Social Engineering – also die geschickte Täuschung von Menschen durch Cyberkriminelle mit dem Ziel, sie zu etwas zu bewegen, was sie eigentlich nicht tun wollen – bleibt eine der größten Gefahren für Organisationen und Einzelpersonen weltweit. Wie auch die übrige Bedrohungslandschaft entwickeln sich Social Engineering-Methoden stetig weiter. Für Unternehmen ist es daher umso wichtiger, dass das interne IT-Team alte und neue Manipulationsmaschen kennt, um sein Wissen an alle übrigen Mitarbeiter weiterzugeben. Wir geben einige Tipps, wie Sie Ihr Unternehmen noch besser schützen und Ihre digitale Security optimieren.
Der „menschliche Faktor“
Technologie spielt eine große Rolle in der digitalen Security von Unternehmen. Nichtsdestotrotz bleibt der „menschliche Faktor“ ein kritischer Punkt. Dem aktuellen Verizon Data Breach Investigations Report 2023 zufolge gingen im vergangenen Jahr 74 Prozent aller Datenschutzverletzungen auf menschliches Verhalten zurück, seien es Social Engineering-Angriffe, Fehler oder Fehlverhalten. Die Zahlen zeigen: Es ist und bleibt unerlässlich, Mitarbeiter über die verschiedenen Angriffsmethoden aufzuklären – und darüber, wie sie sich schützen können.
Vermutlich hat jeder in Ihrer Organisation schon einmal von Phishing gehört. Das macht es allerdings kaum weniger gefährlich. Ganz im Gegenteil: Phishing ist und bleibt eine der effektivsten Techniken von Cyberkriminellen. Hierbei wird versucht, Personen durch geschickte Manipulation dazu zu bewegen, sensible Informationen preiszugeben, z.B. Passwörter, Kreditkartendaten oder personenbezogene Daten. Meist geben sich die Angreifer als vertrauenswürdige Institution aus, klassischerweise indem sie E-Mails versenden, die auf manipulierte, aber täuschend echt aussehende Webseiten von Organisationen oder Einzelpersonen verlinken. Allerdings sind E-Mails nicht mehr das einzige Medium, worüber solche Betrugsversuche ablaufen – und längst nicht mehr das erfolgversprechendste. Werfen wir einen Blick auf andere Formen des Phishings.
Vishing
Beim Vishing, kurz für „Voice Phishing“, nutzen die Angreifer Telefonanrufe oder Sprachnachrichten, um ihre Opfer dazu zu bewegen, sensible Informationen herauszugeben oder Überweisungen an unbekannte Konten zu tätigen. Die Qualität der Anrufe reicht dabei von der bekannten Computerstimme bis zu täuschend echten Stimm-Imitatoren. Manche der Kriminellen arbeiten zudem mit sogenanntem Spoofing. Dabei wird die Telefonnummer eines legitimen Anrufers missbraucht, um die Täuschung noch überzeugender wirken zu lassen. In letzter Zeit beobachten wir zudem vermehrt sogenannte Deepfake-Anrufe, bei denen die Stimme einer bestimmten Person mithilfe künstlicher Intelligenz nachgeahmt wird, um die Glaubwürdigkeit des Anrufs zu verstärken.
Smishing
Beim Smishing oder „SMS Phishing“ werden gefälschte Textnachrichten per SMS oder Messenger verschickt, um das Opfer zu bestimmten Aktivitäten zu verleiten. Üblicherweise enthalten die Nachrichten Links, die auf bösartige Websites, Login-Seiten oder Apps führen. Hierüber können hochsensible Daten (z.B. Kreditkartendaten) an Dritte gelangen. Ebenso möglich ist eine Malware-Infektion beim Klick auf den Link („Drive-by-Download").
Um Social Engineering effektiv abzuwehren, hilft es, typische Betrugsmaschen und deren Ziele zu kennen:
- „Zahlen Sie …“: Die Angreifer geben sich beispielsweise als Regierungsmitglieder oder Behördenmitarbeiter aus und drohen mit Bußgeldern oder Gefängnisstrafen, sollte die Zahlung nicht getätigt werden. Oftmals geben sich die Kriminellen auch als leitende Mitarbeiter eines Unternehmens aus und fordern, dass schnell eine wichtige Zahlung getätigt wird oder behaupten, sie wären Angestellte eines Dienstleisters und fordern angeblich ausstehende Beträge.
- „Bestätigen Sie Ihr Konto“: Die Angreifer geben sich als Bank oder als anderer Finanzdienstleister aus, als Streaming-Anbieter oder Onlineshop und behaupten, im Kundenkonto des Opfers hätte es verdächtige Aktivitäten gegeben. Das Opfer wird aufgefordert, auf einen Link zu klicken und dort Login-Daten einzugeben, um den Account zu „entsperren“.
- „Melden Sie sich jetzt an“: Die Angreifer geben vor, zu offiziellen Webinaren oder anderen Veranstaltungen einzuladen und sammeln hierdurch personenbezogene und Finanzinformationen des Opfers, z.B. indem es aufgefordert wird, einen Account anzulegen. Problematisch ist das vor allem dann, wenn die Person dasselbe Passwort für viele verschiedene Accounts verwendet. Die Kriminellen werden es auf den anderen Konten ausprobieren und gelangen so an weitere sensible Daten.
- „Bestätigen Sie Ihre Bestellung“: Das Opfer erhält Fake-Links zur Sendungsverfolgung nicht existierender Pakete oder zur Bestätigung von Bestellungen. Hierdurch können die Kriminellen Login-Daten entwenden, die sie später auf anderen – echten – Websites nutzen. Auch kann beim Klick auf den Link Malware auf dem Rechner des Opfers installiert werden. Deshalb ist es so wichtig, niemals auf verdächtige Links zu klicken und jede eingehende Mail genau darauf zu prüfen, ob es sich wirklich um eine legitime Nachricht handelt.
- „Sie haben gewonnen!“: Die Nachricht behauptet, das Opfer habe einen Preis gewonnen und fordert die Eingabe sensibler Informationen für die „Auszahlung“. Häufig werden auch Bankdaten abgefragt. Mithilfe zusätzlicher Informationen von anderen Accounts können die Angreifer so oft großen finanziellen Schaden anrichten. Umso wichtiger ist es, vermeintliche Gewinne genau zu prüfen, z.B. über den angeblichen Organisator des Preisausschreibens.
- „Hier spricht Ihre IT-Abteilung“: Die Angreifer geben sich als Mitarbeiter der Unternehmens-IT aus und fordern das Opfer dazu auf, Login-Daten preiszugeben – angeblich, um per Fernzugriff etwas am Rechner des Opfers zu prüfen oder zu reparieren. So erhalten die Kriminellen Zugriff auf personenbezogene Daten und sensible Informationen. Hier hilft es zu wissen, dass IT- oder auch HR-Abteilungen Mitarbeiter üblicherweise nicht auffordern, vertrauliche Informationen per Telefon oder E-Mail herauszugeben.
Einige Grundregeln für Mitarbeiter
Schon mit einigen wenigen Grundregeln können sich Mitarbeiter gut vor verschiedenen Formen des Social Engineering schützen:
1. Erst denken, dann handeln: Phishing-Angreifer setzen auf Druck, um ihre Opfer zu unbedachten Handlungen zu bewegen. Nehmen Sie sich Zeit, den Inhalt der Nachricht und die enthaltenen Forderungen zu prüfen und handeln Sie mit Bedacht. Öffnen Sie keine Links in Textnachrichten ohne genaue Prüfung und besuchen Sie im Zweifel die offizielle Website des Absenders, um die Legitimität der Anfrage zu prüfen.
2. Vorsicht bei unbekannten Nummern: Bei Anrufen oder Nachrichten mit unbekannter Nummer prüfen Sie deren Legitimität (z.B. durch eine kurze Internetrecherche). Geben Sie keine vertraulichen oder persönlichen Daten preis und klicken Sie auf keine unbekannten Links in den Nachrichten. So minimieren Sie das Risiko, einem Betrug zum Opfer zu fallen.
3. Persönliche Daten gehören nicht in fremde Hände: Geben Sie keine sensiblen Daten per Telefon oder Textnachricht an Dritte weiter, z.B. Kontodaten, Sozialversicherungsnummern, Passwörter oder Codes für Multi-Faktor-Authentifizierungen (MFA). Offizielle Stellen wie Behörden oder auch Banken erfragen solche Informationen ohnehin nicht über Anrufe oder Nachrichten/Mails.
4. Prüfen Sie, mit wem Sie es zu tun haben: Erhalten Sie eine Nachricht von jemandem, der sich als Vertreter eines Unternehmens oder einer Behörde ausgibt, vermeiden Sie zunächst eine direkte Interaktion. Nehmen Sie sich Zeit, die Identität des Anrufers oder Absenders zu prüfen, z.B. über die offiziellen Kontaktinformationen auf der Website der eigentlichen Organisation.
5. Setzen Sie auf starke Sicherheitsmaßnahmen: Nutzen Sie starke und einzigartige Passwörter, um Ihre Accounts zu schützen. Ein Passwort-Generator und Passwort-Manager helfen, lange und komplexe Passwörter oder Passphrasen zu erstellen und diese sicher aufzubewahren. Wo immer es möglich ist, setzen Sie auf Multi-Faktor-Authentifizierung für zusätzliche Sicherheit.
