Menschen sind emotionale Wesen: Ein großer Teil unseres täglichen Handelns wird von Gefühlen aller Art geprägt. Das wissen auch Cyberkriminelle und entwickeln immer neue Methoden, genau diese Eigenart auszunutzen. Das sogenannte Social Engineering erfordert dabei noch nicht einmal besondere technische Expertise und ist so für Angreifer eine besonders günstige Möglichkeit, beispielsweise an sensible Daten zu gelangen oder Mitarbeiter dazu zu bringen, ihnen Zugang zu Unternehmensnetzwerken zu ermöglichen. Hierbei spielt keine Rolle, wie klein das fragliche Unternehmen ist – jeder ist potentielles Ziel.
Die bekanntesten Formen von Social Engineering (auch wenn man sie nicht notwendigerweise unter diesem Begriff kennt) sind wohl Spam und Phishing. „Klassischer“ Spam, egal ob per Mail, Instant-Messenger, SMS oder sozialem Netzwerk, wird allerdings tatsächlich in den seltensten Fällen zum Social Engineering gerechnet. Von Social Engineering spricht man im Allgemeinen erst, wenn die Spam-Nachricht den Empfänger zu für ihn schädlichem Verhalten verleiten soll, also bei Phishing, Spear Phishing und verwandten Formen, oder wenn die Nachrichten schädliche Anhänge oder Links enthalten, die der Empfänger öffnen bzw. anklicken soll.
Hierbei ist Phishing die wohl häufigste und bekannteste Form des Social Engineering. Das Prinzip ist denkbar einfach: Der oder die Angreifer geben sich als bekannte und/oder vertrauenswürdige Person, Internetseite oder ähnliches aus und bringen das Opfer so dazu, sensible Daten preiszugeben. Das ist jedoch bei weitem nicht die einzige Möglichkeit für Kriminelle, Mitarbeiter zu manipulieren:
Spearphishing
Während klassische Phishing-Mails wahllos und in großer Menge verschickt werden in der Hoffnung, dass einige Empfänger wie gewünscht reagieren, sind sogenannte Spearphishing-Attacken genau auf ein bestimmtes Ziel, egal ob Einzelperson, Organisation oder Unternehmen, ausgerichtet und entsprechend optimiert.
Vishing und Smishing
Dem klassischen Phishing eng verwandt, bedienen sich diese beiden Formen lediglich anderer Medien, um ihre Opfer zu kontaktieren. Während Vishing VoIP-Anrufe nutzt, arbeitet Smishing mit betrügerischen SMS. Hierbei gab es zwar schon Fälle, in denen das potentielle Opfer direkt zur Preisgabe sensibler Daten per SMS-Antwort aufgefordert wurde – meist erfolgt jedoch zunächst die Weiterleitung auf eine betrügerische Webseite, auf der die entsprechenden Informationen eingegeben werden sollen.
Scareware
Sogenannte Scareware ist darauf ausgerichtet, das potentielle Opfer zu verunsichern und es so dazu zu bringen, freiwillig Schadsoftware zu installieren. Besonders häufig sind hier Fake-Antivirus-Programme, die vorgeben, eine Bedrohung erkannt zu haben, die sich nur durch die Installation eines weiteren Programms – typischerweise Malware – beseitigen lassen.
Identitätsbetrug
Wie bei ähnlichen Betrugsversuchen in der physischen Welt geben sich Kriminelle als legitime Mitarbeiter, meist leitende Vorgesetzte, aus und versuchen die potentiellen Opfer dazu zu bringen, beispielsweise Gelder zu überweisen oder Bestellungen zu tätigen.
Tech-Support-Betrug
Hierbei geben sich die Kriminellen telefonisch oder per Mail/Internet als Mitarbeiter eines technischen Supports aus. Ziel ist, dem potentiellen Opfer nutzlose Services zu verkaufen, nicht-existente technische Probleme zu lösen oder per Remote Access Zugriff auf das Gerät und die Daten des Mitarbeiters zu erhalten. Aktuell sieht es so aus, als würden mit zunehmender Verbreitung von Home Office solche Betrugsversuche immer häufiger werden.
(Cyber)-Scams
„Cyber-Scam“ bezeichnet üblicherweise eine Kombination der oben genannten Betrugsmaschen.
Sextortion
Sextortion-Kampagnen sind häufig längerfristig ausgelegt und sollen potentielle Opfer durch falsche Anschuldigungen in Angst versetzen und zu unüberlegtem Verhalten verleiten. Erfahren Sie hier alles zum Thema und wie Sie sich und Ihre Mitarbeiter schützen.
Schutz vor Social Engineering-Angriffen
Sie kennen nun die typischen Social Engineering-Formen. Aber wie erkennen Sie in der alltäglichen Arbeit, ob eine Anfrage legitim ist oder Sie bzw. Ihre Mitarbeiter manipulieren soll? Anhand folgender Eigenschaften lassen sich viele Social Engineering-Nachrichten leicht erkennen: Ist der Nachrichtentext voller grammatikalischer oder Rechtschreibfehler, während er gleichzeitig versucht, Ihnen ein Gefühl von Dringlichkeit zu vermitteln? Kommt Ihnen die Adresse des Absenders merkwürdig vor? Werden Sie zur Herausgabe von sensiblen Daten oder Passwörtern aufgefordert? Haben Sie den Eindruck, dass der Absender Sie mit der Nachricht unter Druck setzen möchte und zu sofortigem Handeln auffordert? Wird Ihnen ein unrealistisches Angebot gemacht? Dann haben Sie es mit großer Wahrscheinlichkeit mit Betrügern zu tun.
Natürlich reicht es im Unternehmenskontext nicht aus, wenn nur Sie persönlich nicht auf betrügerische E-Mails hereinfallen. Mit den folgenden Hinweisen sorgen Sie unternehmensweit für Sicherheit vor Social Engineering-Attacken:
1. Schulen Sie Ihre Mitarbeiter. Regelmäßig.
Social Engineering-Methoden haben nur dann eine Chance, wenn sie auf allzu vertrauensselige Opfer treffen. Sorgen Sie mit regelmäßigen Cybersecurity-Trainings dafür, dass alle Kollegen – vom Sachbearbeiter über die IT-Mitarbeiterin bis zur Geschäftsführung – wissen, welche Methoden potentielle Angreifer anwenden und wie sie zu reagieren haben. Besonders wichtig ist dabei auch, Ihre Mitarbeiter mit echten Beispielen zu konfrontieren, damit sie ähnliche Maschen später leichter erkennen und entsprechend Ihrer Security-Richtlinie reagieren können. Apropos Security-Richtlinien: Diese sollten leicht verständlich sein und ohne größere Probleme durch alle Mitarbeiter verinnerlicht werden können.
2. Sichere Passwörter - das Must-have.
Erarbeiten und implementieren Sie eine Richtlinie für sichere Passwörter überall im Unternehmen und prüfen Sie, ob ggf. noch alte, unsichere Passwörter in Benutzung sind, die ersetzt werden müssen. Möglicherweise ist es auch von Vorteil, eine Multi-Faktor-Authentifizierung einzusetzen, um Ihr Unternehmensnetzwerk zusätzlich abzusichern.
3. Verwenden Sie eine starke Security-Lösung
Social Engineering zielt gerade darauf ab, menschliche Schwächen auszunutzen. Setzen Sie daher auf zuverlässige technische Lösungen, um Ihre Mitarbeiter bei der Abwehr entsprechender Angriffe zu unterstützen. Diese Lösungen helfen, Spam oder Phishing-Mails frühzeitig zu erkennen, in den Quarantäne-Bereich zu verschieben und bei Bedarf unschädlich zu machen bzw. zu löschen. Als besonders nützlich haben sich dabei Tools erwiesen, die den zuständigen Admins umfassenden Überblick über das gesamte Unternetzwerk und die eventuell darin schlummernden Gefahren verschaffen.
Vor allem gilt jedoch: Social Engineering setzt auf das Unwissen seiner potentiellen Opfer. Informieren Sie sich daher laufend über die neuesten Cybergefahren und Möglichkeiten zu deren Abwehr und teilen Sie Ihr Wissen mit Ihren Mitarbeitern. So bleiben Ihre Daten und Ihr Unternehmen auch in Zukunft zuverlässig geschützt.