Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können
Nachrichten von angeblichen Vorgesetzten oder Kolleginnen beziehungsweise Kollegen, Links mit Schadsoftware in Social-Media-Posts oder vorgebliche Techniker:innen im Bürogebäude, von denen niemand etwas weiss: Immer öfter gerät bei Cyberattacken mittlerweile der Mensch ins Fadenkreuz von Cyberkriminellen. Erfahren Sie jetzt, wie Sie Ihr Unternehmen vor sogenannten Social Engineering Attacken schützen können.
Fake President Trick erkennen und vermeiden: Alle Infos in unserem Video
Social Engineering: Definition
Der Begriff „Social Engineering“ bezeichnet die gezielte Manipulation von Menschen. Die Angreifer:innen nutzen dabei Eigenschaften wie Hilfsbereitschaft, Vertrauen oder die Angst vor Autoritäten aus, um die Opfer dazu zu verleiten, Sicherheitsvorkehrungen auszuschalten oder sensible Informationen preiszugeben. Social Engineering gibt es in den verschiedensten Varianten und die Angreifer:innen werden dabei immer kreativer und vor allem auch besser.
Social Engineering: So schnell wird der Mensch zur Schwachstelle
Eine E-Mail von dem/der Vorgesetzten, der nach einer Geldüberweisung fragt. Ein unerwarteter Gewinn bei einem Gewinnspiel auf einem sozialen Netzwerk. Eine E-Mail mit einem Superschnäppchen-Angebot. Eine SMS von der IT-Abteilung, die nach dem Passwort für das Warenwirtschaftssystem fragt. Social Engineering gibt es in den verschiedensten Varianten und die Angreifer:innen werden dabei immer kreativer und vor allem auch besser. Wir haben für Sie einen Überblick der gängigen Maschen der Betrüger:innen zusammengestellt:
Phishing
Eine der wohl bekanntesten Formen des Social Engineering ist die Phishing-Mail. Diese stammt meist aus einer vermeintlich vertrauenswürdigen Quelle (zum Beispiel von einer:m Vorgesetzten oder von einer Bank) und zielt darauf ab, dass die Empfänger:innen auf einen Link klicken, der zu einer gefälschten Internetseite führt. Auf dieser Seite sollen dann Zugangsdaten eingegeben werden, die die Angreifer:innen erbeuten wollen. Auch im Anhang einer solchen Mail kann sich Schadsoftware in Dokumenten verstecken.
Zu den häufigsten Phishing-Angriffen gehört der sogenannte Fake President Trick. Wie dieser aussehen kann, haben wir in diesem Video für Sie zusammengefasst:
Weitere Informationen zum Fake President Trick, wie Sie diesen erkennen und wie Ihr Unternehmen schützen können, finden Sie auch in diesem Artikel: Fake President Trick – wenn Betrüger:innen sich als CEO ausgeben.
Pretexting-Angriff
Beim Pretexting-Angriff täuschen die Angreifer:innen falsche Tatsachen vor, um ihre Opfer dazu zu verleiten, Login-Daten preiszugeben oder den Zugang zu sensiblen Systemen zu gewähren. Dabei geben sich die Betrüger:innen oft als Mitarbeiter:in der IT-Abteilung aus, die/der Zugangsdaten benötigen um ein Problem in einem IT-Programm oder einem IT-System zu beheben.
Spear-Phishing-Attacke
Beim Spear-Phishing nutzen Cyberkriminelle auf die Zielperson zugeschnittene Informationen, um sich deren Vertrauen zu erschleichen und besonders authentisch zu wirken. Die Informationen werden im Vorfeld aus den Social-Media-Kanälen des Opfers gesammelt und durch weitere Informationen aus dem Internet und anderen Quellen ergänzt. Die umfassende Recherche sorgt für höhere Erfolgsquoten und bringt das Opfer oftmals dazu, sensible Daten preiszugeben, da die Täter:innen ihre wahre Identität durch die umfassenden Informationen verschleiern können. Die Angreifer:innen versuchen Gemeinsamkeiten mit der Zielperson aufzubauen, das sorgt für Sympathie und Vertrauen.
Physische Attacke
Wenn Sie jetzt denken, dass Angriffe lediglich über das Telefon und das Internet erfolgen, dann irren Sie sich. Denn Cyberkriminelle nutzen auch physische Attacken, um sich Zugang zu Unternehmen zu verschaffen. Ein Beispiel hierfür ist der auf dem Firmenparkplatz liegengelassene USB-Stick. Dieser wird mit Schadsoftware versehen und an einem Ort platziert, an dem er leicht gefunden wird. Findet ein:e Mitarbeiter:in diesen USB-Stick, kann es passieren, dass sie/er herausfinden will, was sich darauf befindet. Sobald der USB-Stick an den PC angeschlossen wird installiert sich die Schadsoftware auf dem Rechner und sammelt heimlich Informationen oder verschlüsselt wichtige Daten im System.
Die Cyberkriminellen erscheinen gelegentlich auch selbst am „Tatort“. Getarnt als Techniker:innen, Mitarbeiter:innen oder Dienstleister:innen verschaffen sie sich Zugang in die Geschäfts- oder Serverräume um dort Informationen und sensible Daten zu stehlen. Oder aber, sie leihen sich von Mitarbeiter:innen ein Telefon oder einen Computer aus, um darauf heimlich Schadsoftware zu platzieren.
Cybercrime: Studien zeigen steilen Anstieg
Egal welche Studien zum Thema Cybercrime in den letzten Jahren veröffentlicht wurden, sie alle malen das gleiche Bild: Cyberangriffe nehmen mehr und mehr zu und gehören deshalb auch mittlerweile zu den grössten Business-Risiken. Eine Studie des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) aus dem Jahr 2020 zeigte, wie lax teilweise kleine und mittelständische Unternehmen mit sensiblen Daten umgehen: So wurde hier mit einem Analyse-Tool nach Daten von 1019 Unternehmen mit weniger als 250 Mitarbeiter:innen und einem Jahresumsatz von höchstens 50 Millionen Euro (etwa 49 Millionen Franken) im Darknet gesucht. Tatsächlich wurde das Tool bei über 543 der Unternehmen (53 Prozent) fündig – vor allem E-Mail-Adressen mit zugehörigen Passwörtern waren im Darknet hinterlegt.
Dass Cyberkriminalität weiterhin zunimmt, bestätigte auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI), dass in seinem Bericht für das Jahr 2021 einen Anstieg von Cybercrime um 22 Prozent im Vergleich zum Vorjahr feststellte. Seit Beginn des Ukraine-Krieges warnen Expertinnen und Experten zudem immer wieder vor einem erhöhten Risiko durch Cyber-Angriffe. Bereits 2020/2021 verzeichnete eine Studie von Bitkom: Neun von zehn Unternehmen (88 Prozent) – unabhängig von ihrer Grösse – waren von Cyber-Angriffen betroffen.
Cybercrime: Erhöhtes Risiko, aber nicht bei mir?
76 Prozent der Unternehmen sehen laut einer Umfrage des GDV ein hohes Risiko von Cyberkriminalität für mittelständische Unternehmen – doch nur 34 Prozent bewerten das Risiko auch für das eigene Business als sehr hoch. Leider ist der Gedanke „ich habe nur eine kleine Firma und bin damit für Cyberkriminelle nicht interessant“ ein gefährlicher Trugschluss. Ebenso wie die Annahme, dass das eigene Business bereits ausreichend geschützt ist. Denn – um zurück zur ersten Studie des GDV zu kommen: Wissen Sie, wie die Daten der Mitarbeiter:innen im Darknet gelandet sind? Durch Unachtsamkeit und unzureichende Sicherheitskontrollen seitens der Unternehmen.
So nutzen viele Mitarbeiter:innen beispielsweise Ihre Firmen-Mail-Adresse, um sich in Onlineshops, Social Media oder auf Gaming-Webseiten anzumelden. Werden diese Seiten gehackt, landen die Mail-Adressen und Passwörter im Darknet. Es geht aber noch schlimmer: Die Studie hat ausserdem ergeben, dass einige Angestellte sich mit ihrer beruflichen Mail-Adresse auf Dating- und Porno-Seiten anmeldeten. Das Problem: Die private Nutzung beruflicher Mail-Adressen ist in nur wenigen Unternehmen verboten, die meisten verzichten auf eine Regelung. Dabei ist die Mail immer noch die beliebteste Möglichkeit von Cyberkriminellen, sich Zugang zu Unternehmen zu verschaffen. Sie setzen darauf, dass Mitarbeiter:innen schädliche Links anklicken oder Anhänge öffnen.
Wie wichtig Strategien zu mehr Cybersicherheit sind und wie auch kleine und mittelständige Unternehmen diese umsetzen können, haben wir in folgendem Artikel zusammengefasst: KMU Cyber Security: So gelingen wirksame Sicherheitsstandards
Social Engineering: Beispiele aus der Praxis
Dass Social Engineering Angriffe nicht nur praktisch jedem Unternehmen – unabhängig von der Grösse oder der Branche – passieren können, zeigen auch unsere folgenden Beispiele:
Anruf vom falschen CEO: CHF 218'000 Schaden!
Die Methoden von Cyberkriminellen werden immer raffinierter, das zeigt das Beispiel eines britischen Energiekonzerns: Hier wurde der CEO in Grossbritannien vom (vermeintlichen) CEO des deutschen Mutterkonzerns angerufen, der ihn um eine Überweisung in Höhe von umgerechnet CHF 218'000 an eine Zulieferfirma bat. Das Geld werde dann in Kürze vom Mutterkonzern rückerstattet. Die Begründung? Der angebliche Chef des deutschen Mutterkonzerns wollte die Überweisung selbst in Auftrag geben, da es in Deutschland aber bereits nach 16 Uhr war, wäre das Geld erst montags bei den Empfänger:innen angekommen.
Aufgrund der Zeitverschiebung war es in Grossbritannien noch vor 16 Uhr und somit wäre die Überweisung noch rechtzeitig abgewickelt worden. Das kuriose an der Geschichte: Obwohl der CEO der Tochterfirma von dieser Art des Telefonbetrugs gehört hatte, fiel er auf die Betrugsmasche rein. Zum einen weil die Begründung für die Überweisung plausibel war, zum anderen weil die Betrüger:innen ein KI-(Künstliche Intelligenz) gestütztes Programm verwendeten, dass die Stimme des deutschen CEO nahezu perfekt imitierte. Der CEO der britischen Tochterfirma glaubte, er würde tatsächlich mit seinem deutschen Vorgesetzten sprechen und überwies das Geld wie gewünscht. Der Betrug fiel zwar später auf, doch die CHF 218'000 waren da bereits über alle Berge.
Echter exali Schadenfall: Falscher CEO erbeutet mehr als CHF 3'000
Auch ein Mitarbeiter eines über exali versicherten App-Entwicklers fiel auf Cyberkriminelle herein. In diesem Fall meldete sich der angebliche Chef und wies den Angestellten zum Kauf von Gutschein- und Geschenkkarten im Wert von CHF 3'000 an. Als der echte Chef davon erfuhr, war der Schaden nicht mehr rückgängig zu machen. Mehr über diesen Fall finden Sie in diesem Artikel: Falscher CEO erschleicht sich mehr als CHF 3'000.
So schützen Sie sich und Ihre Mitarbeiter:innen vor Social Engineering
Wenn es um die Sicherheit von sensiblen Daten und die Abwehr von Schadsoftware geht, dann investieren bereits viele Unternehmen in eine starke IT-Infrastruktur, Antivirensoftware und Sicherheitsmassnahmen. Damit Sie das Risiko von Social Engineering Attacken reduzieren können, haben wir eine Übersicht für Sie zusammengestellt:
Schulungen von Mitarbeiter:innen
Ihre beste Abwehr gegen Social Engineering Angriffe sind aufmerksame Angestellte. Deshalb gilt:
- Schulen Sie Ihre Mitarbeiter:innen und sensibilisieren Sie sie für Social Engineering Attacken.
- Schaffen Sie ein Bewusstsein dafür, wie schnell Daten in privaten oder beruflichen sozialen Netzwerken in die falschen Hände geraten können und das deshalb das Teilen von vertraulichen Informationen zur Arbeit oder den Arbeitgeber:innen keine gute Idee ist.
- Führen Sie interne Kontrollmechanismen ein – das kann beispielsweise ein wechselndes Codewort sein, mit dem sich Mitarbeiter:innen legitimieren können.
- Führen Sie klare Regeln zum Umgang mit unternehmensfremden Personen ein, wie zum Beispiel Rücksprache mit den Abteilungen.
Klare Regelungen Zahlen und Daten
Fast genauso wichtig wie die Schulung Ihrer Mitarbeiter:innen ist die Etablierung klarer Regelungen zu folgenden Punkten:
- Welche Personen im Unternehmen die Berechtigung haben, Zahlungen anzuweisen und stellen sie sicher, dass eine Überweisung nur im „Vier-Augenprinzip“ möglich ist.
- Welche Personen Zugang zu welchen IT-Systemen, Programmen oder Online-Plattformen haben.
- Welche Regeln es zum Umgang mit der betrieblichen E-Mail-Adresse gibt (beispielsweise keine Anmeldung in Portalen, die für den privaten Gebrauch genutzt werden).
Stellen Sie sicher, dass alle Ihre Mitarbeiter:innen diese Regelungen, sowie Änderungen daran kennen und frischen Sie sie zusätzlich in regelmäßigen Schulungen auf.
Achtsamer Umgang mit E-Mails
Öffnen Sie nicht leichtfertig Ihre E-Mails, da diese oft mit Schadsoftware belastet sein können. Nutzen Sie die 3-Sekunden-Regel um das Risiko zu verringern. Nehmen Sie sich einen Moment Zeit und prüfen Sie den Namen und die Adresse der Absenderin oder des Absenders. Prüfen Sie ebenfalls, ob der Betreff sinnvoll erscheint und keine Schreibfehler aufweist. Besonders kritisch sollten Sie bei Anhängen sein. Überlegen Sie, ob Sie einen Anhang erwarten, ob der Dateiname und das Dateiformat stimmig sind und auch ob die Grösse der Datei zum angeblichen Inhalt passt. Geben Sie ausserdem niemals Kontodaten, Zugangsdaten und/oder Passwörter über Telefon oder E-Mail preis. Banken und andere seriöse Geschäftspartner:innen werden Sie nie am Telefon oder per E-Mail zur Preisgabe von Passwörtern und Zugangsdaten auffordern.
Verantwortungsvoller Umgang mit Social Media
Gehen Sie verantwortungsvoll mit Daten – sowohl Ihre privaten, als auch Unternehmensdaten – in sozialen Netzwerken um. Cyberkriminelle recherchieren vor ihren Angriffen ausführlich im Netz und kommen so an wichtige Informationen, die ihnen bei gezielten Angriffen nutzen können.
Die exali Cyber-Versicherung: Schutz gegen die Folgen von Cyber-Angriffen
Geschulte Mitarbeiter:innen, klare Regelungen und eine gute IT-Infrastruktur sind effektive Schutzmechanismen gegen Cyberkriminelle. Doch die Angreifer:innen schlafen nicht und finden immer neue Schlupflöcher, durch die sie sich unberechtigten Zugriff auf IT-Systeme, Programme oder elektronische Daten Ihres Unternehmens verschaffen können. Mit der Cyber-Versicherung über exali sind Sie gegen die Folgen von Cyberkriminalität abgesichert.
Mit dem Basisschutz der Cyber-Eigenschaden-Versicherung erhalten Sie beispielsweise bereits im Falle einer Cyberattacke eine sofortige Notfallhilfe von einer IT-Expertin oder einem IT-Experten, der sich zudem um die schnellstmögliche Wiederherstellung Ihrer IT-Systeme und Daten kümmert. Sowohl diese Kosten, als auch die für eine umfassende Sicherheitsanalyse übernimmt der Versicherer für Sie. Mit insgesamt sechs optional wählbaren Zusatzbausteinen können Sie Ihren Versicherungsschutz zudem individuell anpassen. Mit dem Zusatzbaustein „Cyber-Vertrauensschaden“ können Sie beispielsweile Ihr Business vor den finanziellen Folgen der beschriebenen Social-Engineering-Attacken wie Phishing, Fake President Trick oder Umleiten von Zahlungsströmen (so genannter Payment Diversion Fraud) umfassend schützen.
Sie haben noch Fragen? Rufen Sie uns gerne an! Bei exali gibt es keine Warteschleife und kein Callcenter. Unsere Kundenberater:innen sind gerne für Sie da – telefonisch von Montag bis Freitag 09:00 Uhr bis 18:00 Uhr unter der +41 (0) 58 255 60 00 oder über unser Kontaktformular.