Social Engineering – 6 Tipps, wie Unternehmen sich schützen können

Beim Social Engineering versuchen Cyberkriminelle, das Vertrauen ihrer Opfer zu gewinnen, damit diese sensible Informationen wie z. B. Zugangsdaten oder Kreditkartennummern preisgeben oder Überweisungen tätigen. Das Social Engineering beschränkt sich nicht aufs Internet, sondern ist eine weit verbreitete Betrugsmasche: Ein bekanntes Beispiel ist der sogenannte Enkel-Trick, bei dem Kriminelle ältere Menschen per Telefonanruf davon überzeugen, dass sie Verwandte seien und aufgrund eines Notfalls sofort Geld benötigen.

Mit der Verbreitung digitaler Kommunikationsmittel haben Cyberkriminelle eine Vielzahl neuer Möglichkeiten, ihre Opfer zu täuschen. Der Weg, dazu verleitet zu werden, Überweisungen zu tätigen, vertrauliche Informationen preiszugeben oder Schadsoftware auf dem eigenen Gerät zu installieren, ist oft nur einen Klick entfernt. Die Fälle von Social Engineering stiegen infolgedessen in den letzten Jahren stark an und betreffen verstärkt Unternehmen und deren Mitarbeitende.

Social Engineering zielt auf die Manipulation auf zwischenmenschlicher Ebene ab. Es werden daher psychologische Techniken angewandt, um Vertrauen, Angst, Neugier oder andere menschliche Emotionen auszunutzen. Hier einige gängige Techniken, die im Social Engineering genutzt werden:

Beim Phishing werden gefälschte E-Mails oder Nachrichten versendet, die vorgeben, von vertrauenswürdigen Quellen zu stammen, wie beispielsweise einer Bank oder einem Unternehmen. Benutzer sollen so dazu gebracht werden, ihre persönlichen Daten preiszugeben oder auf schädliche Links zu klicken.

Bei dieser Methode gibt sich der Angreifer als eine vertrauenswürdige Person oder Autoritätsperson aus, um Informationen zu erhalten. Dies kann im Unternehmenskontext beispielsweise das Vortäuschen der Identität von Vorgesetzten, Kolleg:innen oder Personen, die extern mit dem Unternehmen im Zusammenhang stehen, bedeuten, um Zugriff auf sensible Daten zu erhalten.

Hier lockt der Angreifer seine Opfer mit etwas Wertvollem oder Verlockendem, wie beispielsweise einem USB-Stick mit „geheimer“ Information, der dann in ein Unternehmensnetzwerk eingeführt wird und Malware enthält.

Diese Methode beinhaltet das Angebot eines Vorteils oder einer Belohnung im Austausch für Informationen oder Handlungen. Ein Beispiel wäre ein Anruf, bei dem der Angreifer behauptet, ein Techniker zu sein, und kostenlose IT-Unterstützung anbietet, jedoch Zugangsdaten benötigt, um zu „helfen“.

Bei Tailgating schleicht sich der Angreifer in ein gesichertes Gebäude ein, indem er sich hinter einem autorisierten Benutzer versteckt, der das Gebäude betritt und ihn z. B. freundlich bittet, die Tür aufzuhalten. Shoulder Surfing beinhaltet das Beobachten von Benutzern, während sie ihre Passwörter oder andere vertrauliche Informationen eingeben.

Unternehmen sind ein beliebtes Ziel für Social Engineering Attacken, da höhere Beträge als bei Privatpersonen erbeutet werden können. Dabei bleibt das Vorgehen das gleiche, wobei der Aufwand, die benötigten Informationen für einen Social Engineering Angriff auf ein Unternehmen einzuholen, größer ist. Folgende Informationen sind für Kriminelle besonders relevant:

• Wer ist der CEO des Unternehmens? Wer sind die Bereichsleiter?
• Wann sind einzelne Personen aus diesem Kreis auf Geschäftsreise oder im Urlaub?
• Welche Personen im Unternehmen sind dazu berechtigt, Überweisungen auszuführen?
• Welche aktuellen geschäftsbezogenen Aktivitäten finden statt?

Sobald diese Informationen vorliegen, richtet sich der Hacker nun an einen Mitarbeitenden – gewöhnlich an eine Person, die zu finanziellen Transaktionen berechtigt ist. Mit einer gefälschten E-Mail-Adresse und im Namen des Vorgesetzten fordert er nun mit eindringlichen Worten Informationen oder eine Überweisung an.

Sie können sich und Ihr Unternehmen gegen Social Engineering schützen, indem sie verschiedene Maßnahmen ergreifen, um

– Ihre Mitarbeitenden zu schulen,

– Sicherheitsrichtlinien zu implementieren und 

– technische Sicherheitsmaßnahmen zu verstärken.

Hier sehen Sie die wichtigsten Maßnahmen im Kampf gegen Social Engineering:

Schulen Sie Ihre Mitarbeitenden regelmäßig in Bezug auf die Risiken von Social Engineering und wie sie verdächtige Anfragen oder Aktivitäten erkennen. Möglich sind Schulungen, Simulationen von Phishing-Angriffen und regelmäßige Sicherheitsbriefings.

Etablieren Sie klare Sicherheitsrichtlinien und -verfahren für den Umgang mit vertraulichen Informationen, den Zugang zu sensiblen Systemen und die Überprüfung von Identitäten, insbesondere bei Remote-Zugriffen oder ungewöhnlichen Anfragen.

Implementieren Sie die Zwei-Faktor-Authentifizierung, um den Zugang zu Systemen zu erschweren. Dadurch wird es schwieriger für Angreifer, sich Zugriff zu verschaffen, selbst mit den jeweiligen Passwörtern.

Begrenzen Sie den Zugriff auf sensible Daten und Systeme auf diejenigen Mitarbeitenden, die diese auch wirklich benötigen. Somit reduzieren Sie das Risiko von Datenlecks oder unbefugtem Zugriff durch Social Engineering Angriffe.

Nutzen Sie technische Sicherheitslösungen wie Firewalls, Intrusion Detection Systems (IDS) und Antivirus-Software, um Malware zu erkennen und zu blockieren, die möglicherweise durch Social Engineering-Angriffe eingeführt wird. Implementieren Sie eine E-Mail-Security-Lösung, die Social Engineering Angriffe per E-Mail bereits im Vorfeld zuverlässig abfängt. 

Überwachen Sie aktiv Ihre Systeme und Netzwerke auf verdächtige Aktivitäten, um Anomalien oder ungewöhnliche Zugriffe zu erkennen und darauf zu reagieren, bevor Schaden entsteht. Es ist wichtig, dass Unternehmen Sicherheit als kontinuierlichen Prozess betrachten und ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.