehlern verleitet werden, die zu Infektionen mit Schadsoftware und unbeabsichtigtem Datenverlust führen. Obwohl die Mitarbeiter im realen Arbeitsalltag oft die erste Verteidigungslinie bilden, achten viele Organisationen nicht ausreichend drauf, dass ihre Anwender in das Thema Datensicherheit eingebunden sind. Ein guter Weg, das Sicherheitsbewusstsein unter den Benutzern zu erhöhen ist, sie an den Security-Prozessen teilnehmen zu lassen und sie zu befähigen, Security-Vorfälle selbst und sofort verhindern bzw. beseitigen zu können.“
Um das Mass an Schutz zu erreichen, das in heutigen IT-Umgebungen erforderlich ist, muss sich Security von einer Ansammlung diverser Technologien weg und hin zu einem effektiven Geschäftsprozess entwickeln. Check Point 3D Security unterstützt Unternehmen bei der Realisierung eines umfassenden Security-Konzepts, das über reine Technologie hinaus geht und vor allem auch die Mitarbeiter schult und in die erforderlichen Prozesse einbindet.
„Genauso gut, wie Menschen Fehler machen und Datenschutzverstösse im Unternehmen verursachen können, können sie auch eine positive, wichtige Rolle bei der Minimierung von Risiken spielen“, erläutert Fahlke den Check Point-Ansatz. „Mit UserCheck bieten wir hierfür eine besondere Technologie, mit deren Hilfe die Mitarbeiter bei der Nutzung von Unternehmensnetzen, Daten und Applikationen über die Richtlinien der Organisation informiert und entsprechend geschult werden – das hilft den Unternehmen dabei, die Häufigkeit von Social Engineering-Attacken und die damit verbundenen Risiken und Kosten signifikant zu reduzieren.“
Die wichtigsten Untersuchungsergebnisse im Überblick:
- Die Gefahren von Social Engineering sind real – 86% der befragten IT- und Security-Profis sind sich der Risiken, die mit Social Engineering einhergehen, bewusst. Etwa 48% der befragten Unternehmen räumen ein, dass sie bereits Opfer von Social Engineering geworden sind.
- Social Engineering-Attacken sind teuer – die Teilnehmer der Umfrage schätzen, dass jeder Sicherheitsvorfall zwischen 25’000 bis über 100’000 US-Dollar kostet. Darunter fallen auch Kosten, die durch Unterbrechung von Geschäftsabläufen, Mehraufwand für Kunden, Umsatzverlust und Imageschaden entstehen.
- Die gebräuchlichsten Methoden für Social Engineering – Phishing-Emails (47%) werden global als die am häufigsten verwendete Social Engineering-Methode genannt, gefolgt von Social Network-Sites, die Informationen zu Person und Beruf preis geben (39%) und ungesicherten, mobilen Endgeräten (12%).
- Finanzielle Bereicherung ist die Hauptmotivation für Social Engineering – Die Erlangung finanzieller Vorteile wurde am häufigsten als Grund für Social Engineering-Angriffe genannt, gefolgt vom Zugriff auf vertrauliche Informationen (46%), der Erlangung von Wettbewerbsvorteilen (40%) und – mit bemerkenswerten 14% – Racheakte.
- Neue Mitarbeiter sind am stärksten gefährdet – Den Untersuchungsergebnissen zufolge betrachten 60% der Befragten neue Mitarbeiter bei Social Engineering-Attacken als besonders gefährdet, gefolgt von Zulieferern/Drittanbietern (44%), der Assistenz der Unternehmensleitung (38%), der Personalabteilung (33%), Führungskräften (32%) und dem IT-Personal (23%). Unabhängig von der Funktion des Mitarbeiters innerhalb der Organisation sind folglich die Implementierung eines angemessenen Trainings und das Sicherheitsbewusstsein der Anwender erfolgskritische Komponenten einer jeden Security-Policy.
- Mangel an proaktivem Training zur Verhinderung von Social Engineering-Attacken – 34% der befragten Unternehmen haben keinerlei Mitarbeitertraining oder Security-Regeln für die Abwehr von Social Engineering-Methoden im Einsatz. Allerdings planen 19% der Studienteilnehmer, solche Mittel in Zukunft einzusetzen.
Die Studie „The Risk of Social Engineering on Information Security“ wurde im Juli und August 2011 durchgeführt. Sie repräsentiert Organisationen aller Grössen über verschiedene Marktsegmente hinweg, einschliesslich Banken & Finanzen, Fertigungsindustrie, Wehrtechnik, Einzelhandel, Gesundheitswesen und Bildungssektor. Weitere Informationen und der vollständige Bericht steht hier zur Verfügung: www.checkpoint.com.pdf
„Security ist nicht nur ein Thema für IT-Administratoren“, schliesst Fahlke. „Sie muss im Grunde für jeden Benutzer, der mit Daten und Informationen umgeht, ein fester Bestandteil seines Handelns und Denkens sein, zumal die Industrie einer drastisch steigenden Anzahl von ausgeklügelten und sehr gezielten Attacken ausgesetzt ist. Die Einbindung der Anwender in die Sicherheitsprozesse im Unternehmen ist daher aus unserer Sicht unerlässlich und führt zu einer besseren, effektiveren Nutzung von Security-Technologie.“
Aussender: Check Point Software Technologies (Austria) GmbH
Ansprechpartner: Christian Fahlke
E-Mail: cfahlke@checkpoint.com
Tel.: +43 664 254 66 21
Website: www.checkpoint.com
Quelle: www.pressetext.com/news/20110927008
PDF: www.pressetext.com/news/media/20110927008