In Unternehmen kommt es immer mehr zu Social Engineering Attacken. Neben Hacking und der Verbreitung von Malware stellt Social Engineering eine der erfolgreichsten Methoden für Angreifer dar, um sensible Daten wie Kreditkarteninformationen, Identitäten oder Zugänge zu Systemen zu erhalten.
Der deutsche Begriff für Social Engineering lautet „soziale Manipulation“ und beschreibt eine Vorgehensweise, die darauf abzielt, die Gutgläubigkeit, die Unsicherheit oder die Hilfsbereitschaft von mitarbeitenden Personen in Ihrem Unternehmen für die eigenen Zwecke zu nutzen. Das Ziel ist es, an vertrauliche Informationen zu kommen oder die Opfer zu bestimmten Handlungen (meist mit Dringlichkeit) aufzufordern und zu überzeugen.
Potentielle Angreifer spionieren das persönliche und berufliche Umfeld ihres auserwählten Opfers aus, täuschen eine nicht existente oder geklaute Identität vor und nutzen Verhaltensmuster aus, die zum Ziel haben, geheime Firmeninformationen, Kreditkartendaten oder Passwörter in Erfahrung zu bringen.
Neben der Verbreitung von Malware oder Hackerangriffen ist das Social Engineering die erfolgreichste Angriffsmethode, um sich in Firmensysteme einzunisten oder an sensible Daten zu gelangen.
Social Engineering Angriffe können sowohl Privatpersonen, als auch Unternehmen betreffen. Als beliebtes Einfallstor für Kriminelle gelten Mitarbeiter in Unternehmen, um vertrauliche Informationen über das Unternehmen zu erhalten (Betriebsspionage), die sie wiederum nutzen um durch Erpressungsversuche oder Betrug Geld oder Kundendaten zu erschleichen.
- Ein Angreifer kann durch einen Telefonanruf versuchen, an diverse Benutzerdaten, inklusive Passwörter, zu gelangen, indem er sich als Systemadministrator oder Sicherheitsspezialist ausgibt.
- Vor einem Social Engineering-Angriff befasst sich der Täter umfassend mit dem auserwählten Unternehmen und führt gründliche Recherchen durch, spioniert den Arbeitsalltag aus und sammelt Informationen, die für einen Social Engineering-Angriff dienlich sein könnten. Je besser der Täter das jeweilige Unternehmen kennt, desto erfolgreicher kann er später die vorhandenen und häufig nichtsahnenden Mitarbeiter manipulieren.
- Die bevorzugten Quellen, die ein Angreifer für die Recherche nutzt, sind Jahresberichte, Marketing-Hand-outs, aber auch Pressemitteilungen und Zeitungsberichte. Im Internet gehen Angreifer bevorzugter Weise auf LinkedIn oder Facebook auf die Suche nach Informationen.
- Mitarbeiter, die öffentlich preisgeben, für welches Unternehmen sie arbeiten, präsentieren auch andere Informationen zu Hobbys, Zukunftsperspektiven oder Projekten, an denen sie gerade arbeiten, auf dem Silbertablett.
Im folgenden Abschnitt erfahren Sie, wie Sie sich und Ihre Mitarbeiter präventiv verhalten sollten, um Social Engineering-Angriffen abzuwehren. Ferner werden Sie verstehen, wie Sie derartige Attacken leicht erkennen können und wie Sie dagegen ankämpfen können. Wichtig ist es auch, Ihre Mitarbeiter umfassend aufzuklären, um ein Bewusstsein für Social Engineering-Attacken zu entwickeln.
In der Regel sind die Angreifer vermeintlich extrem freundlich, sozial und kontaktfreudig. Wenn Ihren Mitarbeitern umfassendes Wissen über Ihr Unternehmen vorgetäuscht wird, dazu zählen die Namen des Aufsichtsrats, bestimmte Abläufe im Unternehmen oder betriebliche Kennzahlen, schafft dies eine gefährliche Vertrauensbasis. Die Täter bearbeiten Ihre Mitarbeiter auf perfide Weise, bis sie die gewünschten Informationen herausgeben. Sensibilisieren Sie Ihre Mitarbeiter, bei solchen Versuchen, an Informationen zu gelangen, standhaft zu bleiben. Niemand im Unternehmen darf Firmeninternes preisgeben. Selbst, wenn die Person, respektive, der Angreifer unfreundlich, ungehalten oder richtig wütend wird und Druck aufbaut oder vorgibt, selbst externer Mitarbeiter (Homeoffice) des Unternehmens zu sein, muss eine generelle Verschwiegenheit bezüglich firmeninternen Daten gewahrt werden.
Cyberkriminielle versuchen häufig, Mitarbeiter oder den Firmeninhaber dazu zu überreden, bestimmte Websites zu besuchen. Dies dürfen Sie oder Ihre Mitarbeiter keinesfalls tun. Sie könnten Gefahr laufen, sich eine Malware, ein Virus oder eine Tracking-Software zu installieren. Falls es sich um eine Website handelt, die Sie kennen, nutzen Sie die abgespeicherte URL in Ihren Favoriten. Unbekannte Websites bergen immer ein potenzielles Risiko für Ihre Unternehmenssoftware. Falls es sich dennoch nicht vermeiden lässt, sollten Sie Ihren Mitarbeitern nahelegen, das jeweilige Unternehmen zu googeln und die Seite aus der Suchmaschine heraus zu öffnen. Ein sicherer Hinweis für eine sichere Website ist zudem das Schloss in der linken Ecke der Browserleiste, sowie der Adresszusatz „https//:“. Falls die Website nicht im Internet gefunden werden kann, handelt es sich zu allerhöchster Wahrscheinlichkeit um einen Betrugsversuch, zudem infiziert mit Malware.
Wenn Sie oder Ihre Mitarbeiter Anfragen aus heiterem Himmel erhalten, hinterfragen Sie immer zuerst die Identität und den Grund der Anfrage. Halten Sie Rücksprache mit Ihren Mitarbeitern. Im Zweifelsfall sollte sich Ihr Team immer an Sie oder an einen anderen Vorgesetzten aus dem Bereich HR wenden, wenn merkwürdig erscheinende Anfragen ins Haus stehen. Falls ein Unternehmen eine Anfrage stellt, ist es gut, das Unternehmen zu googeln und dort anzurufen. Lässt sich kein Hinweis auf das Unternehmen im Branchenverzeichnis oder in Google finden, handelt es sich höchstwahrscheinlich um eine Betrugsmasche. Geben Sie keine Daten und Information an den Fragesteller raus und seien Sie vorsichtig, wenn es das jeweilige Unternehmen erst seit Kurzem im Netz gibt. Werfen Sie einen Blick ins Impressum und überprüfen Sie, ob es den Geschäftsführer wirklich gibt.
Firmeninterne Daten (Kundendaten, Mitarbeiterdaten, Projektdaten, Lieferantendaten) dürfen Sie unter keinen Umständen schriftlich, telefonisch oder per Briefpost an Dritte weitergeben. Dasselbe gilt für die Zugangsdaten ins firmeneigene Intranet. Achten Sie darauf, welche Informationen Sie und Ihre Mitarbeiter an welche Personen und wo preisgeben. Nur öffentliche Daten, die auch die Presse kennt, sollten weitergegeben werden. Wenn ein Mitarbeiter von einer externen Person oder einem Projektpartner über sensible Firmendaten ausgefragt wird, sollte sich dieser betreffende Mitarbeiter zügig an Sie als seinen Vorgesetzten wenden oder die HR-Abteilung informieren.
Seriöse Dienstleistungsanbieter werden weder nach einem Passwort, noch nach einem Zugangsnamen fragen. Dasselbe Prinzip gilt auch für Systemadministratoren oder Mitarbeiter der Sicherheitsabteilung.
Wenn Sie oder Ihre Mitarbeiter demnach eine E-Mail erhalten, in welcher Sie um Zugangsdaten gebeten werden, löschen Sie die E-Mail umgehend. Dasselbe gilt auch für Anrufe. Kommunizieren Sie Ihrem gesamten Team, dass derartige Kontaktversuche umgehend dem IT-Service-Desk, sowie Ihnen als Vorgesetzter mitzuteilen sind. Bei solchen Anfragen handelt es sich eindeutig um einen Social Engineering-Versuch. Unabhängig davon, worum es geht, kein Dienstleistungsanbieter benötigt personenbezogene Zugangsdaten, um Tests zu machen oder Problemen auf den Grund zu gehen. Meiden Sie auch Links zu Websites, die Ihnen kommuniziert wurden, um sich einzuloggen.
Wenn ein Social Engineer am Telefon versucht, von Ihnen oder von Ihren Mitarbeitern Informationen zu erhalten, spricht man von „Vishing-Anrufen“.
Beim Voice-Phishing handelt es sich um eine Betrugsmasche über das Telefon. Wenn Sie oder Ihre Mitarbeiter einen derartigen Vishing-Anruf erhalten, gibt der Betrüger bevorzugt vor, ein Geschäftspartner (ob potenziell oder existent) zu sein. Es kann auch sein, dass sich der Betrüger als leitender Mitarbeiter eines anderen Unternehmens oder ein IT-Supportmitarbeiter ist. Wer einen Vishing-Anruf erhält, wird immer mit einer gewissen Dringlichkeit konfrontiert. Ihnen oder Ihren Mitarbeitern wird entweder durch Druck oder dem Erschleichen von Vertrauen suggeriert, eine bestimmte Handlung zu befolgen. Das Ziel ist es, an vertrauliche Informationen zu kommen, eine Zahlung umzuleiten oder die Kontrolle des Rechenzentrums des Unternehmens zu erhalten.
Vermehrt versuchen Social Engineering-Betrüger anhand von Phishing-E-Mails an sensible Firmendaten zu kommen. In einer umfassenden Phishing-Kampagne oder einer IT-Sicherheitsschulung können Sie gezielte Kampagnen starten und Phishing-Betrugsszenarien mit Ihrem Personal simulieren. Wenn Sie oder Ihre Mitarbeiter E-Mails mit den folgenden Kriterien erhalten, sollten Sie Vorsicht walten lassen:
- Die E-Mail enthält einen dubiosen Absender als Namen.
- Die E-Mail enthält merkwürdige, nicht vertrauenswürdige Anhänge. Diese Anhänge sollten Sie niemals öffnen!
- Die E-Mail enthält eine unpersönliche Ansprache, wie „Hallo mein Freund“.
- Die E-Mail ist durchzogen von Grammatikfehlern und das Deutsch klingt maschinell übersetzt.
- In der E-Mail wird dringender Handlungsbedarf suggeriert.
- Der Absender fordert zur Eingabe persönlicher Daten auf.
- Die E-Mail enthält gefälschte Links.
- In der Mail erkennt man einen Mix aus mehreren Sprachen (Deutsch, Englisch).
- Unübliche Bezeichnungen sind in der E-Mail enthalten.
Antworten Sie niemals auf eine Phishing-E-Mail. Sagen Sie Ihren Mitarbeitern, sich bei solchen E-Mails an Sie oder Ihre Sicherheitsabteilung zu wenden.
Social Engineering macht auch vor sozialen Netzwerken nicht halt. Täter versenden neugierig machende Nachrichten von „Freunden“ mit einem Link, der auf verseuchte Websites führt. Öffentlich geführte Social-Media-Netzwerke wie Facebook, Twitter, Instagram & Co. stellen ein reichhaltiges Informationsbankett für Internetbetrüger dar. Neben den privaten Informationen wie dem Familienstand, der Wohnsituation, dem Aussehen, Bildern und Hobbys können Kriminelle auch Firmeninformationen stehlen, sofern die Mitarbeiter ihre Position beim Unternehmen XY angegeben haben und vielleicht noch Bilder der letzten Betriebsfeier gepostet haben.
Malware wird gerne auch über USB-Sticks verbreitet. Nutzen Sie keine USB-Sticks, die Sie auf Messen oder als Werbegeschenk bekommen. Diese Datenträger könnten mit Malware infiziert sein. Nehmen Sie auch keine USB-Sticks oder externen Laufwerke von Dienstleistungsunternehmen an und stecken Sie diese keinesfalls an Ihrem PC an.
Wenn Kriminelle über E-Mail, Telefon oder Social-Medias nicht weiterkommen, nutzen sie häufig die Option, per persönlichen Kontakt mit ihren Opfern eine „Vertrauensbasis“ aufzubauen. Vorgespielte Freundschaft oder Hilfsbereitschaft werden vorgegaukelt, um an Firmeninternes zu gelangen. Bitten Sie Ihre Mitarbeiter, umsichtig und vorsichtig bei neuen Bekannten zu sein und sich an die betriebliche Schweigepflicht zu halten.
Vor Social Engineering-Attacken ist niemand sicher. Durch proaktiv durchgeführte Anti-Phishing-Kampagnen und eine Sensibilisierung hinsichtlich Social Engineering können Sie sich, Ihr Unternehmen und Ihr Team vor Angriffen schützen. Die wichtigste Regel lautet, keine Informationen zu Zugangsdaten ins Intranet, sowie keine internen Firmendaten an Unbefugte herauszugeben. Nehmen Sie auch keine Datenträger (USB-Sticks, externe Laufwerke) an, denn die Schnittstellen übertragen auch Viren, Trojaner, Malware und Spyware.