Eine der größten Schwachstellen in Bezug auf Cyber-Security in Unternehmen sind nicht Computersysteme und Netzwerke – sondern Mitarbeiter. Rund 85% aller Cyberangriffe beginnen mit dem Faktor Mensch. Da technische Sicherheitslücken durch aktuelle Software und Systeme sowie Firewalls und Virenscanner besser vor Cyber-Attacken geschützt werden, müssen sich Cyberkriminelle einen anderen Schwachpunkt suchen, um in Systeme eindringen und an sensible Daten herankommen zu können. Umso wichtiger ist es, diese Gefahren zu verstehen und Mitarbeiter gut zu schulen, um das Risiko zu minimieren, dass sie in einem Moment der Unachtsamkeit einen Angriff auf ein System zulassen. (mehr zum Thema Security Awareness hier.)

Emotionale Manipulation durch Social Engineering
Durch die Digitalisierung der Kommunikationskanäle ergeben sich immer neue und effektivere Möglichkeiten für Cyberkriminelle potenzielle Opfer zu erreichen. Social Engineering dient als Grundlage für die unterschiedlichsten Betrugsmaschen. Hierbei werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst sowie Respekt vor Autorität missbraucht, um Personen zu manipulieren. Dies kann dazu führen, dass die Opfer ungewollt vertrauliche Informationen preisgeben oder Sicherheitsfunktionen aufheben, Überweisungen tätigen oder Schadsoftware (Malware) auf ihren Geräten, sei es privat oder im Firmennetzwerk, installieren.

Fünf Arten von Social Engineering

• Phishing

Phishing Angriffe sind professionell aussehende Nachrichten, die den Empfänger dazu bringen sollen, vertrauliche Daten, wie etwa Kennwörter, Kreditkartennummern oder andere sensible Informationen weiterzugeben. Dabei geben sich die Übeltäter als vermeintlich vertrauenswürdige Personen oder Institutionen aus und setzen häufig auf Dringlichkeit oder das Opfer emotional unter Druck.

Neben den klassischen Formen wie dem CEO Fraud, Clone Phishing sowie dem Spear-Phishing, hat auch Smishing an Popularität zugenommen. Mehr Rund um das Thema Phishing erfahren Sie in unserer „Phishing Series“.

Tipps gegen Phishing

Seriöse Unternehmen wie Kreditkarteninstitute oder Banken würden Sie niemals auffordern per E-Mail oder Telefon vertrauliche Zugangsdaten preiszugeben. Achten Sie bei E-Mails stets auf den Absender und klicken Sie in dubiosen E-Mails keineswegs auf eingebettete Links oder öffnen Sie angehängte Dateien. Rufen Sie die betroffenen Kollegen an und gehen Sie sicher, dass die E-Mail tatsächlich von ihnen stammt.

• Pretexting

Pretexting-Angriffe verleiten Nutzer zur Weitergabe von Anmeldeinformationen und anderen vertraulichen Daten. Dafür nutz der Angreifer eine erfundene Situation als Vorwand, um dem Opfer sensible Daten, wie etwa Passwörter oder Kontonummern zu entziehen und damit einen Cyberangriff durchzuführen.  

Dabei „bewaffnet“ sich der Angreifer mit persönlichen sowie beruflichen Informationen des Opfers, um so eine Scheinsituation zu schaffen und das Vertrauen des Opfers missbrauchen zu können. Oftmals beginnt ein Pretexting-Angriff mit dem Versenden einer E-Mail.

Ein Cyber-Krimineller könnte sich beispielsweise als ein Mitarbeiter des IT-Teams ausgeben und vortäuschen, ein Softwareproblem auf dem Laptop des Opfers lösen zu wollen. Während des Gesprächs erwähnt der Angreifer ein paar private Angaben des Opfers, um das Vertrauen schneller zu gewinnen und, um an die gewollten Daten zu kommen.

Tipps gegen Pretexting

Ein gesundes Maß an Misstrauen hilft gegen Pretexting. Werden Sie hellhörig, wenn Sie jemand nach sensiblen Daten fragt. Sollte die Anfrage von anschaulich seriösen Unternehmen kommen, suchen Sie im Internet nach der offiziellen Telefonnummer und fragen nach, was es mit der gesendeten Nachricht auf sich hat.

• Baiting

Bei einer Baiting-Attacke platziert der Cyber-Angreifer eine Falle für sein Opfer. Infizierte USB-Sticks werden beispielsweise als vermeintliches Geschenk in einem Unternehmen verteilt. Möglich wäre auch eine strategische Platzierung der infizierten Gadgets mit Beschriftungen wie etwa „vertraulich“ oder „wichtige Infos“, um Mitarbeiter dazu zu verleiten, den Köder auf ihren Firmengeräten zu installieren ­­– und der Angriff auf das Unternehmen startet.

Tipps gegen Baiting

Stellen Sie sicher, dass Sie selbst und Ihre Mitarbeiter ein starkes Sicherheitsverständnis besitzen und beachten Sie die Unternehmenssicherheit als eine individuelle Verantwortung. Security Awareness ist hier das Stichwort! Für mehr Informationen kontaktieren Sie uns gerne.

• Quid pro Quo

Quid pro Quo kann mit dem deutschen Sprichwort „Eine Hand wäscht die andere“ verglichen werden. Demnach erhält eine Person, die einer anderen Person einen Gefallen tut, eine angemessene Gegenleistung. Cyber-Kriminelle setzen hierbei also auf die Naivität und das Vertrauen der Opfer, einen Deal einzugehen, der weder ehrlich noch fair ist.

Bei Quid-pro-Quo-Angriffen simulieren Cyber-Kriminelle einen seriösen Informationsaustausch, indem sich Angreifer häufig als Service-Personal ausgeben, beispielsweise als Mitarbeiter einer Kundenhotline, welches technische Unterstützung im Austausch von personenbezogenen Daten oder sensiblen Informationen bietet.

Tipps gegen Quid Pro Quo

Auch hier gilt: Bleiben Sie misstrauisch! Geben Sie niemals sensible Daten an Personen weiter, die sich nicht eindeutig als IT-Support Ihrer Firma ausweisen können. Das regelmäßige Ändern Ihres Passwortes kann ebenfalls hilfreich sein. Tipps für ein möglichst sicheres Kennwort finden Sie in unserer Checkliste für sichere Passwörter.

• Tailgating

Bei einer Tailgating-Attacke versuchen Angreifer sich Zugang zu einem geschlossenen physischen Bereich zu schaffen, indem sie Sperrzonen wie z.B. elektronische Zugangskontrollen umgehen. Sie folgen unauffällig einem legitimen Mitarbeiter, um sich Zutritt in einen verbotenen Bereich zu verschaffen.

Tipps gegen Tailgating

Bleiben Sie wachsam, fragen Sie bei Handwerkern und Lieferanten erst in der zuständigen Abteilung nach und halten Sie keinen Personen die Tür auf, die Sie nicht eindeutig als Arbeitskollegen identifizieren können.

Social Engineering Angriffe fungieren meist als Informationsbeschaffung und sind somit einer der ersten Komponenten einer Cyber-Kill-Chain. Ist ein Cyber-Krimineller hierbei erfolgreich, kann dieser erhebliche Schäden in Ihren Unternehmen anrichten und ganze Firmennetzwerke kapern und lahmlegen.

Schützen Sie sich und Ihr Unternehmen, indem Sie lernen, Cyber-Angriffe frühzeitig zu erkennen und zu umgehen. Unsere Security-Awareness-Schulung ist der erste Schritt, um das Sicherheitsbewusstsein in Ihrem Unternehmen zu schärfen und das Verständnis Ihre Mitarbeiter in Bezug auf individuelle Verantwortung zu festigen.