Mit psychologischen Tricks und hinterlistigen Täuschungen erschleichen sich die Betrüger*innen jährlich Beträge in Milliardenhöhe – und die Fallzahlen steigen: Fast jedes zweite Unternehmen berichtet laut einer aktuellen Bitkom-Befragung von entsprechenden Versuchen. Deutlich häufiger als in der Vergangenheit stellten die Kriminellen im vergangenen Jahr Kontakt über Telefon und E-Mail her, um an sensible Informationen zu gelangen, die dann für gezielte Angriffe und Diebstähle verwendet wurden. Für Unternehmen ist es daher existenziell, ein ganzheitliches IT-Sicherheitskonzept zu etablieren, Mitarbeitende in regelmäßigen Schulungen für das Thema zu sensibilisieren und korrekte Verhaltensweisen für Verdachtsfälle an die Hand zu geben.
Was ist Social Engineering?
Beim Social Engineering bedienen sich die Täter*innen cleverer psychologischer Manipulationen, um ihre Opfer dazu zu bewegen, sensible Informationen wie Anmeldedaten, persönliche Informationen oder Finanzdaten preiszugeben. Die Vorgehensweisen bei professionellen Social Engineers sind dabei längst nicht so plump wie in den üblichen Spam-Mails, sondern häufig mit erheblichem Rechercheaufwand verbunden. Die Täter*innen ermitteln Kontaktpersonen, analysieren Verhaltensmuster und oft verwendete Programme sowie alltägliche Aufgaben ihrer Opfer, um einen möglichst vertrauten Eindruck zu erwecken.
Im Laufe der Zeit haben sich zahlreiche verschiedene Arten von Social-Engineering-Angriffen entwickelt, die regelmäßig hohe Schäden verursachen:
Phishing: Dies ist die häufigste Art von Social-Engineering-Angriffen. Dabei werden gefälschte E-Mails verschickt, die den Anschein erwecken, von einer vertrauenswürdigen Quelle zu stammen, z. B. von einer Bank oder einer anderen Organisation, um Empfänger*innen dazu zu bringen, vertrauliche Informationen wie Anmeldedaten oder Kreditkartennummern preiszugeben.
Spear Phishing: Hierbei handelt es sich um eine gezieltere Form des Phishings, bei der die Angreifenden Informationen über das Opfer sammeln und diese für personalisierte Attacken verwenden. So können Kriminelle beispielsweise Informationen aus Social-Media-Profilen verwenden, um Phishing-E-Mails zu verfassen, die den Anschein erwecken, von Kolleg*innen oder der Geschäftsführung zu stammen.
Vortäuschung: Hier wird ein Szenario vorgetäuscht, um das Opfer zur Preisgabe von Informationen zu verleiten. So kann sich ein Angreifer beispielsweise als Support-Techniker ausgeben und das Opfer unter dem Vorwand anrufen, von der IT-Abteilung zu kommen, und nach Anmeldedaten fragen.
Köder: Bei der Köder-Methode platzieren Angreifende beispielsweise ein USB-Laufwerk an einem öffentlichen Ort oder dem Firmenparkplatz, in der Hoffnung, dass jemand es aus Neugier an seinen oder ihren Computer anschließt und so den Angreifenden Zugang zum System gewährt.
Impersonation: Hierbei gibt sich ein Angreifer als eine andere Person aus, z. B. als Kollege, Chefin oder Lieferant, um sich Zugang zu sensiblen Informationen oder Systemen zu verschaffen. Besonders bekannt in diesem Zusammenhang ist der sogenannte „CEO Fraud“: Die Täter*innen geben sich als Mitglieder der Geschäftsführung aus und fordern „ihre“ Mitarbeitenden dazu auf, hohe Geldsummen auf ein angeblich rechtmäßiges Kunden- oder Lieferantenkonto zu überweisen. Mitteilungen dieser Art wirken oft täuschend echt und sind nicht selten erfolgreich.
Durch Täuschung über die Identität und das Vorspielen falscher Tatsachen handeln viele Betroffene im guten Glauben, das Richtige zu tun, wenn sie Rechnungen begleichen oder Passwörter preisgeben. Wenn der Betrug schließlich auffällt, ist es meistens schon zu spät.
Wie kann man sich vor Social Engineering schützen?
Hochkomplexe IT-Security-Systeme und ein ausgefeiltes Identity & Access Management machen es Cyberkriminellen immer schwerer, sich Zugriff auf sensible Inhalte zu verschaffen. Da ist es in vielen Fällen lohnender, „menschliche Einfallstore“ zu firmeninternen Daten und Netzwerken zu finden – denn Menschen sind, anders als Maschinen oder Systeme, psychologisch manipulierbar.
Social Engineers nutzen ganz bewusst kollegiale Eigenschaften wie Hilfsbereitschaft aus, missbrauchen Vertrauen oder schüren Ängste, um so das Verhalten ihrer Opfer zu manipulieren. Daher ist es umso wichtiger, ein unternehmensweites Bewusstsein für IT-Sicherheit und potenzielle Bedrohungen zu schaffen und regelmäßige Schulungen abzuhalten. Mitarbeitende müssen den korrekten Umgang mit Geräten, Anwendungen und Daten beherrschen, damit sie zur Informationssicherheit beitragen können – und Unternehmen müssen Schulungsmaterial und Informationen bereitstellen.
Dazu zählt unter anderem:
- Der sichere Umgang mit Passwörtern und/oder anderen sensiblen Informationen wie Bankdaten, die in keinem Fall via E-Mail oder Telefon weitergegeben werden dürfen
- Bei Verdacht stets eine „doppelte Absicherung“ einholen und ggf. die Authentizität der Absenderadresse durch einen kurzen Telefonanruf überprüfen
- Auffälligkeiten umgehend der internen IT-Abteilung und/oder der dafür zuständigen Abteilung für Informationssicherheit melden
- Kein Teilen von potenziell sensiblen Geschäftsinformationen über die sozialen Medien
- Sensibilisierung für die gängigsten Social-Engineering-Taktiken wie Phishing, CEO Fraud, Impersonation, etc. schaffen
Neben Mitarbeiterschulungen sollten Unternehmen auch IT-seitig Vorkehrungen treffen und eine ganzheitliche IT-Security-Strategie aufstellen, um sich vor Cyberbedrohungen zu schützen. Dazu zählt beispielsweise die Zugangsbeschränkung zu diversen Informationen auf wenige Mitarbeitende. Zudem bietet die Verwendung von sicheren Passwort-Management-Systemen und die Implementierung einer Multi-Faktor-Authentifizierung eine zusätzliche Sicherheitsebene. Dies kann den unbefugten Zugriff auf Daten verhindern, selbst wenn ein Angreifer den Benutzernamen und das Kennwort in Erfahrung gebracht hat.
Viele Unternehmen schrecken allerdings vor der detaillierten Erstellung eines ganzheitlichen IT-Sicherheitskonzepts zurück, da es sich in den meisten Fällen um ein sehr umfangreiches Projekt handelt, das viel Zeit kostet und sowohl personell als auch finanziell Ressourcen bindet – von den wiederkehrenden Anpassungen an aktuelle Cyberbedrohungen ganz zu schweigen. Zertifizierte Managed Service Provider wie netgo koordinieren den gesamten IT-Security-Prozess und stellen von der Planung bis zur Implementierung eines individuell auf die Geschäftsanforderungen zugeschnittenen IT-Sicherheitskonzepts sicher, dass flexible Reaktionen auf neue Gefährdungen möglich sind, Risiken frühzeitig erkannt und Maßnahmen regelmäßig optimiert werden.
