Enkeltrick, Phishing-E-Mails, Erpressung per Ransomware – wenn es um den Menschen und dessen Manipulation geht, sind der kriminellen Energie keine Grenzen gesetzt. Besonders schmerzhaft ist dies in einer hochkomplexen und kooperativen Branche wie der Automobilindustrie, wo der Schutz von Design und Innovationen überlebenswichtig ist.
Was versteht man unter Social Engineering?
Der Begriff bezeichnet Angriffsmethoden, die direkt die größte Schwachstelle jedes Sicherheitssystems adressieren: den Menschen mit all seinen Fehlern.
Und so funktioniert Social Engineering: Kriminelle Social Engineers, oder einfach Hacker, missbrauchen zwischenmenschliche Interaktionen und manipulieren ihre Opfer nach allen Regeln der Kunst. Ziel der Angreifer ist, dass ihre Opfer Sicherheitsvorkehrungen umgehen und vertrauliche Informationen preisgeben, die die Kriminellen zum größtmöglichen Nutzen einsetzen können.
Prototypenschutz als Angriffspunkt für Social Engineering in der Automobilindustrie
Jeder Prozess, an dem einen Vielzahl von Menschen beteiligt ist, die ständig Informationen miteinander austauschen, bietet Ansatzpunkte für Hacker.
In der Automobilindustrie dreht sich alles um das Produkt. Es ist hochkomplex, unterliegt massivem Innovationsdruck und hartem Wettbewerb. Gleichzeitig ist der Entwicklungs- und Herstellungsprozess multidimensional, weil auf Kooperation angewiesen. Unterschiedlichste Parteien – Hersteller, Zulieferer, Dienstleister – arbeiten monatelang über Standorte hinweg zusammen und teilen sensible Daten miteinander.
Design und Innovationen, die in einem Produkt stecken, sind für den Hersteller überlebenswichtig und höchst lukrative Beute für Angreifer. Sie können sensible Informationen wie Baupläne, Fotos oder Mitarbeiterdaten, die sie durch Social-Engineering-Attacken erlangt haben, weiterverkaufen – oder dazu nutzen, den Hersteller zu erpressen.
Prototypen bieten besonders viel Angriffsfläche. Sie unterliegen der Geheimhaltung, müssen jedoch auch in unterschiedlichen Umgebungen bewegt und getestet werden, zum Beispiel bei Testfahrten auf speziellen Strecken und öffentlichen Straßen (als „Erlkönige“). Deshalb sind sie besonders schützenswert.
So gefährdet Social Engineering Ihre Informationssicherheit
Social Engineering konzentriert sich auf den Menschen, der leicht zu manipulieren und schwer zu kontrollieren ist. Wie bei den meisten Hackerangriffen, ist auch beim Social Engineering das Ziel, wichtige Informationen zu stehlen und damit Lösegelder zu erpressen. Social Engineering stellt die Informationssicherheit von Unternehmen somit vor eine große Herausforderung. Gefahren sind vielfältig und lauern sowohl im Cyberspace als auch im richtigen Leben. Folgende Arten von Social Engineering gibt es:
- Phishing Angriffe: gefälschte E-Mail mit eingebettetem Link, der zu einer falschen Website führt. Der Nutzer ist aufgefordert, zum Beispiel Login-Informationen oder Kontodaten einzugeben, die direkt in die Hände der Betrüger gelangen. Die Angreifer nutzen dafür auch SMS (Smishing) oder Anrufe (Vishing).
- CEO-Fraud: gefälschte E-Mail im Namen der Geschäftsleitung / des CEOs, in der ein Mitarbeiter zum Beispiel aufgefordert wird, dringend und kurzfristig eine Überweisung auf ein angegebenes (falsches) Konto zu tätigen.
- Baiting: E-Mail-Einladung zu kostenlosen Downloads oder Gratis-Produkten, die bequem über ein Online-Formular oder per Klick auf einen angegebenen Link angefordert werden können. Hinter dem Köder verbirgt sich Malware, die den Rechner der Zielperson infiziert (zum Beispiel Ransomware).
- Media Dropping: Datenträger (USB-Stick), den ein Social Engineer gut auffindbar innerhalb eines Unternehmens, zum Beispiel auf dem Parkplatz, „verloren“ hat. Findet der Datenträger den Weg in den Rechner eines Mitarbeiters, überträgt er Schadsoftware.
- Tailgating: physisches Eindringen von Angreifern in den geschlossenen Bereich eines Unternehmens. Kriminelle nutzen dafür Informationen, um elektronische Zugangskontrollen zu manipulieren (Temporing) oder sich zum Beispiel als Mitarbeiter eines Lieferanten auszugeben (Pretexting).
Das sind die Folgen eines Social-Engineering-Angriffs
Wie alle anderen Angriffe können Social-Engineering-Attacken Unternehmen erheblichen Schaden zufügen – finanziell, geschäftlich, rechtlich und bezogen auf das Image. Üblicherweise treten in Organisationen folgende Probleme auf:
- Betriebsstörungen: Angriffe durch Ransomware gelten laut einer Studie der Allianz Versicherung als größtes Cyberrisiko. Kriminelle verlangen dabei üblicherweise Lösegeld, nachdem sie in die Systeme eines Unternehmens eindringen und auf deren Daten zugreifen konnten. Den Schaden zu begrenzen, den Vorfall zu untersuchen und den normalen Betrieb wiederherzustellen, bedeutet häufig, dass die gesamte IT-Infrastruktur, möglicherweise auch geschäftskritische, abgeschaltet werden muss. Gibt es in einem Unternehmen keine adäquaten Prozesse für Backup und Restore, können verlorene Daten oft erst nach Wochen oder Monaten wiederhergestellt werden. Stellen Sie daher sicher, dass ihre betriebliche Kontinuität gewährleistet ist. Beispielsweise durch den Aufbau eines Business Continuity Managementsystem (BCM).
- Rechtliche Konsequenzen: Sind Partner, existierende oder potenzielle Kunden eines Unternehmens betroffen, wird dies häufig vor Gericht verhandelt – und sehr oft öffentlich ausgeschlachtet. Solche Negativschlagzeilen schaden dem Geschäft, weil sie das Vertrauen der Kunden untergraben und das Unternehmen für zukünftige Kunden und Partner wenig attraktiv erscheinen lassen. Darüber hinaus führen solche Auseinandersetzungen in der Regel zu saftigen Bußgeldern. Hier finden Sie einen Überblick der Gesetzeslage in der Informationssicherheit.
- Finanzielle Folgen: Die finanziellen Auswirkungen sind vielfältig, je nach Art des Angriffs. Abgesehen von konkreten Verlusten für Lösegeldzahlungen bei Ransomware kann Folgendes passieren: Umsatzausfall, Gerichtskosten, Bußgelder (z. B. für Verstöße gegen die DSGVO, Kosten für die Reaktion auf einen Angriff, Schadensersatzansprüche, möglicherweise ein rückläufiger Aktienkurs und weitere Geschäftseinbußen. Gehen Informationen zum Design und zu technischen Spezifikationen eines Fahrzeugs verloren, verliert ein Automobilhersteller den teuer bezahlten Wettbewerbsvorteil.
Wie lässt sich Social Engineering verhindern?
Die schiere Vielfalt an Einfallstoren erschwert den Schutz vor Social-Engineering-Angriffen. Der Mensch ist leicht zu manipulieren, aber folgende Maßnahmen helfen, das Risiko zu verringern:
Schulung und Sensibilisierung der Mitarbeiter:
- Informieren Sie Ihre Mitarbeiter, wo sich Gefahren verbergen können – online und im realen Leben.
- Demonstrieren Sie, wie verdächtige E-Mails, Telefonanrufe, SMS oder Textnachrichten zu erkennen sind.
Etablierung, Optimierung und Überprüfung interner Prozesse:
- Definieren Sie Regeln für Ihre IT-Systeme, zum Beispiel für Backup, Restore, Patching und Software-Updates.
- Stellen Sie verbindliche Verhaltensregeln für Ihre Mitarbeiter auf, zum Beispiel für den Umgang mit verdächtigen E-Mails.
Elektronische Sicherheit:
- Überprüfen Sie Accounts (E-Mail-Accounts, Internetaccounts, Softwareaccounts) regelmäßig.
- Sorgen Sie für Malwareschutz, Black- und Whitelists für Websites und für E-Mail-Filter.
Access Management:
- Sorgen Sie für sichere Passwörter, Mehrwege-Authentifizierung und Verschlüsselung.
- Überprüfen Sie regelmäßig das Firmengelände und Systeme für die Zugangskontrolle, nutzen Sie Überwachungskameras, schulen und sensibilisieren Sie das Wachpersonal.
Asset- und Risk-Assessment:
- Legen Sie fest, welche Ihre Informationswerte sind.
- Definieren Sie, wo Ihre Risiken liegen.
Einführung eines Informationssicherheits-Managementsystems (ISMS):
- Richten Sie sich nach den Kriterien der ISO 27001-Norm, um für grundsätzliche Informationssicherheit zu sorgen.
- Automobilindustrie: Setzen Sie die Vorgaben der TISAX® um, auch speziell für den Prototypenschutz.
Wie hilft TISAX®?
Der Verband der Automobilindustrie (VDA) und die ENX Association haben den TISAX®-Standard – Trusted Information Security Assessment Exchange – entwickelt mit dem Ziel, ein einheitliches Niveau an Informationssicherheit für alle Beteiligten in der Automobilindustrie zu schaffen.
TISAX® setzt grundsätzlich auf der Norm ISO 27001 auf, wurde aber speziell an die Branche angepasst und enthält explizit Kriterien für die Anbindung von Dritten und für Prototypenschutz.
Erfahren Sie mehr zu den Unterschieden zwischen TISAX® und ISO 27001
Zu den TISAX®-Kriterien gehören zum Beispiel:
- regelmäßige Schulungen
- Weiterbildung
- Aufbau eines ISMS
- Gebäudesicherung
- Sicherheitszonen
Die ENX Association ist als neutrale Instanz vom VDA mit der Überwachung der Qualität und Umsetzung beauftragt. Sie hat eigens für TISAX® einen Fragenkatalog entwickelt, an dem sich Unternehmen für eine Zertifizierung orientieren können.
Wie DataGuard dabei hilft, Social Engineering zu verhindern
DataGuard unterstützt Sie mit Know-how und Beratungsleistungen rund um das Thema Informationssicherheit, zum Beispiel zum Aufbau und Betrieb eines ISMS und eines TISAX®-konformen Managementsystems. Ein ganzes Team von Experten verfügt über fundierte Fachkenntnisse und Best Practices aus einer Vielzahl von Projekten und Assessments.
Die Informationssicherheits-Plattform von DataGuard bietet Ihnen Zugriff auf zahlreiche Richtlinien zur Umsetzung eines ISMS. Sie liefert Ihnen eine wertvolle Grundlage, die Sie nutzen und an Ihre eigenen Prozesse anpassen können, zum Beispiel an die spezifischen TISAX®-Anforderungen.
Sehr hilfreich ist auch die DataGuard Academy, mithilfe derer Ihre Belegschaft plattformgestützt und effizient grundlegende Schulungen zur Informationssicherheit absolvieren – und sich mit dem Risiko Social Engineering vertraut machen kann.
Next Step TISAX®-Zertifizierung
Social-Engineering-Angriffe sind so vielfältig wie ihre Opfer, und die Methoden werden immer raffinierter. In einer kooperativen, hochkomplexen Branche wie der Automobilindustrie, in der Innovationen und Design das Geschäft bestimmen, ist es essenziell, sich rechtzeitig und umfassend zu schützen.
Der TISAX®-Standard wurde entwickelt mit dem Ziel, ein einheitliches Niveau an Informationssicherheit für alle Beteiligten zu schaffen. Höchste Zeit, sich näher damit zu beschäftigen!
Eine Reihe von Blogbeiträgen liefert Ihnen weitere Informationen zu TISAX®, zum Beispiel darüber, was es mit dem TISAX® Label auf sich hat oder Die Zertifizierung nach TISAX® - ein echter Wettbewerbsvorteil. Lesen Sie nach!
Benötigen Sie Beratung bei der Implementierung von TISAX®, beim Aufbau eines ISMS oder bei der Schulung Ihrer Belegschaft? Wir helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Experten für Informationssicherheit.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
TISAX® - Ihre Eintrittskarte in die Automobilindustrie
In dieser Roadmap erhalten Sie einen systematischen Ansatz, wie Sie das TISAX®-Assessment erfolgreich managen.
Jetzt kostenlos herunterladen