Bundesheer

Informations- und Kommunikationstechnologie (IKT) hat das Leben der Menschen verändert. Stark ansteigende Digitalisierung und die Vermischung von Arbeitsumgebung und Privatleben durch dezentrale IT-Infrastruktur brachten für Arbeitgebende sowie Arbeitnehmende zusätzliche neue Möglichkeiten einer modernen Arbeitskultur und Umgebung.

Der ständige Zuwachs neuer IKT-Systeme und Technologien brachte aber auch viele neue Gefahren durch verschiedenste Angriffsvektoren.

Technische Abwehrmaßnahmen werden kontinuierlich neu entwickelt, um Einfallstore für Angriffe bestmöglich zu schließen. Leider wird der Mensch als wesentlicher Faktor der Informationssicherheit wenig beachtet. Diese Angriffsart, die durch geschickte Täuschung und Manipulation des Menschen vorhandene technische Schutzmaßnahmen umgeht, nennt sich Social Engineering.

Diese Studie beschäftigt sich mit der explorativen Fragestellung warum Unternehmen trotz umgesetzter Schulungsmaßnahmen Opfer von Social Engineering Angriffe werden. Um diese Forschungsfrage zu beantworten, wurde der qualitative Forschungsprozess ausgewählt. Für die Datenauswertung wurde eine strukturierte Inhaltsanalyse der relevanten Literatur durchgeführt, um eine Grundlage für den aktuellen Stand des Wissens in Bezug auf Social Engineering zu schaffen.

Durch Interviews von acht ausgewählten Sicherheitsexperten, welche anhand der qualitativ strukturierten Inhaltsanalyse ausgewertet wurden, konnte ein repräsentativer Querschnitt erforscht werden, um abschließend Handlungsempfehlungen zur Implementierung und Risikominimierung von Social Engineering Gefahren in Unternehmen ableiten zu können.

Die Ergebnisse zeigen, dass es dringenden Handlungsbedarf für organisatorische Maßnahmen in den Unternehmen gibt. Den Sicherheitsverantwortlichen muss mehr Autonomie bei der Prozessmodellierung eingeräumt werden.

10 Insbesondere das fehlende Verständnis der Mitarbeiterinnen und Mitarbeiter für die Gefahren von Social Engineering sollte als größtes Risiko adressiert werden, welches nur durch praxisnahe, speziell auf das Unternehmen abgestimmte Sicherheitsschulungen und die zusätzliche Implementierung einer Sicherheitskultur gemessen an Reifegraden abgeschwächt werden kann.

Abschließend wurden organisatorische Handlungsempfehlungen abgeleitet.

Diese Studie zeigt auf, dass Verantwortliche in Unternehmen einen stärkeren Fokus auf die Sensibilisierung der Mitarbeiter legen müssen. Der Einsatz von kontinuierlich aktualisierten Personalschulungen mit einem stärkeren Praxisbezug zu Social-Engineering-Angriffen sollte in zukünftigen Untersuchungen evaluiert werden. Dies kann jedoch nur durch ein ausreichendes Verständnis der Mitarbeitenden für die Bedrohungen und mit der Unterstützung durch die Geschäftsleitung erreicht werden.