Lesezeit 3 min

Cybersecurity A-B-C

Social Engineering nutzt psychologische Tricks, um an sensible Daten zu kommen. Betrüger geben sich als Vertrauenspersonen aus und gefährden so die Datensicherheit, auch im privaten Umfeld.

smartphone display locked to show security

Was ist Social Engineering und was sollten Unternehmen beachten?

Was ist Social Engineering und was sollten Unternehmen beachten? Social Engineering ist eine Methode, bei der Betrüger psychologische Manipulationstechniken einsetzen. Sie wollen Personen dazu zu bewegen, ihnen vertrauliche Informationen preiszugeben oder bestimmte Aktionen vorzunehmen. Dabei machen sie sich oft die natürliche Hilfsbereitschaft oder das Autoritätsvertrauen von Mitarbeitenden zunutze. Die Angreifer maskieren sich als vertrauenswürdige Personen, wie beispielsweise Führungskräfte, Kolleginnen und Kollegen oder Vertretende renommierter Unternehmen. Selbst im Kreis von Freunden und Bekannten besteht das Risiko, dass sensible Daten in die falschen Hände gelangen. In einem Social-Media-Chat kann rasch eine Vertrauensbasis geschaffen werden, auf der vertrauliche Informationen unbedacht geteilt werden.

Die Methoden des Social Engineering sind vielfältig und reichen von Phishing-E-Mails, gefälschten Webseiten bis zu Telefonanrufen oder direkten persönlichen Kontakten. Die Täter versuchen, ihre Opfer zur Preisgabe von Passwörtern, Bankinformationen oder anderen sensiblen Daten zu verleiten. Zusätzlich besteht auch die Gefahr bei der Installation von schädlicher Software.

a hacker doing a social engineering attack

Oft sind die Angriffe hinterhältig und werden über einen langen Zeitraum hinweg sorgfältig geplant und durchgeführt. Ein Beispiel für eine solche langfristige Social-Engineering-Strategie ist der ‘Out-of-Office’-Angriff: Bei einem Unternehmen wurden zunächst Schlüsselpersonen identifiziert. Als ein Mitarbeiter im Urlaub war, wurde er per Telefon dazu aufgefordert ein bestimmtes Dokument zu öffnen. Das Dokument enthielt schädliche Software, die den Computer infizierte. Über Monate hinweg wurden sukzessive weitere Rechner infiziert und Backups so manipuliert, die zwar ausgeführt wurden, aber keine Daten gesicherten. Die abschließende Ransomware-Attacke war aus Sicht der Angreifer dann ein voller Erfolg.

Unser Leitfaden für Unternehmen:

  1. Bewusstsein schaffen: Mitarbeitende sollten über die verschiedenen Methoden des Social Engineering aufgeklärt werden. Dazu zählen Phishing, Pretexting, Baiting und der Quid-pro-Quo-Angriff. Beispiel: Ein Mitarbeiter erhält eine E-Mail, die scheinbar von der IT-Abteilung stammt und ihn auffordert, sein Passwort zu aktualisieren. Das Bewusstsein über Phishing hilft ihm zu erkennen, dass die E-Mail eine gefälschte URL enthält.
  2. Schulungen anbieten: Regelmäßige Schulungen können helfen, das Bewusstsein für Social-Engineering-Taktiken zu schärfen und Mitarbeiter darauf vorzubereiten, wie sie reagieren sollten. In einer Schulung wird ein Rollenspiel durchgeführt. Eine Mitarbeiterin lernt wie sie auf Telefonate reagieren soll, wenn vertrauliche Informationen wie Bankverbindungen abgefragt werden.
  3. Sicherheitsrichtlinien etablieren: Klare Richtlinien und Verfahren für den Umgang mit vertraulichen Informationen und den Zugang zu Unternehmenssystemen sind unerlässlich. Lösungsvorschlag: Das Unternehmen führt eine Richtlinie ein. Vertrauliche Dokumente werden nur über sichere Kanäle geteilt und nicht per E-Mail an externe Adressen gesendet.
  4. Verifizierungsprozesse einführen: Mitarbeiter sollten angewiesen werden, Identitäten zu überprüfen, bevor sie Informationen weitergeben oder Zugang gewähren. So kann ein einfacher Prozess schon Wunder wirken. Ein Mitarbeiter bekommt die Anweisung, bei einem Anruf, der um sensible Informationen bittet, immer zurückzurufen. Dadurch kann die Identität des Anrufers über eine bekannte offizielle Nummer bestätigt werden.
  5. Physische Sicherheit verstärken: Maßnahmen wie das Tragen von Ausweisen und das Sichern von Zugangspunkten können helfen, unbefugten Zutritt zu verhindern. Wird ein Barcode- oder QR-Codescanner am Eingang der Bürogebäude installiert, haben nur Personen mit dem entsprechenden Zugangscode Eintritt.
  6. Technische Schutzmaßnahmen nutzen: Firewalls, Antivirus-Programme und regelmäßige Updates können technische Angriffe abwehren, die oft mit Social Engineering einhergehen.

Es ist wichtig, dass Ihr Unternehmen Social-Engineering-Präventionsmethoden als Kernkomponente ihres Cybersicherheitsplans priorisiert. Durch die Kombination von technischen und menschlichen Sicherheitsmaßnahmen kann auch Ihr Unternehmen die Anfälligkeit für diese Art von Angriffen verringern. Das Bundesamt für Sicherheit in der Informationstechnik gibt weitere Informationen: BSI – Social Engineering – der Mensch als Schwachstelle (bund.de)